Document name
Short Description
Owner
Version
Reviewer
Published Date
Last Review
Next Review
Label
1. Význam a benefity
Přínosy zavedení bezpečnostní politiky – jen ty nejvýznamnější:
• zlepšení komunikace mezi účastníky procesu změny (i provozu)
• zlepšení kontroly procesu změny
• předcházení kolizím (jejich včasná detekce) a nedorozuměním (s informacemi starých verzí)
• zlepšení přístupu k informacím při rozhodování v různých etapách změny
• zefektivnění řízení ve všech etapách změny
• dostupnost aktuálních informací na jednom místě
2. Rozsah
Rozsah působnosti bezpečnostní politiky:
• zavedení řízení změn (minimálně pro organizační změny mající vliv na IT služby)
• komplexní pojetí změny
• určení dopadů a nákladů změny a k tomu odpovídající třídy změny
• shromáždění podkladů pro spuštění změny
Vyhláška č. 82/2018 Sb. o kybernetické bezpečnosti § 11, 13.
3. Informační vyhlášení
Předmětem politiky je upravit postupy při plánování a provádění změn v oblasti s dopadem na bezpečnost informací, tzn. jejich dostupnost, důvěrnost a integritu.
Změny jsou posuzovány dle (zasahují do oblastí) procesů, HW, SW, prostor, vybavení, infrastruktury, zaměstnanců a dodavatelů.
V rámci řízení změn jsou:
• přezkoumávány možné dopady změn,
• určovány významné změny.
Změny jsou z důvodu optimalizace administrativních nároků děleny do tříd podle jejich rozsahu a dopadů.
Každá změna je charakterizována tímto rámcem:
Problém –> název problému –> analýza –> hledání východisek (cílů) –> hledání způsobů řešení, zdrojů, podmínek, nutných opatření –> vyhodnocení variant a jejich dopadů –> určení třídy (rozsahu) změny –> rozhodnutí –> realizace (změny, opatření – fáze přípravy, fáze realizace, fáze dokončení).
a) Způsob a principy řízení významných změn v rámci povinné osoby, jejich procesech, informačních a komunikačních systémech
U významných změn se provádí:
•
a) dokumentace jejich řízení,
•
b) analýza rizik,
•
c) přijímání opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,
•
d) aktualizace bezpečnostní politiky a bezpečnostní dokumentace,
•
e) zajištění jejich testování,
•
f) zajištění možnosti navrácení do původního stavu.
Na základě výsledků analýzy rizik je možno rozhodnout o provedení penetračního testování nebo testování zranitelností a následně reagovat na nedostatky zjištěné při testování.
Stanovení třídy (rozsahu) změny Každá změna je zařazena, podle její závažnosti a dopadu na VVŠ, do jedné ze tří tříd. Zařazení do tříd z hlediska dopadů je uvedeno v tabulce. Stanovené třídě změny pak odpovídá rozsah přípravy realizace změny. V případě nejasností je MKB oprávněn rozhodnout o zařazení změny do příslušné třídy.
Třída 1 - Malá změna - nemá negativní vliv na jiné systémy ani procesy a nemůže způsobit narušení bezpečnosti informací. Tyto změny lze provést v kompetenci řešitele/autora změny. Nepodléhá formálnímu schválení nadřízeného.
Třída 2 - Střední změna – změna má znatelné negativní dopady (dle výše uvedených typů a z hlediska dostupnosti informací). Vyžaduje hlubší přípravu a neproběhne bez následků pro uživatele IT služeb a bez jejich reakce dovnitř organizace. Postupuje se podle zjednodušeného Checklistu (zde není uveden). O změně musí být předem informován ředitel IT a MKB.
Třída 3 - Významná změna - změna má významné negativní dopady. Vyžaduje navíc spolupráci uživatelů a informační kampaň. Postupuje se podle Checklistu. Schvaluje VKB.
Tabulka - matice dopadů a odpovědností
|
Třída (rozsah změny) |
Dopad |
Finanční náklady |
Schvaluje a zodpovídá |
|
Třída 1 - Malá změna |
Zanedbatelný |
< 10 000,- Kč |
Autor změny |
|
Třída 2 - Střední změna |
Znatelný |
< 100 000,- Kč |
Ředitel IT a MKB |
|
Třída 3 - Významná změna |
Významný |
> 100 000,- Kč |
VKB, rektor, vedení VVŠ |
Pozn.: Do finančních nákladů je nutné vedle nárokovaných zdrojů a pořizovacích nákladů započítat i související náklady vyčíslené z dalších typů negativních dopadů jako je
• produktivita,
• věda a výzkum,
• publikace,
• výuka,
• zkoušení,
• nedostupnost služeb,
• zamezení přístupu,
• projekt,
• stížnost,
• negativní publicita VVŠ,
• výpověď,
• zdravotní,
• právní,
• finanční ztráta atp.
Nejčastější důvody změn
• vznik nového aktiva,
• nové požadavky,
• zánik, nebo změna stávající funkcionality nebo její jiné nastavení/zpřístupnění,
• výměna, nebo doplnění HW, SW, …,
• reakce na bezpečnostní incident.
Priority při plánování změn
• minimalizovat nedostupnost služeb,
• minimalizovat negativní dopady všech typů,
• dostatečně informovat a připravit všechny dotčené účastníky,
• nezapomenout, nezanedbat některou situaci.
b) Přezkoumávání dopadů významných změn
Každá změna musí být vyhodnocena
realizačním týmem, který změnu provádí,
uživateli, pro které je změna připravována.
O skutečných dopadech změny a vynaložených nákladech je seznamován schvalovatel změny.
c) Způsob vedení evidence a testování významných změn
Pro evidenci významné změny je veden její Checklist.
