Cyberbezpieczeństwo serwerów i sieci komputerowych

Opracowanie, wdrożenie i przestrzeganie planu odtworzenia utraconych zasobów zapewniającego ciągłość działania.

Posted on 11 May 2024 by Audytor ISO 27001

Opracowanie, wdrożenie i przestrzeganie planu odtworzenia utraconych zasobów zapewniającego ciągłość działania.

Przeprowadzenie klasyfikacji krytyczności procesów i zasobów informatycznych jest kluczowym elementem zarządzania bezpieczeństwem informacji zgodnie z ISO 27001, zwłaszcza w kontekście organizacji JST. Proces ten pozwala na zrozumienie, które zasoby są najważniejsze dla funkcjonowania urzędu i jakie środki należy podjąć, aby je odpowiednio chronić. Przykłady w kontekście ISO 27001:

Zidentyfikowanie zasobów informatycznych

  • Systemy informatyczne (np. systemy do zarządzania dokumentami, bazy danych, systemy finansowe)
  • Aplikacje
  • Infrastruktura sieciowa (np. serwery, routery)
  • Dane (w tym dane osobowe, poufne dokumenty urzędowe)
  • Usługi zewnętrzne i chmura

Przeprowadzenie analizy ryzyka

  • Prawdopodobieństwo wystąpienia różnych typów zagrożeń (np. cyberataki, awarie sprzętowe, błędy ludzkie)
  • Wpływ, jaki zagrożenia mogłyby mieć na działanie urzędu, w tym na usługi świadczone dla obywateli

Ocena wpływu na działalność (BIA)

  • Krytyczność dla operacji urzędu
  • Wymagane czasy odzyskiwania (Recovery Time Objective – RTO)
  • Wymagane punkty odzyskiwania (Recovery Point Objective – RPO)

Klasyfikacja zasobów

  • Zasoby krytyczne: Serwery baz danych zawierające informacje o klientach, systemy finansowe, infrastruktura kluczowych aplikacji.
  • Zasoby wrażliwe: Dokumentacja personalna, dane regulowane prawnie (np. informacje o zdrowiu, dane osobowe), e-maile zawierające poufne informacje.
  • Zasoby operacyjne: Urządzenia sieciowe takie jak routery i przełączniki, stacje robocze i laptopy pracowników, Oprogramowanie biurowe i narzędzia komunikacyjne.

Implementacja odpowiednich środków ochrony

  • Zabezpieczenia techniczne (np. szyfrowanie, systemy zapobiegania włamaniom)
  • Procedury operacyjne (np. regularne tworzenie kopii zapasowych, testowanie planów awaryjnych)
  • Szkolenia dla pracowników dotyczące bezpieczeństwa informacji

Monitoring i przeglądy

  • Systematyczny monitoring skuteczności zaimplementowanych środków
  • Regularne przeglądy klasyfikacji zasobów
  • Utrzymanie aktualności i skuteczności systemu zarządzania bezpieczeństwem informacji

Zadanie to jest obowiązkowe i można je zrealizować z naszą pomocą