Zabezpečení vašich informací
Bezpečnost informací zajišťují technologie, zásady a postupy, které zvolíte k tomu, abyste měli vaše data v bezpečí.
Je to důležité, protože vláda má povinnost chránit data uživatelů služeb. Bez této ochrany by uživatelé mohli ztratit důvěru ve veřejné služby.
Vládní politika státního cloudu znamená, že budete s největší pravděpodobností budovat svůj systém v cloudu – zjistěte více o zabezpečení prostředí cloudu.
Obsah
Zabezpečení „tajných“ a „přísně tajných“ informací
Pokud vaše služba zpracovává informace, které jsou klasifikovány jako „tajné“ nebo „přísně tajné“, měli byste požádat o odborné rady od vašeho bezpečnostního týmu oddělení nebo orgánu.
Splnění standardu digitální služby
Pro splnění bodu 7 standardu digitální služby (porozumějte problémům bezpečnosti a ochrany osobních údajů) ve vašem hodnocení služeb, musíte ukázat, jak se váš tým bude zabývat otázkami zabezpečení a ochrany osobních údajů.
Než začnete hodnotit bezpečnost
Přijměte fakt, že vaše služba bude mít informační riziko
Je nereálné usilovat o službu bez informačního rizika. Měli byste identifikovat riziko pro vaši službu, které přestavuje vaše volba technologií, procesů, personálního obsazení a agregace dat. Pokud tomuto riziku porozumíte, pak můžete najít způsob, jak jej snížit.
Mluvte s odborníky na rizika
Bude třeba, abyste projednali vaše rozhodnutí o zabezpečení příslušných technologií i se specialistou kybernetické bezpečnosti vašeho úřadu. Ten je zodpovědný za řešení rizik ve všech službách vaší organizace. Může vám pomoci rozhodnout se o rizicích, která můžete přijmout, a vytvořit plán, který zmírňuje ty rizika, která přijmout nemůžete.
Pokud takového pracovníka v úřadu nemáte, kontaktujte Národní centrum kybernetické bezpečnosti .
Kdy je vhodné zvážit zabezpečení informací
Měli byste začít myslet na bezpečnost vaší služby už v úvodních fázích návrhu služby ( objevovací nebo alfa fáze), v závislosti na tom, co budujete .
Vládní bezpečnostní politika znamená, že vaše bezpečnostní opatření musí být přiměřená riziku a nadále umožňují naplnit uživatelské potřeby, při zachování odpovídající úrovně bezpečnosti.
Jak posoudit bezpečnost informací
Při hodnocení vaší služby a uchovávaných dat byste měli zvážit následující obecné kategorie:
- Důvěrnost – informace by měly být viděny pouze osobami, které mají oprávnění k přístupu k těmto informacím
- Integrita – informace by měly být upravovány pouze osobami, které jsou k tomu oprávněny
- Dostupnost – informace by měly být k dispozici v případě potřeby (problémy nebo útoky by vás neměli zastavit při získávání informací ze systému)
- Evidence – každý přístup k datům, jak pro čtení tak pro zápis, musí být evidován. Pro každý jednotlivý přístup musí být bezpodmínečně možné se dopátrat zpět k odpovědné osobě.
Zvažte také veškeré příslušné zákony o ochraně osobních údajů – informujte o tom svého pověřence pro ochranu údajů.
Provádění hodnocení rizik
Pro posouzení rizik neexistuje žádný vládní standard, ale jakýmkoli způsobem budete posuzovat rizika, měli byste:
- Zvážit hrozby pro váš systém, informace a majetek, které ukládáte.
- Zaznamenat všechna rizika, která jsou podle vás možná přes to, že nemáte jejich řešení.
- Upřednostnit rizika, která identifikujete jako nejpravděpodobnější, a rizika, která by měla největší vliv na vaši službu a uživatele.
Zjistěte více informací o hodnocení rizik
Přečtěte si tyto články, abyste zjistili, jak ostatní organizace řídí riziko:
- Zavedení řízení rizik ( Národní centrum kybernetické bezpečnosti )
- Podpůrné materiály a metodiky NÚKIB.
- Řízení informační bezpečnosti (Mezinárodní organizace pro standardizaci)
- Životní cyklus rozvoje zabezpečení (Microsoft)
Techniky hodnocení rizik
Během vývoje vaší služby můžete posoudit, jak dobře řídíte rizika pomocí technik, jako jsou audity kódů a testování penetracetřetích stran.
Měli byste provést „red team exercises a game days“, abyste mohli opakovat postupy řízení nehod.
Pokud nastane skutečná událost, můžete použít bezúhonný post mortemk určení, zda existují akce, které by zlepšily schopnost týmu reagovat v budoucnu.
Ochrana informací
Jakmile zjistíte rizika týkající se vašich informací, můžete zvážit, jak je snížit, například pomocí:
- Fyzické kontroly, jako jsou stěny, zamčené dveře nebo kryty
- Procedurální kontroly, jako je zpřístupnění manažera odpovědného za přístup, školení pracovníků nebo zavedení postupů reakce na mimořádné události
- Regulační kontroly, jako je legislativa, politika nebo pravidla pro zaměstnance
- Technické kontroly, jako je kryptografický software, ověřovací a autorizační systémy nebo zabezpečené protokoly
Výběr kontrolních prvků, které chcete použít
Pro zvolení ovládacích prvků, musíte posoudit riziko zveřejnění nebo úpravy informací a potom rozhodnout, která rizika jste ochotni podstoupit.
Mnoho kontrolních prvků má své nevýhody a některé z nich nemusejí vyhovovat vaší službě.
Vyžádaná nebo reakční ochrana
Kontrolní prvky vysvětlené v této příručce pomáhají předcházet případným incidentům, ale pro vaši organizaci může být efektivnější detekovat případné incidenty a reagovat na ně.
Například by mohlo být levnější koupit ochranu proti DDOS (Distributed Denial of Service) útoku, která se zapne pouze tehdy, když o to požádáte, místo toho, abyste si koupili ochranu, kterou musíte neustále udržovat v chodu.
Získání kontroly stavu IT
Kontrola stavu IT poskytuje záruku, že externí systémy vaší organizace jsou chráněny před neoprávněným přístupem nebo změnou.
Kontrola bude provedena penetračním testem provedeným poskytovatelem Centra národní kyberbezpečnosti (NCSC) - přečtěte si více o penetračních testech.