út22102019

Poslední aktualizace07.10.2019 (11:27)

Back Jste zde: Úvod IT Software YOUR SYSTEM - Zavedení IMS

YOUR SYSTEM - Zavedení IMS

Práce řešitelského týmu, jehož postupy vycházejí z dlouholetých zkušeností, probíhaly u zákazníka v následujících šesti tématických blocích:

 

1. Zpracování metodiky analýzy rizik a provedení vlastní analýzy rizik

YOUR SYSTEM nejprve vypracoval pro analýzu rizik metodiku, aby vycházela z určeného rozsahu systému řízení informační bezpečnosti. V této fázi bylo nejprve nutno identifikovat a ohodnotit aktiva organizace, dále identifikovat a ohodnotit zranitelnost aktiv, určit pravděpodobnost výskytu hrozeb, a na základě zjištěných skutečností určit míry rizik.
Zpracování komplexní analýzy rizik se stalo výchozím dokumentem pro efektivní uplatnění bezpečnostních opatření a následné zavedení řízení rizik s ohodnocením existujících rizik.

 

2. Zpracování politiky bezpečnosti informací a politiky ISMS – prohlášení vedení společnosti

Z výsledků analýzy rizik mohl tým odborníků společnosti YOUR SYSTEM definovat cíl informační bezpečnosti a způsob jeho naplnění v návaznosti na cíle organizace.

 

3. Zpracování opatření pro zvládání rizik
Na základě zpracované analýzy rizik a politiky bezpečnosti informací provedli odborníci společnosti YOUR SYSTEM návrh opatření pro zvládání rizik a vybrali jednotlivá konkrétní opatření pro pokrytí rizik.

 

4. Zpracování plánu projektu implementace ISMS
Podle plánu projektu implementace ISMS zpracovali ve společnosti YOUR SYSTEM plán implementace na základě návrhu opatření pro zvládání rizik, Plán implementace formuluje následný plán zavedení opatření ke zvládání rizik, a také plán zavedení ISMS.

 

5. Zpracování systému bezpečnostní dokumentace
V tomto bloku vytvořil tým odborníků společnosti YOUR SYSTEM ucelenou soustavu bezpečnostní dokumentace, která pokrývá životní cyklus informačního a komunikačního systému organizace a všechna jeho aktiva. Navrhli systém bezpečnostní dokumentace, systém řízení bezpečnostní dokumentace, směrnice pro řízení bezpečnostní dokumentace, šablony bezpečnostní dokumentace a prohlášení o dosažené míře shody. Poté zpracovali soubor směrnic, z nich vyplývající příručky a následnou provozní dokumentaci, jako jsou školicí a učební texty, plány a režimová pravidla pro bezpečnostní zóny.

 

6. Metodika procesu havarijního plánování a obnovy funkčnosti a tvorba navazujících dokumentů
V rozsahu havarijního plánování sestavili odborníci společnosti YOUR SYSTEM havarijní plány, plány zálohování, kontinuity a obnovy, a nakonec zkompletovali provozní dokumentaci ICT.
V současné době má zákazník vše připraveno pro zavedení systému řízení bezpečnosti informací, a disponuje veškerou dokumentací, kterou si nechal prověřit od nezávislé certifikační autority na shodu s normou ČSN ISO/IEC 27001, tak aby zavádění a následná certifikace proběhla úspěšně s minimem rizika nezdaru.

 

Přínosy řešení
Zákazník má po zavedení a provozování ISMS přesný přehled o informačních aktivech společnosti a o jejich vlastnících. Vidí informační toky i odpovědnosti a povinnosti rolí. Může snadno optimalizovat procesy a následně delegovat povinnosti a zodpovědnosti.

Členové vedení a stěžejní pracovníci vědí, že nebudou osobně stíháni na základě špatné náhody, například za únik osobních údajů nebo porušení jiných zákonů.

Zavedený systém bezpečnosti informací významně eliminuje možnost vyzrazení informací. Nestane se například, že náhodná osoba najde v popelnici šanony, diskety či nahraná CD s důvěrnými informacemi. Člen vedení proto nebude muset médiím vysvětlovat, proč s údaji občanů nenakládal lépe. Společnost je díky tomu na veřejnosti lépe vnímána.

Zavedení Systému bezpečnosti informací omezuje přístup nepovolaných osob do vymezených prostor. Eliminuje možnost neoprávněných návštěv, a z nich vyplývajících možných útoků na zaměstnance společnosti, nebo krádeží či úmyslného poškození vybavení společnosti.

Zavedení systému je ekonomicky efektivní. Náklady se vrátí zejména cestou minimalizace ekonomických ztrát, plynoucích z částečné nebo úplné ztráty, z vyzrazení informací či z výpadku procesů společnosti. Náklady na systém se vrátí i cestou zisku plynoucího z vyšší míry možné automatizace, a tedy vyšší efektivity práce.

Nestane se, že „nepůjde počítač“ a nikdo nebude vědět, kdo a jak by ho měl opravit. Nestane se, že bude spuštěn nový program bez předchozího otestování, který může narušit práci či data společnosti na mnoho hodin nebo dní.

