SV Group Usluge Zaštita

Zaštita

Projektiranje i uvođenje zaštite u informacijskim sustavima

Baveći se ovom problematikom u velikim informacijskim sustavima više od 25 godina, iskustvo nam je pokazalo da, i pored specifičnosti svakog korisnika (informacijskog sustava), rješavanju projekta zaštite možemo pristupiti u sljedećim koracima:

  • definirati što korisnik podrazumijeva pod zaštitom informacijskog sustava (uključujući i definicije ključnih pojmova)
  • izvršiti snimku stanja zaštite u informacijskom sustavu korisnika što uključuje:

– stanje informatičke infrastrukture (hardver, softver, firmver) po lokacijama korisnika

– stanje informatičkih servisa (aplikacija) u informacijskom sustavu korisnika po lokacijama. Kratki opis rada svakog informatičkog servisa. Kratki opis hardversko-softverskih mjera zaštite koje se primjenjuju po pojedinom informatičkom servisu i u informacijskom sustavu u cjelini. Kratki opis procedura arhiviranja. Opis i stanje Disaster/Recovery centra (ako postoji)

– prikupljanje, proučavanje i kratak opis normativnih akata i standarda koji reguliraju elemente zaštite u informacijskom sustavu korisnika: obveze i odgovornosti zaposlenika, organizacija i obuka djelatnika iz tog područja, tjelesno-tehnička zaštita, protupožarna zaštita, kripto zaštita, protudiverzijske mjere zaštite, zaštita poslovne tajne, postupci u slučaju kvara ili zastoja u radu informatičke infrastrukture i/ili informatičkih servisa, stanje HelpDeska, zaštita i mogućnost funkcioniranja u slučaju elementarnih nepogoda, požara i drugih izvanrednih prilika, standardi autentifikacije (identifikacija, lozinka, autorizacija) – dokumenti, tijek dokumenata, kontrole i odgovornosti svih sudionika u tom procesu, da li postoji i kako se provodi klasifikacija podataka i informacija po razini i stupnju tajnosti i dr.

Rezultat rada je dokument koji sadrži opise i analizu gornjih elemenata

Izraditi normativni akt – ‘krovni’ security dokument (mi ga nazivamo Pravilnik o zaštiti), koji definira politiku zaštite u informacijskom sustavu. Iz njega će proizaći nužnost donošenja niza drugih akata, standarda i provođenje niza aktivnosti kojima će se detaljno i operativno riješiti i regulirati zaštita u informacijskom sustavu.

Na temelju proučavanja i analize postojećih normativnih akata, standarda, procesa, organizacije i tehnologije rada u informacijskom sustavu korisnika i uvažavajući važeće međunarodne standarde (UN, USA, BS 7799, EU, ISO 17799), Pravilnik o zaštiti rješava:

– predmet normativne regulacije (što je obuhvaćeno mjerama i aktivnostima koje se propisuju)

– definicije pojmova i izraza koji se koriste

– tko je odgovoran za zaštitu kod korisnika (nositelji aktivnosti zaštite)

– što je predmet zaštite

– koji su izvori ugrožavanja informacijskog sustava

– propisati mjere i aktivnosti zaštite (najveći dio u Pravilniku o zaštiti), propisati kontrolu funkcioniranja sustava zaštite u informacijskom sustavu, itd.

Rezultat su sljedeći dokumenti:

  • Pravilnik o zaštiti
  • obrazloženje uz Pravilnik o zaštiti koje upozorava na posljedice (normativne, radne, financijske i druge) koje će proizaći iz donošenja Pravilnika o zaštiti
  • prijedlog plana donošenja i usvajanja Pravilnika o zaštiti
  • popis akata, aktivnosti i standarda koji proizlaze iz donošenja Pravilnika o zaštiti (npr. Uputa za dodjelu korisničkih identifikacija (lozinki i certifikata) i autorizacija, Uputa za upravljanje ključevima, Uputa za osiguranje integriteta podataka, Uputa za klasifikaciju podataka po razini i stupnju tajnosti u informacijskom sustavu, Upute za razmjenu (online i offline) podataka s drugim informacijskim sustavima, Uputa o funkcioniranju informacijskog sustava u izvanrednim i ratnim uvjetima (backup centar i sl.), Godišnji planovi ljudi i sredstava, Obuka zaposlenika i nositelja aktivnosti zaštite, itd.).

Nakon usvajanja politike zaštite, a ovisno o postavljenim ciljevima, potrebama, prioritetima i financijskim sredstvima, korisnik pristupa implementaciji sustava zaštite. SV Group upozorava korisnika na minimalne i nužne korake. SV Group uz vlastita rješenja za implementaciju sustava zaštite u informacijskim sustavima koristi sljedeće IBM/Tivoli programske proizvode:

  • z/OS Security Server (RACF)
  • IBM Tivoli Access Manager for Operating Systems
  • IBM Tivoli Access Manager for e-business
  • IBM Tivoli Identity Manager
  • IBM Tivoli Directory Server
  • IBM Tivoli Directory Integrator

SV Group zajedno s korisnikom testira i verificira implementirana rješenja zaštite informacijskog sustava.

SV Group njeguje dugoročan, stabilan poslovni odnos sa svojim korisnicima,
partnerima te cjelokupnom društvenom zajednicom.

kontakt