Predmetom projektu manažment je riadiť činnosť v mieste, čase a nákladoch, za účelom dosiahnutia cieľa projektu. V súčinnosti s organizáciou sa plánujú termíny a zdroje pre jednotlivé fázy projektu. Prvou fázou je fáza plánovacia, ktorá je prípravnou fázou.
Prípravná fáza
Vytvára predpoklad pre hladký a efektívny priebeh vypracovania bezpečnostného projektu. Cieľom prípravnej fázy je získanie a zosumarizovanie základných informácii o cieľoch konzultácie na vypracovania bezpečnostného projektu, hĺbke, rozsahu, vybraných metódach. Dochádza k určeniu členov tímu konzultantov, špecialistov v definovaných technických oblastiach.
Oznámenie návštevy
Ďalším krokom je oznámenie návštevy, počas ktorej dochádza k bezpečnostnému prieskumu v organizácii. Oznámenie je vykonané písomne v dostatočnom časovom predstihu a obsahuje nasledovné údaje:
presný dátum a čas konania návštevy a hrubý časový rozvrh,
cieľ bezpečnostného prieskumu,
požadované dokumenty,
vybrané metódy a technické prostriedky zberu informácii (musia byť schválené objednávateľom, napr. sieťové skenery, systémové softvérové analyzátory a podobne),
preverovaný útvar v rámci organizácie,
mená členov tímu konzultantov, ktorí prídu na návštevu,
a informácie potrebné na ich identifikáciu, požadovanú prítomnosť osôb.
Fáza bezpečnostného prieskumu
Cieľom bezpečnostného prieskumu je získať informácie technického, organizačného, personálneho charakteru slúžiacich na analýzu bezpečnosti informačného systému. Bezpečnostný prieskum je vykonávaný bezpečnostnými špecialistami osobne v mieste sídla zákazníka. Bezpečnostný prieskum vykonaný v mieste sídla organizácie je nevyhnutný pre kvalifikované vypracovanie bezpečnostného projektu. Pri bezpečnostnom prieskume využívame niekoľko metód:
Metódy bezpečnostného prieskumu:
Metóda interview, čiže pohovoru s manažmentom, pracovníkmi organizácie. Pohovor vykonáva špecialista, bezpečnostný manažér spolu s jednou osobou. Odstránením prítomnosti viacerých osôb a odbornosťou bezpečnostného manažéra sa dosiahne požadovaná úroveň kvality informácii. Ako podklad pre vedenie rozhovoru sú použité pripravené elektronické formuláre, ktoré bezpečnostný menežér vypĺňa v elektronickej forme. Metóda vizuálneho prieskumu: je druhou metódou v rámci prieskumu a je vykonávaná špecialistom, bezpečnostný manažéromr vizuálnym preskúmavaním priestoru a jednotlivých objektov. Ako podklad pre prieskum sú vytvorené elektronické formuláre, ktoré zabezpečia úplnosť a presnosť zberaných informácií. Fáza vypracovávania bezpečnostného projektu
Na základe realizovaného prieskumu sa vykonáva kvalitatívna analýza rizík bezpečnosti informačného systému, výstupom je posúdenie stavu bezpečnosti IS, sú navrhnuté bezpečnostné opatrenia, smernice. Počas tejto činnosti prebieha komunikácia bezpečnostných špecialistov s určenými osobami organizácie. Sú doplňované informácie pre analýzu rizík, prebieha komunikácia na tému návrhu bezpečnostných opatrení a bezpečnostných smerníc.
Fáza odovzdania bezpečnostného projektu
Manažment organizácie, resp. zodpovedná osoba sú oboznámení s bezpečnostným projektom. Sú vysvetlené dôležité body bezpečnostného projektu, návrhy opatrení, návrhy opatrení a smerníc, je konzultovaná ďalšia činnosť manažmentu organizácie, zodpovednej osoby s cieľom úspešného zavedenia bezpečnostného projektu ako systému riadenia informačnej bezpečnosti, návrhov opatrení do praxe.
Fáza školenia zodpovednej osoby (osôb)
V ďalšej fáze dochádza k zaškoleniu zodpovednej osoby, prípadne osôb podľa zákona č.428/2002, 90/2005 Z.z. Obsah školenia je prispôsobený konkrétnym povinnostiam (konkrétnej problematike) organizácie, ktoré vznikli vzhľadom na zákon o ochrane osobných údajov. Školenie prebieha v mieste sídla zákazníka.
Fáza ďalšej administratívnej a technickej podpory v problematike ochrany osobných údajov
Naša spoločnosť upozorňuje na prípadné zmeny vyplývajúce zo zákona, prípadne zo zmien v oblasti technickej normalizácie.
Ochrana osobných údajov, otázky, odpovede
Čo je bezpečnostný projekt? Bezpečnostný projekt je praktický návod, plán:
zavedenia systému riadenia informačnej bezpečnosti,
zavedenia, prijatia bezpečnostných opatrení technického organizačného technického charakteru a
ďalšieho prevádzkovania informačného systému spoločnosti s ohľadom na bezpečnosť dát
Čo sú bezpečnostné smernice? Bezpečnostné smernice sú interným záväzným dokumentom organizácie, určujú povinnosti osôb, kontrolne mechanizmy, spôsob vykonávania bezpečnostných opatrení.
