https://www.moderni-stat.cz/index.php?title=Zabezpe%C4%8Den%C3%AD_va%C5%A1ich_informac%C3%AD&feed=atom&action=historyZabezpečení vašich informací - Historie editací2024-03-28T18:32:01ZHistorie editací této stránkyMediaWiki 1.31.15https://www.moderni-stat.cz/index.php?title=Zabezpe%C4%8Den%C3%AD_va%C5%A1ich_informac%C3%AD&diff=449&oldid=prevMichal: Založena nová stránka s textem „Bezpečnost informací zajišťují technologie, zásady a postupy, které zvolíte k tomu, abyste měli vaše data v bezpečí. Je to důležité, proto…“2019-02-10T18:58:28Z<p>Založena nová stránka s textem „Bezpečnost informací zajišťují technologie, zásady a postupy, které zvolíte k tomu, abyste měli vaše data v bezpečí. Je to důležité, proto…“</p>
<p><b>Nová stránka</b></p><div>Bezpečnost informací zajišťují technologie, zásady a postupy, které zvolíte k tomu, abyste měli vaše data v bezpečí.<br />
<br />
Je to důležité, protože vláda má povinnost chránit data uživatelů služeb. Bez této ochrany by uživatelé mohli ztratit důvěru ve veřejné služby.<br />
<br />
Vládní politika státního cloudu znamená, že budete s největší pravděpodobností budovat svůj systém v cloudu – zjistěte více o [[zabezpečení prostředí cloudu]].<br />
<br />
== Zabezpečení „tajných“ a „přísně tajných“ informací ==<br />
Pokud vaše služba zpracovává informace, které jsou klasifikovány jako „tajné“ nebo „přísně tajné“, měli byste požádat o odborné rady od vašeho bezpečnostního týmu oddělení nebo orgánu.<br />
<br />
== Splnění standardu digitální služby ==<br />
Pro splnění [[Standard digitální služby|bodu 7 standardu digitální služby]] (porozumějte problémům bezpečnosti a ochrany osobních údajů) ve vašem hodnocení služeb, musíte ukázat, jak se váš tým bude zabývat otázkami zabezpečení a ochrany osobních údajů.<br />
<br />
== Než začnete hodnotit bezpečnost ==<br />
<br />
=== Přijměte fakt, že vaše služba bude mít informační riziko ===<br />
Je nereálné usilovat o službu bez informačního rizika. Měli byste identifikovat riziko pro vaši službu, které přestavuje vaše volba technologií, procesů, personálního obsazení a agregace dat. Pokud tomuto riziku porozumíte, pak můžete najít způsob, jak jej snížit.<br />
<br />
=== Mluvte s odborníky na rizika ===<br />
Bude třeba, abyste projednali vaše rozhodnutí o zabezpečení příslušných technologií i se specialistou kybernetické bezpečnosti vašeho úřadu. Ten je zodpovědný za řešení rizik ve všech službách vaší organizace. Může vám pomoci rozhodnout se o rizicích, která můžete přijmout, a vytvořit plán, který zmírňuje ty rizika, která přijmout nemůžete.<br />
<br />
Pokud takového pracovníka v úřadu nemáte, [https://www.govcert.cz kontaktujte Národní centrum kybernetické bezpečnosti] . <br />
<br />
== Kdy je vhodné zvážit zabezpečení informací ==<br />
Měli byste začít myslet na bezpečnost vaší služby už v [[Agilní přístup#F.C3.A1ze agiln.C3.ADho projektu|úvodních fázích návrhu služby]] ( [[Objevovací fáze služby|objevovací]] nebo [[Fáze alfa provozu služby|alfa]] fáze), v závislosti na tom, co budujete .<br />
<br />
Vládní bezpečnostní politika znamená, že vaše bezpečnostní opatření musí být přiměřená riziku a nadále umožňují naplnit uživatelské potřeby, při zachování odpovídající úrovně bezpečnosti.<br />
<br />
== Jak posoudit bezpečnost informací ==<br />
Při hodnocení vaší služby a uchovávaných dat byste měli zvážit následující obecné kategorie:<br />
<br />
* '''Důvěrnost''' – informace by měly být viděny pouze osobami, které mají oprávnění k přístupu k těmto informacím<br />
* '''Integrita''' – informace by měly být upravovány pouze osobami, které jsou k tomu oprávněny<br />
* '''Dostupnost''' – informace by měly být k dispozici v případě potřeby (problémy nebo útoky by vás neměli zastavit při získávání informací ze systému)<br />
