254
editací
Změny
Založena nová stránka s textem „Bezpečnost informací zajišťují technologie, zásady a postupy, které zvolíte k tomu, abyste měli vaše data v bezpečí. Je to důležité, proto…“
Bezpečnost informací zajišťují technologie, zásady a postupy, které zvolíte k tomu, abyste měli vaše data v bezpečí.
Je to důležité, protože vláda má povinnost chránit data uživatelů služeb. Bez této ochrany by uživatelé mohli ztratit důvěru ve veřejné služby.
Vládní politika státního cloudu znamená, že budete s největší pravděpodobností budovat svůj systém v cloudu – zjistěte více o [[zabezpečení prostředí cloudu]].
== Zabezpečení „tajných“ a „přísně tajných“ informací ==
Pokud vaše služba zpracovává informace, které jsou klasifikovány jako „tajné“ nebo „přísně tajné“, měli byste požádat o odborné rady od vašeho bezpečnostního týmu oddělení nebo orgánu.
== Splnění standardu digitální služby ==
Pro splnění [[Standard digitální služby|bodu 7 standardu digitální služby]] (porozumějte problémům bezpečnosti a ochrany osobních údajů) ve vašem hodnocení služeb, musíte ukázat, jak se váš tým bude zabývat otázkami zabezpečení a ochrany osobních údajů.
== Než začnete hodnotit bezpečnost ==
=== Přijměte fakt, že vaše služba bude mít informační riziko ===
Je nereálné usilovat o službu bez informačního rizika. Měli byste identifikovat riziko pro vaši službu, které přestavuje vaše volba technologií, procesů, personálního obsazení a agregace dat. Pokud tomuto riziku porozumíte, pak můžete najít způsob, jak jej snížit.
=== Mluvte s odborníky na rizika ===
Bude třeba, abyste projednali vaše rozhodnutí o zabezpečení příslušných technologií i se specialistou kybernetické bezpečnosti vašeho úřadu. Ten je zodpovědný za řešení rizik ve všech službách vaší organizace. Může vám pomoci rozhodnout se o rizicích, která můžete přijmout, a vytvořit plán, který zmírňuje ty rizika, která přijmout nemůžete.
Pokud takového pracovníka v úřadu nemáte, [https://www.govcert.cz kontaktujte Národní centrum kybernetické bezpečnosti] .
== Kdy je vhodné zvážit zabezpečení informací ==
Měli byste začít myslet na bezpečnost vaší služby už v [[Agilní přístup#F.C3.A1ze agiln.C3.ADho projektu|úvodních fázích návrhu služby]] ( [[Objevovací fáze služby|objevovací]] nebo [[Fáze alfa provozu služby|alfa]] fáze), v závislosti na tom, co budujete .
Vládní bezpečnostní politika znamená, že vaše bezpečnostní opatření musí být přiměřená riziku a nadále umožňují naplnit uživatelské potřeby, při zachování odpovídající úrovně bezpečnosti.
== Jak posoudit bezpečnost informací ==
Při hodnocení vaší služby a uchovávaných dat byste měli zvážit následující obecné kategorie:
* '''Důvěrnost''' – informace by měly být viděny pouze osobami, které mají oprávnění k přístupu k těmto informacím
* '''Integrita''' – informace by měly být upravovány pouze osobami, které jsou k tomu oprávněny
* '''Dostupnost''' – informace by měly být k dispozici v případě potřeby (problémy nebo útoky by vás neměli zastavit při získávání informací ze systému)
* '''Evidence''' – každý přístup k datům, jak pro čtení tak pro zápis, musí být evidován. Pro každý jednotlivý přístup musí být bezpodmínečně možné se dopátrat zpět k odpovědné osobě.
Zvažte také veškeré příslušné zákony o ochraně osobních údajů – informujte o tom svého pověřence pro ochranu údajů.
== Provádění hodnocení rizik ==
Pro posouzení rizik neexistuje žádný vládní standard, ale jakýmkoli způsobem budete posuzovat rizika, měli byste:
# Zvážit hrozby pro váš systém, informace a majetek, které ukládáte.
# Zaznamenat všechna rizika, která jsou podle vás možná přes to, že nemáte jejich řešení.
# Upřednostnit rizika, která identifikujete jako nejpravděpodobnější, a rizika, která by měla největší vliv na vaši službu a uživatele.
=== Zjistěte více informací o hodnocení rizik ===
Přečtěte si tyto články, abyste zjistili, jak ostatní organizace řídí riziko:
* Zavedení řízení rizik ( [https://www.govcert.cz Národní centrum kybernetické bezpečnosti] )
* [https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/ Podpůrné materiály a metodiky NÚKIB].
