Projekt

Všeobecné

Profil

Prehľad

V tejto časti bude vznikať a udržovať sa všetka bezpečnostná dokumentácia, od politík cez štandardy po predpísané alebo odporúčané postupy. Dokumenty budú tvorené v časti Wiki, finalne verzie publikované do Dokumenty, alebo Súbory . Budú vytvorené v nasledovnej štruktúre:

1. Zásady informačnej bezpečnosti (základný obsah)

Tieto stanovujú riadenie a očakávania.

  1. Zásady informačnej bezpečnosti (hlavné zásady)
  • celkové ciele bezpečnosti,
  • záväzok manažmentu,
  • rozsah pôsobnosti (zamestnanci, dodávatelia, systémy zákazníkov),
  • referencie na ostatné dokumenty.
  1. Systém riadenia rizík
  • prístup k hodnoteniu rizík,
  • kritériá akceptácie rizík,
  • zodpovednosti za riešenie rizík.
  1. Zásady dodržiavania právnych predpisov a iných záväzkov
  • regulačné požiadavky (GDPR, Kyberzákon a súvisiace vyhlášky),
  • zmluvné záväzky voči spoločnosti SAP a voči zákazníkom,
  • ochrana duševného vlastníctva.

2. Riadenie prístupu a správa identít

Kritické kvôli prístupom do systémov SAP.

  1. Zásady riadenia prístupu
  • princíp najnižších privilégií,
  • prístup na základe rolí,
  • procesy schvaľovania a kontroly.
  1. Zásady správy používateľských účtov
  • vytvorenie a odstránenie účtu,
  • procesy pripojenia / presunu / odchodu,
  • pravidlá prístupu do systému zákazníka.
  1. Zásady hesiel a overovania
  • zložitosť hesla,
  • požiadavky MFA (najmä pre SAP, VPN, cloudové nástroje)
  • pravidlá ukladania oprávnení (credentials, mená, heslá, PIN)
  1. Zásady privilegovaného prístupu
  • prístup správcu SAP (základný, bezpečnostný, DDIC),
  • núdzový prístup (backup účty),
  • Logovanie a monitorovanie

3. Ochrana dát a súkromia

Pre konzultačné práce v SAP systémoch veľmi dôležité.

  1. Zásady klasifikácie a spracovania údajov
  • kategórie údajov (verejné, interné, dôverné, dôverné pre klienta),
  • pravidlá spracovania pre každú kategóriu.
  1. Zásady ochrany údajov a súkromia
  • princípy GDPR,
  • spracovanie osobných údajov,
  • segregácia údajov klienta.
  1. Zásady uchovávania a likvidácie údajov
  • doby uchovávania,
  • bezpečné vymazanie,
  • vrátenie/zničenie údajov klienta po ukončení prác/zmluvy
  1. Zásady šifrovej ochrany
  • uložené údaje,
  • prenášané údaje,
  • správy kľúčov (hesiel).

4. IT správa a zabezpečenie koncových bodov

Pre notebooky, vzdialených konzultantov a cloudové nástroje.

  1. Zásady správneho používania
  • firemné zariadenia,
  • Internet, e-mail a cloudové služby,
  • zakázané aktivity.
  1. Zásady zabezpečenia koncových zariadení
  • štandardy zabezpečenia notebookov,
  • Antimalvérové nástroje /EDR (centrálna správa, sanitizácia)
  • šifrová ochrana diskov,
  • požiadavky na uzamknutie obrazovky.
  1. Zásady práce na diaľku
  • pravidlá pri používaní vzdialeného prístupu,
  • používanie VPN,
  • obmedzenia verejných Wi-Fi sietí
  1. Riadenie záplat a zraniteľností
  • opravy (patche, updaty) operačného systému a aplikácií,
  • zraniteľnosti špecifické pre SAP systémy,
  • Identifikácia zraniteľnosti

Členovia

Manažér: ISO 27002.2022, IT Manager, Project Manager, SAP Basis Lead, SAP Dev Lead, SAP Klient, SAP Management, SAP Personálne, SAP Právne, Security Manager