Zajistěte bezpečnost systémů a dat

Zajistěte odpovídající úroveň zabezpečení pro všechny systémy a data.

Pro splnění bodu 6 Pravidel správné technologické praxe musí být z vašeho plánu a designu patrné, jak zabezpečíte data a systémy.

Opatření podnikaná za účelem zabezpečení dat a systémů budete muset vysvětlit v rámci procesu řízení výdajů.

Řešte zabezpečení a bezpečnost od samého začátku

Řešte zabezpečení systémů a dat od samého začátku projektu. Je třeba, aby se váš tým podílel na zabezpečení každého jednotlivého prvku řešení, a nikoli, aby vaši bezpečnostní experti navrhovali technická protiopatření k již hotovému produktu.

Proškolení uživatelů a nastavení jasných procesů je z pohledu bezpečnosti stejně důležité, jako realistické vyhodnocení hrozeb a vyvážený přístup k řízení rizik.

Plánujte zamítnutí škodlivého přístupu a obnovu systému po něm. Zajistěte existenci procesů pro záznam informací o všech útocích a používejte tato data pro vytvoření lepší ochrany.

Jak zabezpečit vaši technologii

Zvolte odpovídající úroveň zabezpečení pro svůj projekt či program v oblasti IT. Zvažujte možná rizika, zavádějte procesy pro zmírnění jejich dopadu a zlepšujte množství času potřebné pro obnovení systému.

Svá data a infrastrukturu můžete zabezpečit tím, že:

• se budete řídit principy uvedenými v Zásadách bezpečnostní politiky a Bezpečnostní politiky klasifikace informací;
• budete dodržovat zásady Národního centra kybernetické bezpečnosti uvedené v Doporučeních pro řízení rizik v oblasti informací
• budete navrhovat a implementovat komponenty každého systému v souladu s nejlepší praxí ve veřejné správě, včetně zásad budování sítí veřejné správy, zásad bezpečného designu pro digitální služby a zabezpečení elektronické pošty veřejné správy;
• stanovíte bezpečnostní požadavky cloudových služeb dle Zásad zabezpečení cloudových služeb and průvodních doporučení

Související doporučení a odkazy

• Seznam souvisejících vodítek Pravidel správné technologické praxe
• Zásady bezpečnostní politiky
• Zásady budování sítí veřejné správy
• Bezpečnostní politika klasifikace informací
• Doporučení pro nakládání s kategorií informací „OFFICIAL SENSITIVE“ v IT
• Zabezpečení elektronické pošty veřejné správy
• Bezpečnost při programování v otevřeném zdrojovém kódu
• Soubor doporučení Národního centra kybernetické bezpečnosti k řízení rizik
• Zásady bezpečného designu pro digitální služby
• Zásady NCSC pro zabezpečení cloudových služeb
• NCSC – Zabezpečení cloudu
• Řízení rizik u produktů využívajících cloudové služby
• [https://www.ncsc.gov.uk/guidance/nis-guidance-collection Soubor doporučení NCSC ke kyberbezpečnostní směrnici EU o bezpečnosti sítí
  

a informací (NIS) ]

Zveřejněno 6. Listopadu 2017