* [http://www.iso.org/iso/iso27001 Řízení informační bezpečnosti] (Mezinárodní organizace pro standardizaci)
* [https://www.microsoft.com/en-us/sdl/ Životní cyklus rozvoje zabezpečení] (Microsoft)
=== Techniky hodnocení rizik ===
Během vývoje vaší služby můžete posoudit, jak dobře řídíte rizika pomocí technik, jako jsou audity kódů a testování penetracetřetích stran.
Měli byste provést „red team exercises a game days“, abyste mohli opakovat postupy řízení nehod.
Pokud nastane skutečná událost, můžete použít bezúhonný post mortemk určení, zda existují akce, které by zlepšily schopnost týmu reagovat v budoucnu.
== Ochrana informací ==
Jakmile zjistíte rizika týkající se vašich informací, můžete zvážit, jak je snížit, například pomocí:
* Fyzické kontroly, jako jsou stěny, zamčené dveře nebo kryty
* Procedurální kontroly, jako je zpřístupnění manažera odpovědného za přístup, školení pracovníků nebo zavedení postupů reakce na mimořádné události
* Regulační kontroly, jako je legislativa, politika nebo pravidla pro zaměstnance
* Technické kontroly, jako je kryptografický software, ověřovací a autorizační systémy nebo zabezpečené protokoly
=== Výběr kontrolních prvků, které chcete použít ===
Pro zvolení ovládacích prvků, musíte posoudit riziko zveřejnění nebo úpravy informací a potom rozhodnout, která rizika jste ochotni podstoupit.
Mnoho kontrolních prvků má své nevýhody a některé z nich nemusejí vyhovovat vaší službě.
=== Vyžádaná nebo reakční ochrana ===
Kontrolní prvky vysvětlené v této příručce pomáhají předcházet případným incidentům, ale pro vaši organizaci může být efektivnější detekovat případné incidenty a reagovat na ně.
Například by mohlo být levnější koupit ochranu proti DDOS (Distributed Denial of Service) útoku, která se zapne pouze tehdy, když o to požádáte, místo toho, abyste si koupili ochranu, kterou musíte neustále udržovat v chodu.
== Získání kontroly stavu IT ==
Kontrola stavu IT poskytuje záruku, že externí systémy vaší organizace jsou chráněny před neoprávněným přístupem nebo změnou.
Kontrola bude provedena penetračním testem provedeným poskytovatelem Centra národní kyberbezpečnosti (NCSC) - přečtěte si více o penetračních testech.
== Další čtení ==
* [https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/ Podpůrné materiály a metodiky NÚKIB].
Je to důležité, protože vláda má povinnost chránit data uživatelů služeb. Bez této ochrany by uživatelé mohli ztratit důvěru ve veřejné služby.
Vládní politika státního cloudu znamená, že budete s největší pravděpodobností budovat svůj systém v cloudu – zjistěte více o [[zabezpečení prostředí cloudu]].
== Zabezpečení „tajných“ a „přísně tajných“ informací ==
Pokud vaše služba zpracovává informace, které jsou klasifikovány jako „tajné“ nebo „přísně tajné“, měli byste požádat o odborné rady od vašeho bezpečnostního týmu oddělení nebo orgánu.
== Splnění standardu digitální služby ==
Pro splnění [[Standard digitální služby|bodu 7 standardu digitální služby]] (porozumějte problémům bezpečnosti a ochrany osobních údajů) ve vašem hodnocení služeb, musíte ukázat, jak se váš tým bude zabývat otázkami zabezpečení a ochrany osobních údajů.
== Než začnete hodnotit bezpečnost ==
=== Přijměte fakt, že vaše služba bude mít informační riziko ===
Je nereálné usilovat o službu bez informačního rizika. Měli byste identifikovat riziko pro vaši službu, které přestavuje vaše volba technologií, procesů, personálního obsazení a agregace dat. Pokud tomuto riziku porozumíte, pak můžete najít způsob, jak jej snížit.
=== Mluvte s odborníky na rizika ===
Bude třeba, abyste projednali vaše rozhodnutí o zabezpečení příslušných technologií i se specialistou kybernetické bezpečnosti vašeho úřadu. Ten je zodpovědný za řešení rizik ve všech službách vaší organizace. Může vám pomoci rozhodnout se o rizicích, která můžete přijmout, a vytvořit plán, který zmírňuje ty rizika, která přijmout nemůžete.
Pokud takového pracovníka v úřadu nemáte, [https://www.govcert.cz kontaktujte Národní centrum kybernetické bezpečnosti] .
== Kdy je vhodné zvážit zabezpečení informací ==
Měli byste začít myslet na bezpečnost vaší služby už v [[Agilní přístup#F.C3.A1ze agiln.C3.ADho projektu|úvodních fázích návrhu služby]] ( [[Objevovací fáze služby|objevovací]] nebo [[Fáze alfa provozu služby|alfa]] fáze), v závislosti na tom, co budujete .