Prečo zaškolenie zodpovednej osoby? Zaškolenie zodpovednosti osoby je nevyhnutné a určené aj zákonom - podľa § 19 ods. 3 ,,odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpečí prevádzkovateľ ...“ a ,,úrad môže od prevádzkovateľa žiadať podanie dôkazu o vykonanom odbornom školení." Kto je prevádzkovateľ? Podľa zákona č.428/2002, č. 90/2005 Z.z. o ochrane osobných údajov (§ 4) je prevádzkovateľ ,,právnická a fyzická osoba, ktorá sama alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov“ . Čiže je to každá osoba právnická alebo fyzická, ktorá spracováva osobné údaje za nejakým účelom a môže pri tom používať automatizované prostriedky (napríklad spracovanie personálnej a mzdovej agendy počítačom).
Problematika spracovania bezpečnostného projektu
Čo je bezpečnostný projekt ochrany osobných údajov? Aké sú ciele bezpečnostného projektu?
Cieľom bezpečnostného projektu je vymedziť rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb pôsobiacich na informačný systém pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením osobných údajov. Tento cieľ je bezpečnostnou politikou organizácie vo vzťahu k ochrane osobných údajov. Je základným rámcom pre vypracovanie bezpečnostného projektu.
Úvodná časť bezpečnostného projektu ochrany osobných údajov.
V ukážke sú definované základné vlastnosti bezpečného informačného systému, ktoré informačný systém musí mať: dostupnosť, dôvernosť, integritu. Je definovaný základný technický rámec z pohľadu príslušných noriem. Je naznačený rozsah bezpečnostného projektu.
Ukážka časti analýzy rizík bezpečnosti informačného systému
Cieľom analýzy rizík bezpečnosti informačného systému je posúdiť súčasný stav bezpečnosti informačného systému a navrhnúť ďalšie opatrenia.
Kvalitný a dôsledný vykonaný bezpečnostný prieskum bezpečnostnými odborníkmi je základným kvalitatívnym predpokladom kvalifikovaného vypracovania bezpečnostného projektu. Bezpečnostný prieskum sa vykonáva za účelom získania podkladov , dát technického, organizačného personálneho charakteru pre analýzu rizík bezpečnosti informačného systému V ukážke bezpečnostný prieskum sú definované vybrané metódy bezpečnostného prieskumu.
Metodika analýzy rizík bola podkladom pre spracovanie príspevku nášho kolegu p.Bednárika pre medzinárodnú odbornú konferenciu „Bezpečnostní technologie - systémy a management“ (konferenciu usporiadala Univerzita Tomáša Baťu v Zlíne, Ústav elektrotechniky a merania v termíne 9-11.9. 2009 v Zlíne v Českej republike).
Ukážka identifikácie a hodnotenia zraniteľností
Veľmi dôležitou fázou je identifikácia už používaných a zavedených bezpečnostných opatrení a následne sa posúdi úroveň vykonávania týchto opatrení. Spoločnosť CBsoft, s .r. o. vyvinula vlastný analytický softvérový nástroj. Jednou jeho časťou je aj identifikácia a úroveň implementácie bezpečnostných opatrení.
Ukážka z analytického softvérového nástroja vyvinutého spoločnosťou CBsoft, s.r.o. časť Identifikácia a úroveň implementácie bezpečnostných opatrení.
Určuje priority implementácie bezpečnostných opatrení. Najvyššiu prioritu implementácie majú bezpečnostné opatrenia s vysokou mierou rizika a hodnotou dopadu. Jedným z návrhov bezpečnostných opatrení je návrh na schválenie bezpečnostných smerníc v organizácii.
Bezpečnostné smernice, určujú správanie používateľov informačného systému v organizácii. Musia byť zrozumiteľné tak, aby sa nimi mohol riadiť bežný používateľ.
ZOZNAM POUŽITEJ LITERATÚRY [1]LAUCKÝ, V.: Technologie komerční bezpečnosti II., Zlín : UTB, 2004. [2]LAUCKÝ, V. Řízení technologických procesů v PKB, Zlín : UTB, 2004. [3]JAŠEK.: R. Informační a datová bezpečnost 1. vyd., Academia centrum UTB, 2006. 140 s. ISBN 8073184567 [11]BEDNÁRIK D. Bezpečnostný projekt dátovej bezpečnosti organizácie UTB 2009, BP. [4]STN ISO/IEC 27001 Informačné technológie. Zabezpečovacie techniky. Systémy manažérstva informačnej bezpečnosti. [5]STN ISO/IEC 27002 Informačné technológie. Zabezpečovacie techniky. Pravidlá dobrej praxe praxe manažérstva informačnej bezpečnosti. (bývalá ISO/IEC 17799:2005) [6]STN ISO/IEC 27002/C1 Informačné technológie. Zabezpečovacie techniky. Pravidlá dobrej praxe praxe manažérstva informačnej bezpečnosti [7]STN ISO/IEC TR 13335-1 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 1. [8]STN ISO/IEC TR 13335-2 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 3: Techniky pre manažment bezpečnosti IT [9]STN ISO/IEC TR 13335-3 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 3: Techniky pre manažment bezpečnosti IT [10]STN ISO/IEC TR 13335-4 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 4: Výber bezpečnostných opatrení [12] Zákon č.428/2002 Z.z., č.90/2005 Z.z o ochrane osobných údajov
