Najslabšie miesta informačnej bezpečnosti

04. 05. 2010 | Komentáre čitateľov [0]

Obsah článku vychádza z analýz, ktoré sme uskutočnili v posledných rokoch na Slovensku, ale aj v Českej republike. Tieto analýzy sa uskutočnili v organizáciách, kde sa informačná bezpečnosť už v minulosti riešila, ale aj v organizáciách, ktoré sa problematike informačnej bezpečnosti primerane nevenovali. Primárnym cieľom bolo posúdiť úroveň informačnej bezpečnosti voči norme ISO/IEC 27002 v súčasnosti sa nachádzajúcej v skupine noriem ISO 27000 vychádzajúcich z normy BS7799, ktorá bola neskôr prepracovaná na ISO 17799. Ide podľa môjho názoru o rozumný základ, ktorého zohľadnením sa zaručuje, že v posudzovaných oblastiach sa na nič dôležité nezabudlo. Je vhodné spomenúť, že táto norma je v súčasnosti súčasťou STN s označením STN ISO/IEC 27002. Norma pokrýva jedenásť oblastí, ako napríklad bezpečnosť ľudských zdrojov, fyzická bezpečnosť, riadenie prevádzky a ďalšie.
Ktoré oblasti informačnej bezpečnosti v zmysle STN ISO/IEC 27002 teda patrili medzi najslabšie pokryté?

RIADENIE INCIDENTOV. Toto riadenie sa vo všeobecnosti takmer ignoruje. Často nie je dostatočne procesne pokryté a pracuje podľa zásady: „Ak niečo nefunguje, zavolám nášho IT-čkára a on to už nejako opraví.“ Čím je organizácia väčšia, tým viac chaosu a problémov môže takéto „riešenie“ spôsobovať a je traumatizujúcim nielen pre užívateľov, ale aj pre pracovníkov IT. Takýmto štýlom nielen opakovane dochádza k rovnakým problémom, ale keď nastanú, riešia sa rovnako, ako by sa stali prvýkrát, najmä ak ide o rozdielnych riešiteľov.

Riadny systém riadenia incidentov informačnej bezpečnosti by mal pokrývať systém nahlasovania a riadenia. Pre nahlasovanie by sa malo vytvoriť jedno centrálne kontaktné miesto, umožňujúce jednoducho nahlásiť akýkoľvek problém a túto požiadavku distribuovať relevantnému riešiteľovi. Okrem odstránenia problému je, samozrejme, potrebné jednotlivé udalosti spracovať s cieľom minimalizovať opakovaný výskyt, ale tiež štandardizovať prípadné opakované riešenie. Rovnako by výstupy mali byť súčasťou systému analýzy a zvládania rizík či podkladom napr. pre definovanie a kontroly SLA.

Celý článok v priloženom pdf

Napísať komentár




Informačná a kybernetická bezpečnosť prakticky

* Trendy, stratégie a taktiky informačnej a kybernetickej bezpečnosti

* Praktický pohľad na bezpečnosť

23. mája 2019, Bratislava