KYBEZ

V závěru loňského roku byl firmou GORDIC proveden audit bezpečnosti dat v rámci informačního systému Městského úřadu Blansko. Výsledky auditu prošly připomínkovým řízením a jeho finální podoba byla v těchto dnech odprezentována zpracovatelem zástupcům města.

 Účelem auditu bylo identifikovat hrozby a rizika, která mohou ovlivnit činnost městského úřadu v případě diskreditace, zničení nebo poškození těchto dat, dále pak posoudit stav informační bezpečnosti s požadavky uvedenými v normě ČSN ISO/IEC 27001, rozklíčovat hlavní datové toky v organizaci a v neposlední řadě navrhnout i ochranná opatření, která budou eliminovat a snižovat hrozby a zvýší tak informační bezpečnost dotčených dat a informací.

V rámci auditu byla posuzována zejména dostatečnost technologických i procesních aspektů bezpečnosti, byla provedena interview se zástupci vybraných uživatelů MěÚ Blansko, uživateli a správcem informačního systému.

Účelem auditu bylo identifikovat hrozby a rizika, která mohou ovlivnit činnost IS a dále pak posoudit stav informační bezpečnosti s požadavky uvedenými v normě ČSN ISO/IEC 27001, konstatovat míru shody s touto normou, konstatovat naplnění požadavků na informační bezpečnost podle zákona č. 101/2000 Sb. (Ochrana osobních údajů) a doporučit formu zabezpečení s cílem ji kvalitativně zvýšit.

V rámci auditu byla posuzována zejména dostatečnost technologických i procesních aspektů bezpečnosti a bylo provedeno interview s náhodně vybranými uživateli informačního systému s cílem odhalit neshody jak v objektivní, tak v subjektivní rovině. Hlavním zdrojem informací pro auditora pak byla existující bezpečnostní dokumentace MěÚ Blansko (míněno ve vztahu k informační a nikoli obecné bezpečnosti) a interview s pracovníky, odpovědnými za provoz informačního systému MěÚ Blansko.

Jako základní bezpečnostní etalon auditu byla vybrána bezpečnostní norma ČSN ISO/IEC 27001. Auditor posuzoval bezpečnost informačního systému podle této normy z toho důvodu, že její časová prověřenost a struktura nejlépe odpovídá pravidlům provozu bezpečného informačního systému. MěÚ Blansko se v nejbližší době nehodlá ucházet o certifikaci informačního systému podle této normy, takže drobná pochybení oproti ní lze v současnosti přijmout jako akceptované riziko v oblasti bezpečnosti bez dalších dopadů. V dlouhodobém horizontu by se však provoz IS MěÚ měl přibližovat požadavkům normy, neboť je to právě její odnož, norma ISO/IEC 27002, která definuje soupis bezpečnostních požadavků na kritický informační systém podle zákona č. 181/2014 Sb. (O kybernetické bezpečnosti) a sním souvisejících předpisů (viz schéma rozsahu zákonných požadavků).

Stav informační bezpečnosti podle ISO 27001 se omezuje jen na vybrané články normy, a to tyto:

•             A 5: Informační bezpečnostní politika

o             A 5.1. Bezpečnostní politika informací

•             A 6: Infrastruktura informační bezpečnosti

o             A 6.1. Interní organizace

o             A 6.2. Externí subjekty

•             A 7: Klasifikace řízení aktiv

o             A 7.1. Odpovědnost za aktiva

o             A 7.2. Klasifikace informací

•             A 8: Bezpečnost lidských zdrojů

o             A 8.1. Před vznikem pracovního vztahu

o             A 8.2. Během pracovního vztahu

o             A 8.3. Ukončení nebo změna pracovního vztahu

•             A 9: Fyzická bezpečnost a bezpečnost prostředí

o             A 9.1. Zabezpečené oblasti

o             A 9.2. Bezpečnost zařízení

•             A 10: Řízení komunikací a řízení provozu

o             A 10.1. Provozní postupy a odpovědnosti

o             A 10.2. Řízení dodávek služeb třetích stran         

o             A 10.3. Plánování a přejímání (akceptace) systémů

o             A 10.4. Ochrana proti škodlivým programům a mobilním kódům

o             A 10.5. Zálohování

o             A 10.6. Správa bezpečnosti sítě

o             A 10.7. Bezpečnost při zacházení s médii

o             A 10.8. Výměna informací

o             A 10.9. Služby elektronického obchodu

o             A 10.10. Monitorování

•             A 11: Řízení přístupu

o             A 11.1. Požadavky na řízení přístupu

o             A 11.2. Řízení přístupu uživatelů

o             A 11.3. Odpovědnosti uživatelů

o             A 11.4. Řízení přístupu k síti

o             A 11.5. Řízení přístupu k operačnímu systému

o             A 11.6. Řízení přístupu k aplikacím

o             A 11.7. Mobilní výpočetní prostředky a práce na dálku

•             A 12: Akvizice, vývoj a údržba informačních systémů

o             A 12.1. Bezpečnostní požadavky systémů

o             A 12.2. Správné zpracování v aplikacích

o             A 12.3. Kryptografická opatření

o             A 12.4. Bezpečnost systémových souborů

o             A 12.5. Bezpečnost procesů vývoje a podpory

o             A 12.6. Řízení technických zranitelností

•             A 13: Zvládání bezpečnostních incidentů

o             A 13.1. Hlášení bezpečnostních událostí a slabin

o             A 13.2. Vytváření a implementace plánů kontinuity

•             A 14: Řízení kontinuity činností organizace

o             A 14.1. Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací

•             A 15: Soulad s požadavky

o             A 15.1. Soulad s právními normami

o             A 15.2. Soulad s bezpečnostními politikami, normami a technická shoda

o             A 15.3. Hlediska auditu informačních systémů

Zpracovaný materiál byl předložen zástupcům města s doporučeními dalšího postupu a návrhům eliminace případných rizik. Materiál bude dále sloužit jako základ pro realizaci konkrétních opatření schválených vedením města i jako podkladový materiál dalších rozsáhlejších projektů vybrané oblasti.