Za vyhodnocení změny a formulování písemných závěrů je odpovědný autor změny, realizační tým. Vyhodnocení probíhá praktickým ověřením a konkrétně zvolenými postupy (např. pozorování, rozhovory, testy znalostí, penetrační a zátěžové testy apod.) v útvarech, kterých se změna týká.
Všechny informace o průběhu ověřování a vyhodnocování změny eviduje a uchovává (ve shodě s interními postupy) autor změny.
Příloha - Checklist pro významnou změnu (třída č. 3)
A) Shrnutí
• Název změny: ……………………
• Cíle změny, účel (snížení rizika): ……………………
• Zdůvodnění nutnosti změny (popis rizika): ……………………
• Přínos změny (dostupnost, důvěrnost, integrita čeho, a konkrétně): ……………………
• Alternativní (dražší, neefektivní, nepopulární, zdlouhavé) jiné způsoby snížení rizika: ……………………
• Autor změny (ID), zodpovídá: ……………………
– zná odpovědi na všechny otázky (co, proč, jak, kdo jak, co kdo k tomu potřebuje, kdy, kde to může najít)
– autorizuje poskytované informace
– zodpovídá za komunikaci s osobami, za aktuálnost informačních zdrojů, předání informací do vedení/grémií, za harmonogram a odpovídá na dotazy podřízených.
– zná všechny slabé stránky změny (eventuality) a má/nemá pro ně řešení
– má osobní WWW stránku, kde je aktuální souhrn potřebných informací: https://……………………
• Okruh dotčených (analýza výchozího stavu)
– uživatelů: ……………………
– adminů: ……………………
– navazujících systémů: ……………………
• Povinnost akceptovat změnu (pokrytí konkrétním vnitřním předpisem VVŠ): ……………………
B) Způsob řešení
Způsob řešení změny u (analýza cílového stavu):
• uživatelů (HW, SW, identita, místo, práva, síť): ……………………
• adminů: ……………………
• všech navazujících systémů ……………………
Výskyt možných problematických oblastí/objektů změny (HW, SW, životní situace uživatele – kde je, co má za IT prostředky, kam se potřebuje přihlásit, kdy, jak pohodlně): ……………………
Způsob ošetření problému (co musí udělat, kdy, co k tomu potřebuje): viz WWW stránka
Předpokládaný počet problematických míst: ……………………
Jaké jsou problematické fáze změny (procesně, časově): ……………………
Kde se to celé ještě může zadrhnout a co pak? ……………………
C) Předpokládané náklady
Hladký průběh řešení
• počty nových vybavení ……………………
• předpokládané náklady ……………………
• pracnost [hod] ……………………
D) Způsob řešení možných problémů
Negativní dopady změny.
Pro koho/co/kde je změna (s jakými prostředky, pro které systémy/procesy):
• komplikující = zdlouhavější a složitější oproti předchozímu, ale bude použitelná pro všechny pracovně povinné i doplňkové IT služby
• omezující = některé pracovně nepovinné IT služby a způsoby nepůjdou používat
• likvidační = někdo nebo něco nebude moci dále využívat pracovně povinnou IT službu
Seznam (tabulka)
|
Typ omezení |
Popis situace |
Popis příčin |
Doporučené opatření |
Počet výskytů |
|
Komplikující |
|
|
|
|
|
Omezující |
|
|
|
|
|
Likvidační |
|
|
|
|
O dopadech bude informován nadřízený uživatele: Ano/Ne
Existuje způsob řešení výjimek pro jednotlivé případy: defaultně Ne
E) Harmonogram
Veřejný harmonogram: viz WWW stránka ☐
Součinnost s dalšími adminy (NetID): ……………………
Interní (nebo VIP) harmonogram (není potřeba): ……………………
F) Informovanost
Jak budou osoby (zejména koncoví uživatelé) informováni (doplnit CZ/EN):
• Intranet (Internet) ☐
• Aktualita (prohlášení, sociální síť) ☐
• Návod ☐
• Hromadný/osobní mail ☐
• WWW stránka autora změny ☐
Jaké orgány VVŠ budou informovány (se zápisem): VKB☐, Vedení☐, Rozšířené vedení☐, Kolegium rektora☐, Akademický senát☐,…
Jak (a kdy) budou informování „přímí“ nadřízení uživatelů (zodpovědnost za podřízené a plnění vnitřních předpisů) a tajemníci (zodpovědnost za případné náklady)? Nesmí být přeskočeni, musí umět odpovědět na dotazy podřízených:
• hromadný mail vedoucím a tajemníkům ☐
• VIP informační kanál (skupina Teams, WWW stránka) ☐
• budou napřímo informováni autorem změny ☐
Pro dotazy bude existovat podpora:
• WWW stránka autora změny ☐
• Wikipedie ☐
• Návod Servicedesk ☐
• Testovací prostředí ☐
• Všechny podpůrné materiály obsahují kontakt (telefon, mail, WWW) na Servicedesk ☐
Proběhne odstranění/zneplatnění starých návodů, informací ze všech výše uvedených informačních zdrojů ☐
G) Prohlášení autora změny:
• v případě potíží, umím změnu vrátit zpět
• před spuštěním změny provedu potřebné zálohy
Podpis: ……………………
H) Akceptace spuštění procesu změny
Plán změny předložen (datum): ……………………
Akceptace negativních dopadů změny: Ne/Přepracovat/Ano: ……………………
Souhlas nadřízeného (ID) Ano/Ne: ……………………
-
Version 1.0, Updated by Jan Povolný on 2024-03-11.
Update notes: This Review was automatically created when the Policy item was created.