Systém bezpečnosti informací definuje i postupy při přijímání nových zaměstnanců a pro výkon jejich práce. Vedoucí pracovníci proto přesně vědí, že zaměstnanci prošli vstupní prověrkou, a že jim jsou známy jejich povinnosti. Systém dále definuje procesy při ukončení pracovního procesu, včetně rušení přístupových práv, a tím účinně eliminuje možnosti pozdějšího zneužití informací společnosti.

Vedení společnosti bude vždy přesně vědět, kdo a kdy s danými informacemi nakládal. Bude proto mít podklady pro případný spor či postih. Pokud již dojde k bezpečnostnímu incidentu, bude řádně dokumentován a budou definovány závazné postupy jeho řešení. Do budoucna budou nastavena preventivní opatření proti jeho opakování včetně obstarání důkazů pro další řízení.

Pokud dojde k bezpečnostnímu incidentu včetně živelné pohromy nebo k násilnému útoku, budou následky minimální. Zákazník má totiž díky zavedení systému bezpečnosti informací ISMS připraveny postupy pro rychlou obnovu všech svých činností.

 

Bezpečnostní technologie

Zabezpečení datové infrastruktury proti útokům zvenčí i zevnitř je nedílnou součástí moderních datových sítí. Většina stávajících i potenciálních zákazníků si plně uvědomuje nutnost ochrany svých informačních aktiv, a proto požaduje řešení bezpečnosti na úrovni, která odpovídá jak jejich nárokům na bezpečnost, tak jejich finančním možnostem.


YOUR SYSTEM projektuje, instaluje a spravuje bezpečnostní technologie předních světových dodavatelů zejména v oblastech:

  • firewally
  • virtuální privátní sítě (VPN) na bázi IPSec a SSL
  • antivirové a antispamové prostředky
  • prostředky pro content filtering (filtrování obsahu)
  • systémy detekce a prevence narušení (IDS/IPS)
  • bezpečnostní proxy
  • vyhodnocování bezpečnostních logů

 

Vybrané řešení:

  • Perimetr sítě LAN

Případová studie:

  • Zavedení bezpečnostní architektury AAA na bázi protokolu 802.1x


Perimetr sítě LAN

Perimetr lokální sítě LAN má za úkol bezpečně oddělit vnitřní, relativně bezpečné prostředí firemní komunikační sítě od veřejného a potenciálně velmi nebezpečného prostředí internetu. Toto oddělení bývá zajištěno pomocí technických a programových prostředků, které využívají různé moderní technologie.

 Základní a nejjednodušší způsob ochrany vnitřní sítě LAN je pomocí tzv. NAT. Při tomto mechanismu nejsou zařízení (webové servery, intranety, aplikační servery) uvnitř lokální sítě exponovány přímo do prostředí internetu, ale jsou schovány za jednou veřejnou IP adresou.

 V současné době nejpoužívanější technologie k oddělení vnitřní a vnější sítě je SPI (Stateful Packet Inspection) Firewall. Jedná se o zařízení, které monitoruje a řídí komunikaci přes internetové rozhraní. Na firewallu je možné nastavit kdo, kdy, kam a jakým způsobem (protokolem) může komunikovat.

 V prostředích, která vyžadují zvýšenou pozornost proti útokům zvenčí, je velmi vhodné nasadit před vlastní firewall tzv. nárazníkový firewall, který filtruje komunikaci ještě před tím, než je detailně řízena hlavním firewallem.

Virtuální privátní síť (VPN) je technologie, pomocí které je možné zašifrovaně přenášet informace přes otevřené prostředí Internetu. VPN slouží nejen ke komunikaci mezi geograficky vzdálenými pobočkami, ale také umožňuje připojení jednotlivých uživatelů k podnikovým zdrojům.

 Vzhledem k tomu, jaké nebezpečí dnes představují viry (a ostatní škodlivý kód), je více než vhodné podrobit veškerou komunikaci, která prochází přes perimetr, kontrole na přítomnost škodlivého kódu. Minimálně by měla být kontrolována elektronická pošta a komunikace s webovými servery. Obdobně, antispamové řešení, umístěné přímo v perimetru, může kontrolovat a izolovat podstatnou část nevyžádané pošty, která pak nezatěžuje interní systémy.

 Protože se dnes škodlivý kód dokáže šířit i tak, že uživatel pouze navštíví určité webové stránky, je vhodné řídit přístup uživatelů k webům prostřednictvím systémů Content Filteringu (filtrování obsahu), kde lze nastavit, ke kterým webovým serverům uživatelé přístup mají a ke kterým ne.

 Systémy detekce a prevence průniku do sítě (IDS a IPS) monitorují provoz na perimetru a vyhodnocují jej proti známým způsobům útoků (tzv. signatury).

 Každé bezpečnostní zařízení generuje zprávy o své činnosti – tzv. logy, ze kterých je možné vysledovat informace o hrozbách, které na dané zařízení působily a reakci bezpečnostní technologie na tuto hrozbu. Bohužel, množství logovaných informací je natolik obrovské, že je prakticky nemožné, aby je bylo možné efektivně vyhodnocovat. Proto existují systémy pro korelaci a vyhodnocování bezpečnostních logů, které sbírají, konsolidují, vyhodnocují a mezi sebou korelují logy různých zařízení. Výstupem je pak omezené množství zpráv, kterým by ale za všech okolností měli administrátoři věnovat pozornost.