Kraj Vysočina - oficiální internetové stránky Kraje Vysočina
Kraj Vysočina - oficiální internetové stránky Kraje Vysočina
Systém informací samosprávy


Detail materiálu pro radu čj. RK-31-2016-09

RK-31-2016-09.doc  RK-31-2016-09pr01.doc  RK-31-2016-09pr02.doc  RK-31-2016-09pr03.doc  RK-31-2016-09pr04.doc  RK-31-2016-09pr05.doc  RK-31-2016-09pr06.doc
Číslo materiálu09
Číslo jednacíRK-31-2016-09
NázevNávrh Směrnice, kterou se stanoví bezpečnostní politika Kraje Vysočina
Zpracoval D. Marek, D. Buřičová
Předkládá D. Buřičová
Počet příloh
Popis problémuNa základě požadavků zákona č. 181/2014 Sb., o kybernetické bezpečnosti, schválené Strategii ICT Kraje Vysočina a rozhodnutí vedení Krajského úřadu Kraje Vysočina dochází v současné době k implementaci procesního rámce - systému řízení bezpečnosti informací (dále jen ISMS ). ISMS je popsán v normách ČSN ISO/IEC 2700x a slouží k zavedení procesních a technických opatření za účelem zajištění odpovídající úrovně informační bezpečnosti.
Výsledkem zavedení systému bude nastavení komplexního systému pro zabezpečení informací, nastavení procesů k zamezení zneužití a ztráty informací, zefektivnění informačních toků prostředí kraje a jeho orgánů, ochrana osobních údajů a zamezení neoprávněného nakládání s osobními údaji. Zavedení ISMS zajistí zlepšování podmínek bezpečnosti dat a informací, dodržování zákonných požadavků v oblasti bezpečnosti a ochrany dat, informací a osobních údajů, zajištění průkaznosti plnění požadavků legislativy a získání právně uznatelných důkazů pro případ potřeby, snížení rizika vzniku havárií a stavů ztráty nebo znehodnocení dat a informací, zamezení nechtěné nebo neúmyslné modifikace dat a informací, snížení rizika sankcí vyplývajících z nedodržování legislativy a regresů spojených únikem dat, informací a osobních údajů, vyřešení kompetence pracovníků, odpovědností a pravomocí v oblasti bezpečnosti dat a informací a v neposlední míře přispěje i zvýšení důvěryhodnosti a dobrého jména Kraje Vysočina.

Průběh zavedení systému ISO/IEC 27001 je následující:
* vstupní analýza (zmapování stávajících procesů, vymezení systému a jeho procesů)
* stanovení úrovně bezpečnosti
* stanovení rozsahu aplikovatelnosti
* určení způsobu řízení rizik v oblasti informací
* implementace definovaných postupů do praxe
* standardizace postupů formou dokumentace
* zmapování relevantních procesů a to v tomto rozsahu:
* popis procesů, jejich dokumentace a zachycení vzájemného působení a ovlivňování
* reengineering a vhodné přepracování málo výkonných míst procesů
* zpracování dokumentace procesů, map procesů a grafického záznamu vazeb
* zmapování legislativních a technických požadavků na realizaci procesů
* stanovení vstupů, výstupů a zdrojů potřebných pro činnost procesu
* personální řešení, řízení odpovědností a pravomocí
* provedení interního auditu k ověření implementace postupů do praxe
* korektura dokumentace na základě zjištění z interního auditu
* zaškolení pracovníků
* výběr certifikační společnosti a podání přihlášky k certifikačnímu auditu
* certifikační audit (1. a 2. stupeň, případně následný audit)
* opakovaný dohledový audit.

Očekávání úřadu do implementace ISMS jsou následující
* organizace bezpečnosti
* určení zodpovědností a pravomocí
* řízení rizik
* řízení vztahů s dodavateli
* definice bezpečnostních požadavků na dodávané informační systémy
* řízení aktiv
* identifikace a ohodnocení aktiv
* zavedení pravidel pro používání mobilních zařízení, paměťových médií, zaměstnaneckých a čipových karet
* zavedení pravidel na manipulaci s informacemi
* bezpečnost lidských zdrojů
* zavedení systému vzdělávání zaměstnanců v oblasti bezpečnosti
* fyzická bezpečnost
* zabezpečení důležitých místností - serverovny, spisovny, kanceláře
* řízení přístupů
* schvalování a evidence přístupů
* přidělování přístupů na základě principu potřeba znát a potřeba použít
* používání bezpečných hesel a
* včasné odebírání nepotřebných přístupů
* kryptografie
* používání bezpečných kryptografických prostředků a jejich ochrana
* bezpečnost provozu
* evidence změn v IS
* dokumentace provozních postupů
* plánování kapacit
* provádění pravidelných a obnovitelných záloh dat
* řešení technických zranitelností
* zaznamenávání a vyhodnocování vzniklých událostí
* provádění bezpečnostních auditů
* řízení incidentů
* efektivní řešení bezpečnostních incidentů a jejich evidence.

Všechny výše uvedené aktivity jsou zapracované do Směrnice, kterou se stanoví bezpečnostní politika Kraje Vysočina, viz příloha RK-31-2016-09, př. 1.
Směrnice vznikla ve spolupráci členů pracovního týmu jmenovaného ředitelem krajského úřadu (čj. 26432/2015 - Implementace procesního rámce pro řízení informační bezpečnosti).
Návrh řešení Odbor analýz a podpory řízení Krajského úřadu Kraje Vysočina navrhuje Radě Kraje schválit Směrnici, kterou se stanoví bezpečnostní politika Kraje Vysočina, dle přílohy
RK-31-2016-09, př. 1, vzít na vědomí metodické postupy ISMS z pohledu zaměstnance, vedoucího odboru a samostatného oddělení Krajského úřadu Kraje Vysočina, garanta aktiva a technického správce dle materiálů RK-31-2016-09, př. 3, RK-31-2016-09, př. 4,
RK-31-2016-09, př. 5, RK-31-2016-09, př. 6 a uložit Odboru analýz a podpory řízení Krajského úřadu Kraje řízení postupovat v implementaci ISMS v souladu s harmonogramem uvedeným v materiálu RK-31-2016-09, př. 2.
StanoviskaStanoviska nebyla vyžádána.
Návrh usneseníRada kraje
schvaluje
Směrnici, kterou se stanoví bezpečnostní politika Kraje Vysočina, dle materiálu
RK-31-2016-09, př. 1;
bere na vědomí
metodické postupy ISMS z pohledu zaměstnance, vedoucího odboru a samostatného oddělení Krajského úřadu Kraje Vysočina, garanta aktiva a technického správce dle materiálů RK-31-2016-09, př. 3, RK-31-2016-09, př. 4, RK-31-2016-09, př. 5,
RK-31-2016-09, př. 6;
ukládá
Odboru analýz a podpory řízení Krajského úřadu Kraje Vysočina postupovat v implementaci ISMS v souladu s harmonogramem uvedeným v materiálu RK-31-2016-09, př. 2.
Odpovědnost OAPŘ
Termín 28. 2. 2017
zpět
Krajský úřad Kraje Vysočina, Žižkova 57, 587 33  Jihlava © 2004 webmaster@kr-vysocina.cz