1.  Bezpečnost dat v informačním systému IS IMES

1.  Cílem by mělo být

·         Ochránit data Informačního systému před zneužitim a ztrátou

·         Ochránit firemní tajemstvi, kontakty, know-how, plány

·         zvýšit informovanost externích a vedoucích pracovníků

·         zajistit jednoduchý a bezpečný přístup k informacím externím pracovníkům

2.  Za výrobce systému IS IMES navrhujeme ke zvýšení bezpečnosti dat, jako účelné provést tyto aktivity:

2.1.       Mimo IS IMES

2.1.1.  Prověření zálohování dat

·         Prověřit proces zálohování dat, jestli je zabezpečen před technickou poruchou, krádeží, požárem apod.

·         Dále, jestli frekvence záloh odpovídá požadavkům tzn. jestli ztráta části dat vyplývající z aktuálnosti zálohy je akceptovatelná

·         Doplnit písemný popis procesu zálohování dat

·         Měl by být také písemně zpracovaný krizový plán, který řeší procesy ztráty dat

2.1.2.  Prověření zabezpečení proti neoprávněnému přístupu zvenku na server a do sítě společnosti

Zde to jde zatím víceméně mimo nás, ale při zprovozňování instalací na odloučených pracovištích jsme nezaznamenali problémy se zprovozněním (dálkovým přístupem). Tzn. že přístup by mohl být nedostatečný.

Doporučujeme tedy prověřit zabezpečení pomocí

·         Firewallu - prověřit otevřené porty a další nastavení

·         Zprovoznění VPN pro bezpečný vzdálený přístup

·         Zabezpečené hesla (více jak 8 znaků a kombinace čísel a znaků) na serveru i pro vzdálené přístupy

·         Monitorování přístupů

·         Antivirovou politiku 


Atd.

2.1.3.  Personální bezpečnost a lidský faktor

·         Instruktáž bezpečnostních předpisů + podepsání doložky o mlčenlivosti a dodržování zásad bezpečnosti

·         Nastavení pravidel využívání internetu a mailové pošty

·        dohled nad dodržováním bezpečnostních předpisů

·         Důležité je zajištění respektování vnitropodnikových bezpečnostních pravidel v celé šíři a po celou dobu pracovního procesu. Přijímáním a výběrem zaměstnanců, přes jejich proškolení až po proces případného ukončení pracovního poměru, včetně odebrání přidělených přístupů, oprávnění a technologického vybavení.

 

2.2.       Na straně informačního systému IMES

2.2.1.   Kontrola nastavení a kontroly hesel

·         Toto je nejdůležitější a základní opatření. Doporučujeme udělat písemný a schválený rozpis přístupů jednotlivých pracovníků k jednotlivým agendám, dokladům a činnostem

·         Dle tohoto zápisu nastavit práva

·         Zabezpečené hesla (více jak 8 znaků a kombinace čísel a znaků) – nyní jsou často přístupy bez hesel nebo křestní jméno

·         Průběžný monitoring přístupů

2.2.2.  Stanovit pravidla vzdáleného přístupu do systému

·         Technická, bezpečnostní, informační  


·         Využít bezpečný modul pro přístup do IMESU viz. následující odkaz

·         Stanovit přesný popis jak bude vypadat vzdálený přístup externím pracovníkům po stránce technické, množství povolených informací a nastavení práv, odpovědnost za nastavení

2.2.3.   
Monitoring přístupů

·         Pravidelný monitoring přístupů z pohledu, jestli někdo nevyužívá informace v rozsahu větším než je potřeba

·         V IS IMES lze monitorovat

·         Kdo pouštěl jednotlivé moduly a z jakých stanic

·         Jestli někdo nepřistupuje jiným uživatelem

·         Přehled vytvořených a změněných dat uživatelem

·         Monitoring filtrů tisku, přehledů a exportů dle uživatelů

·         Logování jednotlivých změn na kartách Partnera, položky a zaměstnance

·         Více popis modulu Uživatelé