Österreich
Secure Your Business
 

VÍDEŇ JE PRVNÍ MĚSTSKOU SPRÁVOU S CERTIFIKÁTEM BEZPEČNOSTI INFORMACÍ PODLE ISO 27001

Služby e-Governmentu a osobní údaje občanů jsou zabezpečeny podle mezinárodního standardu:
prostřednictvím řízení rizik a programu informovanosti.

 

(Pros. 2012) - Jako první městská správa v Rakousku dosáhl Magistrát města Vídně certifikace podle ISO/IEC 27001 pro bezpečnost informací. Díky tomu je Vídeň „jiná“ i v oblasti ochrany dat a bezpečnosti informací - je průkopníkem v regionální veřejné správě. „Zpracováváme obrovská množství dat od více než 1,7 milionu občanů. Patří sem živnostenské rejstříky, přihlašovací údaje, údaje o pasech, dávkách, matriční listiny nebo stavební povolení“, informuje Ing. Wolfgang Steiner, vedoucí odborného úseku Security a Compliance na magistrátním oddělení MA 14 - Automatizované zpracování dat, informační a komunikační technologie. „Důvěra občanů je pro nás nesmírně důležitá - především proto, že služby e-Governmentu jsou využívány stále častěji.“

 

Motivaci podrobit se certifikaci podle mezinárodního standardu pro bezpečnost ISO/IEC 27001 popisuje Wolfgang Steiner takto: „Správu infrastruktury informačních a komunikačních technologií (IKT) a především s tím spojené informace chceme organizovat co nejbezpečněji. Naším cílem bylo prostřednictvím externí prověrky provedené certifikační organizací CIS zjistit, jak na tom jsme a kde je potenciál ke zlepšení. Slabá místa, která bychom mohli z vlastní perspektivy přehlédnout, jsme chtěli systematicky vyloučit.“ Že byla certifikace dosažena při prvním pokusu, to Steiner připisuje vysoké bezpečnostní úrovni v magistrátním oddělení MA 14. Certifikace je doklad o bezpečném nakládání s údaji občanů.

 

70 oddělení a 22 úřadů
Oblast platnosti certifikátu ISO/IEC 27001 zahrnuje magistrátní oddělení MA 14 s přibližně 450 zaměstnanci. Zde se centrálně spravují údaje 70 magistrátních oddělení a 22 úřadů městských obvodů. Ke klientům magistrátního oddělení MA 14 patří i některé organizace se vztahem k městu Vídni, které celkově zaměstnávají více než 20 000 osob. „Tyto organizace si mohou své poskytovatele služeb vybírat na trhu samy a kladou velký důraz na bezpečnost informací. Certifikací jsme proto také potvrdili naši pozici profesionálního poskytovatele služeb v informačních a komunikačních technologiích“, vysvětluje Mgr. Manuel Stecher, který je jako bezpečnostní referent oddělení MA 14 odpovědný za implementaci systému řízení bezpečnosti informací (ISMS).

 

Analýza rizik „na příkaz“
Aby bylo možné takovou decentralizovanou organizaci jako Magistrát města Vídně udržovat na optimální bezpečnostní úrovni, řeší se toto téma na nejvyšší úrovni. Na základě bezpečnostního nařízení ředitelství magistrátu jsou všechna pracoviště, jako úřady městských obvodů a magistrátní oddělení, povinna provést odpovídající analýzy rizik. „Každý úřad a každé oddělení musí pro svou pracovní oblast definovat specifická bezpečnostní rizika, z nichž se odvodí a implementují bezpečností opatření“, vysvětluje Stecher. Kromě toho toto nařízení upravuje obecně relevantní aspekty jako zacházení s USB flash disky nebo mobilními koncovými přístroji. V certifikovaném úseku, v celém magistrátním oddělení MA 14, kromě toho platí zde vypracované směrnice a zásady podle normy ISO/IEC 27001. Pokyny šité na míru, jak postupovat v daných situacích, se specificky liší podle druhu činnosti a pracovních pozic. Manuel Stecher: „Tímto způsobem obdrží zaměstnanci IKT přehlednou formou přesně ty informace relevantní z hlediska bezpečnosti, které potřebují pro své úkoly. Komplikované směrnice by byly kontraproduktivní.“

