Bezpecnost v organizacii

Question 1

Keby máme výrobnu organizaciu, cim sa musime zaoberat?

Answer 1

bezpečnosťou systémov, ktoré riadia výrobné procesy (napr. SCADA), čo si vyžiada špecifické znalosti a možno aj oprávnenia

Question 2

Preco org doteraz mozno neriesila KIB?

Answer 2

vedenie KIB nerozumie, KIB je technická záležitosť, nech to riešia informatici, je to drahe, nebol bezpecnostny incident

Question 3

ake su najcastejsie dovody preco sa org zacne zaujimat o KIB?

Answer 3

závažný bezpečnostný incident, ktorý organizáciu (alebo podobnú organizáciu) postihol, prijatie zakona ktory hrozi sankciami

Question 4

Co je to Lisabonska strategia?

Answer 4

Cca 2000, rozvojovy plan pre EU

Question 5

Okrem pravneho ramca co je dolezite?

Answer 5

Dovera ludi, napr digitalny podpis, nech tomu veria

Question 6

Ake projekty napriklad pozname?

Answer 6

FIDIS, stork, epsos…

Question 7

Co je to ENISA?

Answer 7

European Union Agency for Cybersecurity

Question 8

Co su nariadenia EÚ?

Answer 8

priame zákony EÚ a platia aj na Slovensku a majú prednosť pred národnými zákonmi

Question 9

Daj priklad nariadeni EU

Answer 9

GDPR - ochrana osobných údajov, ochrana kritickej infraštruktúry, e-Government (eIDAS)

Question 10

Co su smernice?

Answer 10

členské krajiny prijímajú zákony, prostredníctvom ktorých ich implementujú do národnej legislatívy

Question 11

Daj priklad smernice

Answer 11

Smernica NIS (dopĺňajúca prvky kritickej informačnej infraštruktúry, ktoré dostatočne nepokrývalo nariadenie o ochrane kritickej infraštruktúry)

Question 12

Ako sa zrevidovala smernica NIS?

Answer 12

na NIS II

Question 13

Daj priklad zakonov a vyhlasok SR o KIB

Answer 13

slide 7

Question 14

Koho vacsinou poveri vedenie riesenim KIB?

Answer 14

Informatikov, lebo specialistov je malo a informatik to “urcite ovlada”

Question 15

Ake su 2 moznosti riesenia KIB?

Answer 15

bud si niekoho najdeme aspon na zaciatok, alebo do toho pojdeme sami

Question 16

Co si treba pozriet pre KIB?

Answer 16

zakony a vyhlasky nic moc, ale napriklad ISO normy

Question 17

Ake 3 zakony/vyhlasky/standardy su podobne?

Answer 17

Zakon o kybernetickej bezpecnosti, vyhlaska 179 a ISO/EIC 27002

Question 18

Ktore z toho je najobsiahlejsie? A co obsahuje co ostatne nie?

Answer 18

ISO 27002, napr. Compliance, alebo v zakone o KIB nie je ochrana proti skodlivemu kodu, ale vo vyhlaske je

Question 19

Ako treba riesit KIB?

Answer 19

Komplexne a systematicky

Question 20

Od koho zavisi KIB? Preco?

Answer 20

od všetkých ľudí, ktorí majú prístup k IKT organizácie, lebo staci jeden clovek co to nesplni a ide to dorici

Question 21

kto vsetko sa musi zapojit do KIB?

Answer 21

kazdy, ale v miere primeranej jeho úlohe vo vzťahu k IKT a KIB organizacie

Question 22

Aku ma podobu systematicke riesenie?

Answer 22

ISMS (Information Security Management System), ktorý v nejakej podobe organizácia potrebuje zaviest

Question 23

Co je to ISMS?

Answer 23

virtuálny systém, ktorý pozostáva zo štyroch podstatných zložiek:
* princípov riadenia KIB
* zdrojov, ktoré sú na zaistenie a udržiavanie KIB potrebné,
* ľudí, ktorí pracujú s informáciami, systémami a sieťami a plnia buď špeciálne úlohy v KIB, alebo zohľadňujú KIB pri práci
* bezpečnostného procesu = aktivity zamerané na dosiahnutie a udržanie potrebnej úrovne KIB v organizácii

Question 24

Kde je popisany ISMS?

Answer 24

v normach ISO/IEC, z coho vychadzali zakony a vyhlasky

Question 25

Co uvadza ISO v zavislosti k ISMS?

Answer 25

Poziadavky na vysledok, ale nie postup ako tento ISMS vytvorit

Question 26

Kde je podrobny navod na vytvorenie ISMS v plnom rozsahu?