* '''Evidence''' – každý přístup k datům, jak pro čtení tak pro zápis, musí být evidován. Pro každý jednotlivý přístup musí být bezpodmínečně možné se dopátrat zpět k odpovědné osobě.<br />
<br />
Zvažte také veškeré příslušné zákony o ochraně osobních údajů – informujte o tom svého pověřence pro ochranu údajů.<br />
<br />
== Provádění hodnocení rizik ==<br />
Pro posouzení rizik neexistuje žádný vládní standard, ale jakýmkoli způsobem budete posuzovat rizika, měli byste:<br />
<br />
# Zvážit hrozby pro váš systém, informace a majetek, které ukládáte.<br />
# Zaznamenat všechna rizika, která jsou podle vás možná přes to, že nemáte jejich řešení.<br />
# Upřednostnit rizika, která identifikujete jako nejpravděpodobnější, a rizika, která by měla největší vliv na vaši službu a uživatele.<br />
<br />
=== Zjistěte více informací o hodnocení rizik ===<br />
Přečtěte si tyto články, abyste zjistili, jak ostatní organizace řídí riziko:<br />
<br />
* Zavedení řízení rizik ( [https://www.govcert.cz Národní centrum kybernetické bezpečnosti] )<br />
* [https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/ Podpůrné materiály a metodiky NÚKIB].<br />
* [http://www.iso.org/iso/iso27001 Řízení informační bezpečnosti] (Mezinárodní organizace pro standardizaci)<br />
* [https://www.microsoft.com/en-us/sdl/ Životní cyklus rozvoje zabezpečení] (Microsoft)<br />
<br />
=== Techniky hodnocení rizik ===<br />
Během vývoje vaší služby můžete posoudit, jak dobře řídíte rizika pomocí technik, jako jsou audity kódů a testování penetracetřetích stran.<br />
<br />
Měli byste provést „red team exercises a game days“, abyste mohli opakovat postupy řízení nehod.<br />
<br />
Pokud nastane skutečná událost, můžete použít bezúhonný post mortemk určení, zda existují akce, které by zlepšily schopnost týmu reagovat v budoucnu.<br />
<br />
== Ochrana informací ==<br />
Jakmile zjistíte rizika týkající se vašich informací, můžete zvážit, jak je snížit, například pomocí:<br />
<br />
* Fyzické kontroly, jako jsou stěny, zamčené dveře nebo kryty<br />
* Procedurální kontroly, jako je zpřístupnění manažera odpovědného za přístup, školení pracovníků nebo zavedení postupů reakce na mimořádné události<br />
* Regulační kontroly, jako je legislativa, politika nebo pravidla pro zaměstnance<br />
* Technické kontroly, jako je kryptografický software, ověřovací a autorizační systémy nebo zabezpečené protokoly<br />
<br />
=== Výběr kontrolních prvků, které chcete použít ===<br />
Pro zvolení ovládacích prvků, musíte posoudit riziko zveřejnění nebo úpravy informací a potom rozhodnout, která rizika jste ochotni podstoupit.<br />
<br />
Mnoho kontrolních prvků má své nevýhody a některé z nich nemusejí vyhovovat vaší službě.<br />
<br />
=== Vyžádaná nebo reakční ochrana ===<br />
Kontrolní prvky vysvětlené v této příručce pomáhají předcházet případným incidentům, ale pro vaši organizaci může být efektivnější detekovat případné incidenty a reagovat na ně.<br />
<br />
Například by mohlo být levnější koupit ochranu proti DDOS (Distributed Denial of Service) útoku, která se zapne pouze tehdy, když o to požádáte, místo toho, abyste si koupili ochranu, kterou musíte neustále udržovat v chodu.<br />
<br />
== Získání kontroly stavu IT ==<br />
Kontrola stavu IT poskytuje záruku, že externí systémy vaší organizace jsou chráněny před neoprávněným přístupem nebo změnou.<br />
<br />
Kontrola bude provedena penetračním testem provedeným poskytovatelem Centra národní kyberbezpečnosti (NCSC) - přečtěte si více o penetračních testech.<br />
<br />
== Další čtení ==<br />
<br />
* [https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/ Podpůrné materiály a metodiky NÚKIB].</div>Michal