• • •
• • • • • • • • • • • •
• • •
• •
•
•
• •
• • •
• • •
• • •
• •
• •
• • • • • • • •
• • • • •
§9
Bezpečnost lidských zdrojů
(1) a) - e)
Poučení uživatelů, kontrola dodržování bezpečnostních politik, plán rozvoje bezpečnostního povědomí, vstupní školení, odebrání přístupových oprávnění
Pro vynucení bezpečnostních politik je nezbytně nutné obeznámit s nimi uživatele a také proškolit je na používání podpůrných nástrojů, které jim mohou práci zjednodušit. Pro uživatelsky přívětivou formu školení je možné využít bezpečnostní politiky Safetica 5 v notifikačním režimu, které informují uživatele v době provádění činnosti, která není povolena politikou, o nepovolené akci.
§ 11
Řízení přístupu a bezpečné chování uživatelů
(3) a) - e)
Individuální identifikátor uživatele, omezí přidělování oprávnění, přiděluje a odebírá přístupová oprávnění, pravidelné přezkoumání nastavení oprávnění, přístupové skupiny
Hesla jsou často úzkým místem bezpečnosti organizací. Bezpeční praktiky práce s nimi častokrát jsou definovány, ale nejsou nijak kontrolovány ani vynuceny. Správce hesel produktu Safetica 5 umožňuje vynucení změny hesel, definice a vynucení minimální úrovně hesla a zálohování šifrované databáze hesel.
§ 11 (3) f)
Řízení přístupu a bezpečné chování uživatelů Ochrana a bezpečné používání mobilních Existuje několik problémů v správě zařízení mobilních zařízení. Jednak jde o externí zařízení pro přenos dat, na kterých se často nacházejí citlivá data v nechráněné formě. Dále jde o samotný přístup médií do systému, který může představovat bezpečnostní riziko kvůli škodlivému kódu, který se tímto způsobem může dostat do organizace nebo kvůli tomu, že zaměstnanci budou moct dostat citlivá data mimo firmu. Pomocí Safetica 5 je možné monitorovat, řídit a zabezpečit externí zařízení pro přenos dat.
§ 15
Kontrola a audit
(1) b)
Provádí a dokumentuje pravidelné kontroly dodržování stanovených bezpečnostní politik
Základním krokem při budování bezpečnostního povědomí v organizaci je definování bezpečnostní politiky, která uvádí povolené a zakázané akce které uživatelé provádějí s firemními prostředky. Software Safetica 5 nabízí několik funkcí pro podporu politik – vynucení jejich použití a pravidelný audit jejich dodržování. Relevantní nástroje v tomto směru jsou DLP pravidla pro vynucení, DLP protokol pro zaznamenávání; Alerty a Reporty pro rychlé přehledy.
§ 19 (1) a) b)
(2)
Nástroj pro řízení přístupových oprávnění K jednotlivým aplikacím a datovým souborům
Nástroj zaznamenává použití přístupových oprávnění
Neautorizovaný přístup k datům a aplikacím, které daná data zpracovávají, je jedna z nejdůležitějších oblastí k pokrytí při budování informační bezpečnosti. V případě neautorizovaného užití může dojít k rozsáhlým ztrátám organizace na úrovni finančních dopadů a negativního PR. Správa aplikací a Hlídání disků produktu Safetica 5 umožňují definovat přístupy na úrovni přístupu ke konkrétním informačním aktivům systému. Tyto funkce jsou navíc chráněny vůči deaktivaci nebo obejití lokálním administrátorem.
Relevantní nástroje produktu obsahují také rozsáhlý auditní záznam zakázaných a povolených akcí jednotlivých uživatelů.
§ 21
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů
(1) a)
Sběr informací o provozních a bezpečnostních činnostech zejména typ činnosti, přesný čas, identifikaci technického aktiva, který činnost zaznamenal, identifikaci původce a místa činnosti, úspěšnost či neúspěšnost činnosti
Co se týče aktivit administrátorů v systému, častokrát jsou právě oni těmi kteří vlastní nejvyšší neomezená práva nad systémem a všemi daty která v něm jsou obsaženy. V tomto směru představují riziko nechtěného nebo úmyslného zneužití oprávnění pro porušení bezpečnosti dat. Safetica nabízí komplexní monitorovací funkce, které umožňují důkladný audit práce a pro některé kategorie citlivých dat je možné také vynutit politiky, které se budou vztahovat také k nim samotním.
(2)
Nástroj pro zaznamenávání činnosti administrátorů
Funkce umožní provádět bezpečnostní audit, včetně záznamu práce s aplikacemi, webovými stránkami, daty a tiskovými úlohami.
§ 25 (1) b)
(4)
Kryptografické prostředky Pravidla kryptografické ochrany citlivých informací při přenosu po komunikačních sítích nebo při uložení na mobilní zařízení nebo vyměnitelná média
Pokud data zasílána po síti nejsou nijak chráněna, je možné přenos zachytit a k datům neautorizovaně přistoupit. V případě přenositelných zařízení je situace ještě komplikovanější – tyto média je možné jednoduše ztratit nebo ukradnout a hrozí zneužití dat. Safetica umožňuje spravovat šifrování dokumentů nebo celých médií. Pro data přenášená e-mailem je možné použít šifrované archivy a data která jsou přesouvána na externí zařízení je možné použít virtuální nebo fyzické šifrování disků. Používá odolné kryptografické algoritmy a Doplňkové šifrovací funkce Safetica kryptografické klíče (AES, Blowfish, splňují minimální požadavky na Kasumi, RC 4, SNOW, Twofish, Serpent) kryptografické algoritmy stanovené Vyhláškou (AES 256) .