Vládní bezpečnostní politika znamená, že vaše bezpečnostní opatření musí být přiměřená riziku a nadále umožňují naplnit uživatelské potřeby, při zachování odpovídající úrovně bezpečnosti.
== Jak posoudit bezpečnost informací ==
Při hodnocení vaší služby a uchovávaných dat byste měli zvážit následující obecné kategorie:
* '''Důvěrnost''' – informace by měly být viděny pouze osobami, které mají oprávnění k přístupu k těmto informacím
* '''Integrita''' – informace by měly být upravovány pouze osobami, které jsou k tomu oprávněny
* '''Dostupnost''' – informace by měly být k dispozici v případě potřeby (problémy nebo útoky by vás neměli zastavit při získávání informací ze systému)
* '''Evidence''' – každý přístup k datům, jak pro čtení tak pro zápis, musí být evidován. Pro každý jednotlivý přístup musí být bezpodmínečně možné se dopátrat zpět k odpovědné osobě.
Zvažte také veškeré příslušné zákony o ochraně osobních údajů – informujte o tom svého pověřence pro ochranu údajů.
== Provádění hodnocení rizik ==
Pro posouzení rizik neexistuje žádný vládní standard, ale jakýmkoli způsobem budete posuzovat rizika, měli byste:
# Zvážit hrozby pro váš systém, informace a majetek, které ukládáte.
# Zaznamenat všechna rizika, která jsou podle vás možná přes to, že nemáte jejich řešení.
# Upřednostnit rizika, která identifikujete jako nejpravděpodobnější, a rizika, která by měla největší vliv na vaši službu a uživatele.
=== Zjistěte více informací o hodnocení rizik ===
Přečtěte si tyto články, abyste zjistili, jak ostatní organizace řídí riziko:
* Zavedení řízení rizik ( [https://www.govcert.cz Národní centrum kybernetické bezpečnosti] )
* [https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/ Podpůrné materiály a metodiky NÚKIB].
* [http://www.iso.org/iso/iso27001 Řízení informační bezpečnosti] (Mezinárodní organizace pro standardizaci)
* [https://www.microsoft.com/en-us/sdl/ Životní cyklus rozvoje zabezpečení] (Microsoft)
=== Techniky hodnocení rizik ===
Během vývoje vaší služby můžete posoudit, jak dobře řídíte rizika pomocí technik, jako jsou audity kódů a testování penetracetřetích stran.
Měli byste provést „red team exercises a game days“, abyste mohli opakovat postupy řízení nehod.
Pokud nastane skutečná událost, můžete použít bezúhonný post mortemk určení, zda existují akce, které by zlepšily schopnost týmu reagovat v budoucnu.
== Ochrana informací ==
Jakmile zjistíte rizika týkající se vašich informací, můžete zvážit, jak je snížit, například pomocí:
* Fyzické kontroly, jako jsou stěny, zamčené dveře nebo kryty
* Procedurální kontroly, jako je zpřístupnění manažera odpovědného za přístup, školení pracovníků nebo zavedení postupů reakce na mimořádné události
* Regulační kontroly, jako je legislativa, politika nebo pravidla pro zaměstnance
* Technické kontroly, jako je kryptografický software, ověřovací a autorizační systémy nebo zabezpečené protokoly
=== Výběr kontrolních prvků, které chcete použít ===
Pro zvolení ovládacích prvků, musíte posoudit riziko zveřejnění nebo úpravy informací a potom rozhodnout, která rizika jste ochotni podstoupit.
Mnoho kontrolních prvků má své nevýhody a některé z nich nemusejí vyhovovat vaší službě.
=== Vyžádaná nebo reakční ochrana ===
Kontrolní prvky vysvětlené v této příručce pomáhají předcházet případným incidentům, ale pro vaši organizaci může být efektivnější detekovat případné incidenty a reagovat na ně.
Například by mohlo být levnější koupit ochranu proti DDOS (Distributed Denial of Service) útoku, která se zapne pouze tehdy, když o to požádáte, místo toho, abyste si koupili ochranu, kterou musíte neustále udržovat v chodu.
== Získání kontroly stavu IT ==
Kontrola stavu IT poskytuje záruku, že externí systémy vaší organizace jsou chráněny před neoprávněným přístupem nebo změnou.
Kontrola bude provedena penetračním testem provedeným poskytovatelem Centra národní kyberbezpečnosti (NCSC) - přečtěte si více o penetračních testech.
== Další čtení ==
* [https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/ Podpůrné materiály a metodiky NÚKIB].
