| RK-31-2016-09.doc RK-31-2016-09pr01.doc RK-31-2016-09pr02.doc RK-31-2016-09pr03.doc RK-31-2016-09pr04.doc RK-31-2016-09pr05.doc RK-31-2016-09pr06.doc | |
| Číslo materiálu | 09 |
| Číslo jednací | RK-31-2016-09 |
| Název | Návrh Směrnice, kterou se stanoví bezpečnostní politika Kraje Vysočina |
| Zpracoval | D. Marek, D. Buřičová |
| Předkládá | D. Buřičová |
| Počet příloh | |
| Popis problému | Na základě požadavků zákona č. 181/2014 Sb., o kybernetické bezpečnosti, schválené Strategii ICT Kraje Vysočina a rozhodnutí vedení Krajského úřadu Kraje Vysočina dochází v současné době k implementaci procesního rámce - systému řízení bezpečnosti informací (dále jen ISMS ). ISMS je popsán v normách ČSN ISO/IEC 2700x a slouží k zavedení procesních a technických opatření za účelem zajištění odpovídající úrovně informační bezpečnosti. Výsledkem zavedení systému bude nastavení komplexního systému pro zabezpečení informací, nastavení procesů k zamezení zneužití a ztráty informací, zefektivnění informačních toků prostředí kraje a jeho orgánů, ochrana osobních údajů a zamezení neoprávněného nakládání s osobními údaji. Zavedení ISMS zajistí zlepšování podmínek bezpečnosti dat a informací, dodržování zákonných požadavků v oblasti bezpečnosti a ochrany dat, informací a osobních údajů, zajištění průkaznosti plnění požadavků legislativy a získání právně uznatelných důkazů pro případ potřeby, snížení rizika vzniku havárií a stavů ztráty nebo znehodnocení dat a informací, zamezení nechtěné nebo neúmyslné modifikace dat a informací, snížení rizika sankcí vyplývajících z nedodržování legislativy a regresů spojených únikem dat, informací a osobních údajů, vyřešení kompetence pracovníků, odpovědností a pravomocí v oblasti bezpečnosti dat a informací a v neposlední míře přispěje i zvýšení důvěryhodnosti a dobrého jména Kraje Vysočina. Průběh zavedení systému ISO/IEC 27001 je následující: * vstupní analýza (zmapování stávajících procesů, vymezení systému a jeho procesů) * stanovení úrovně bezpečnosti * stanovení rozsahu aplikovatelnosti * určení způsobu řízení rizik v oblasti informací * implementace definovaných postupů do praxe * standardizace postupů formou dokumentace * zmapování relevantních procesů a to v tomto rozsahu: * popis procesů, jejich dokumentace a zachycení vzájemného působení a ovlivňování * reengineering a vhodné přepracování málo výkonných míst procesů * zpracování dokumentace procesů, map procesů a grafického záznamu vazeb * zmapování legislativních a technických požadavků na realizaci procesů * stanovení vstupů, výstupů a zdrojů potřebných pro činnost procesu * personální řešení, řízení odpovědností a pravomocí * provedení interního auditu k ověření implementace postupů do praxe * korektura dokumentace na základě zjištění z interního auditu * zaškolení pracovníků * výběr certifikační společnosti a podání přihlášky k certifikačnímu auditu * certifikační audit (1. a 2. stupeň, případně následný audit) * opakovaný dohledový audit. Očekávání úřadu do implementace ISMS jsou následující * organizace bezpečnosti * určení zodpovědností a pravomocí * řízení rizik * řízení vztahů s dodavateli * definice bezpečnostních požadavků na dodávané informační systémy * řízení aktiv * identifikace a ohodnocení aktiv * zavedení pravidel pro používání mobilních zařízení, paměťových médií, zaměstnaneckých a čipových karet * zavedení pravidel na manipulaci s informacemi * bezpečnost lidských zdrojů * zavedení systému vzdělávání zaměstnanců v oblasti bezpečnosti * fyzická bezpečnost * zabezpečení důležitých místností - serverovny, spisovny, kanceláře * řízení přístupů * schvalování a evidence přístupů * přidělování přístupů na základě principu potřeba znát a potřeba použít * používání bezpečných hesel a * včasné odebírání nepotřebných přístupů * kryptografie * používání bezpečných kryptografických prostředků a jejich ochrana * bezpečnost provozu * evidence změn v IS * dokumentace provozních postupů * plánování kapacit * provádění pravidelných a obnovitelných záloh dat * řešení technických zranitelností * zaznamenávání a vyhodnocování vzniklých událostí * provádění bezpečnostních auditů * řízení incidentů * efektivní řešení bezpečnostních incidentů a jejich evidence. Všechny výše uvedené aktivity jsou zapracované do Směrnice, kterou se stanoví bezpečnostní politika Kraje Vysočina, viz příloha RK-31-2016-09, př. 1. Směrnice vznikla ve spolupráci členů pracovního týmu jmenovaného ředitelem krajského úřadu (čj. 26432/2015 - Implementace procesního rámce pro řízení informační bezpečnosti). |
| Návrh řešení | Odbor analýz a podpory řízení Krajského úřadu Kraje Vysočina navrhuje Radě Kraje schválit Směrnici, kterou se stanoví bezpečnostní politika Kraje Vysočina, dle přílohy RK-31-2016-09, př. 1, vzít na vědomí metodické postupy ISMS z pohledu zaměstnance, vedoucího odboru a samostatného oddělení Krajského úřadu Kraje Vysočina, garanta aktiva a technického správce dle materiálů RK-31-2016-09, př. 3, RK-31-2016-09, př. 4, RK-31-2016-09, př. 5, RK-31-2016-09, př. 6 a uložit Odboru analýz a podpory řízení Krajského úřadu Kraje řízení postupovat v implementaci ISMS v souladu s harmonogramem uvedeným v materiálu RK-31-2016-09, př. 2. |
| Stanoviska | Stanoviska nebyla vyžádána. |
| Návrh usnesení | Rada kraje schvaluje Směrnici, kterou se stanoví bezpečnostní politika Kraje Vysočina, dle materiálu RK-31-2016-09, př. 1; bere na vědomí metodické postupy ISMS z pohledu zaměstnance, vedoucího odboru a samostatného oddělení Krajského úřadu Kraje Vysočina, garanta aktiva a technického správce dle materiálů RK-31-2016-09, př. 3, RK-31-2016-09, př. 4, RK-31-2016-09, př. 5, RK-31-2016-09, př. 6; ukládá Odboru analýz a podpory řízení Krajského úřadu Kraje Vysočina postupovat v implementaci ISMS v souladu s harmonogramem uvedeným v materiálu RK-31-2016-09, př. 2. |
| Odpovědnost | OAPŘ |
| Termín | 28. 2. 2017 |