 

Cítěné riziko versus výpočet
Výsledky z analýz rizik jednotlivých pracovišť se centrálně sloučí, vyhodnotí a stanoví se priority. Následně se vytvoří skupiny rizik a identifikují se hlavní rizika. „Výhoda vytvoření skupin rizik spočívá v tom, že jedním cíleným opatřením lze často adresovat celý svazek teoretických jednotlivých rizik“, vysvětluje Manuel Stecher. „K takto obsáhlému katalogu rizik se dostaneme pouze strukturovaným postupem podle standardu ISO/IEC 27001. Z něho pak lze bezpečnostní opatření velmi cíleně seskupovat a tím i realizovat s nižšími náklady“, zdůrazňuje Stecher. Posuzování důležitých rizik se provádí kombinací kvalitativních odhadů zaměstnanců a početních operací - cítěné riziko kombinované s vypočítaným rizikem. Při každém hodnocení přibývají nové aspekty, neboť se nepřetržitě mění jak technologie, tak i požadavky. To je podle Manuela Stechera velká výhoda modelu zlepšování procesů podle ISO/IEC 27001: „Díky cyklu obsahujícímu analýzu, opatření, kontrolu a zlepšení vzniká flexibilní systém řízení, na jehož základě se bezpečnost informací neustále přizpůsobuje rostoucím požadavkům.“


Informovanost o blogu apod.
Abychom bezpečnost informací na magistrátu prakticky přiblížili jednotlivým zaměstnancům, je důležité kreativita, kontinuita a „politika malých kroků“, jak informuje Mgr. Ines Fohringerová, vedoucí odborného úseku pro personální záležitosti a komunikaci magistrátního oddělení MA 14. Prostřednictvím kombinace plakátové kampaně a principu „train the trainer“ se nejprve vytvořila široká informační základna. Pro kontinuální vytváření povědomí a informovanost se používají různé nástroje. Mezi ně patří celomagistrátní bezpečnostní blog, na němž lze nalézt aktuální bezpečnostní informace jako varování před viry nebo aktuálními spamovými útoky. „Neustále informujeme zaměstnance o aktuálních bezpečnostních tématech v malých dávkách i prostřednictvím jiných kanálů“, nastiňuje Ines Fohringerová strategii informovanosti. Důležitým informačním kanálem je i periodický časopis pro zaměstnance, který je plošně distribuován do všech úřadů a oddělení. Zabývá se velmi praktickými tématy ohledně bezpečnosti, jako je telefonování ve veřejném prostoru nebo bezpečné zacházení s přenosným počítačem a mobilními datovými nosiči.

 

wien.team
V neposlední řadě nabízí pravidelně zprávy a fakta k aspektům bezpečnosti intranet. Zlatým hřebem je wien.team, jakýsi „magistrátní Facebook“ s vlastní skupinou IKT. Zejména mladší zaměstnanci tento informační kanál rádi a často využívají. Definovaní moderátoři mohou umísťovat obsahy, reagovat na komentáře komunity wien.team nebo odpovídat na otázky uživatelů. Fohringerová: „Naším cílem je, aby se úkony a přístupy, které jsou relevantní z hlediska bezpečnosti, staly pro všechny každodenní samozřejmostí.“ Jako vysílače impulzů pro systém řízení bezpečnosti informací fungují pravidelné interní a externí audity. Erich Scheiber, jednatel certifikační organizace CIS, zdůrazňuje: „Rozdíl mezi certifikací a „prací pouze podle normy“ spočívá přesně v těchto motivujících kontrolách zvnějšku: Naši auditoři a auditorky provádějí v certifikovaných organizacích jednou ročně prověrku. To je obrovská pobídka pro všechny zúčastněné, aby úroveň bezpečnostního systému nejen udržovali, ale i optimalizovali.“ Pouze s takovou angažovaností lze dlouhodobě zaručit maximální bezpečnost a ochranu proti útokům a únikům dat.
 

 
 
CIS - Certification & Information Security Services, s.r.o. T +420 284 007 503 office.cz@cis-cert.com Imprint

T&C