Answer 26

v nemeckom štandarde [8] a IT kompendiu Grundschutz [11], z ktorých budeme vychádzať.
Kukni co to je

Question 27

Co spravit ako prve ked mame poverenie vedenia?

Answer 27

vypracujeme case study navrh postupu riesenia KIB, zavedenia ISMS a predlozime vedeniu (co je KIB, preco je to dolezite, ake zdroje potrebujeme, postupnost krokov, prinos…)

Question 28

Da sa ISMS robit sam?

Answer 28

Nie, idealne treba mat tim

Question 29

Co je to bezpecnostny proces?

Answer 29

aktivity zamerané na
dosiahnutie a udržanie potrebnej úrovne KIB v organizácii

Question 30

Kto musi iniciovat a riadit bezp. proces v organizacii?

Answer 30

vedenie

Question 31

ake veci musime detailnejsie opisat?

Answer 31

vypracovanie Politiky KIB, Stratégia KIB, špeciálne bezpečnostné politiky, vysokoúrovňová a podrobná analýza rizík

Question 32

Kto musi prijat zodpovednost za KIB v org?

Answer 32

vedenie, nie my

Question 33

co este musi vedenie?

Answer 33

byt manazer tohoto projektu, teda davat zdroje, dostavat a vyhodnocovat aktualny stav a pod

Question 34

Co musi vedenie spravit aby spustilo bezpecnostny proces v organizacii?

Answer 34

špecifikovať a dokumentovať bezpečnostné ciele (security objectives) a stanoviť stratégiu KIB.

Question 35

Ake podmienky musia byt spravene na realizaciu cielov v Strategii KIB?

Answer 35

primerané právne (interné predpisy) organizačné (kompetencie, organizačná štruktúra a roly) a materiálno-technické

Question 36

Co spravime z cielov Strategie KIB?

Answer 36

Konkretne ulohy

Question 37

Co je to Politika KIB?

Answer 37

základný dokument ISMS, ktorý
* opíše význam KIB pre organizáciu,
* definuje hlavné bezpečnostné ciele,
* uvedie najdôležitejšie aspekty Stratégie KIB,
* špecifikuje organizačnú štruktúru KIB.

Question 38

Opis viac Politiku KIB, co musi splnat

Answer 38

vytvára rámec pre ďalšie dokumenty, MUSÍ byť jasne definovaný rozsah jej pôsobnosti, vysvetlené bezpečnostné ciele a ako súvisia s poslaním, úlohami a cieľmi organizácie, dostupná všetkým zamestnancom organizácie, externým spolupracovníkom a iným ľuďom, ktorí sa podľa nej majú riadiť, aktualizovaná

Question 39

Kto je manazer KIB?

Answer 39

presadzuje KIB v organizácii, riadi a koordinuje bezpečnostný proces, zabezpečuje podklady pre rozhodovanie vedenia, musi mat potrebne znalosti schopnosti a kompetencie

Question 40

Co okrem manazera potrebujeme?

Answer 40

organizacnu strukturu pre KIB

Question 41

ako nazyvame urceneho clena vedenia ktory zodpoveda za KIB?

Answer 41

garant KIB

Question 42

co v organizacnej strukture nesmie chybat?

Answer 42

výbor pre KIB, útvar manažéra KIB, bezpečnostné roly, do ktorých budú zaradení všetci zamestnanci a externí spolupracovníci, komunikacne efektivne kanaly na riesenie incidentov a pod

Question 43

opis bezpecnostne opatrenia

Answer 43

Pre všetky aspekty spracovania informácie MUSIA byť definované primerané bezpečnostné opatrenia, dokumentovane a revidovane, vychadzaju z ISMS

Question 44

Co potrebujeme na napisanie politiky KIB?

Answer 44

vysokoúrovňovú analýzu rizík, navrhnúť a implementovať opatrenia (zväčša organizačného alebo právneho charakteru)

Question 45

Co robime pri vysokourovnovej analyze rizik?

Answer 45

identifikujeme klucove aktiva organizacie a hrozby voci nim

Question 46

Co treba spravit pre klucove aktiva?

Answer 46

analyzu rizik

Question 47

Aky je cyklus spravy rizik po zavedeni ISMS?

Answer 47

monitoring -> vyhodnocovanie opatreni ->cielene analyzy rizik -> navrh a zavedenie opatreni -> audit (zo zakona)

Question 48

aki zamestnanci maju byt zapojeny do bezpecnostneho procesu?

Answer 48

VSETCI, musia mat zakladne info, vediet o hrozbach. a ako pouzivat bezpecnostne opatrenia

Question 49

mame baseline, najnutnejsie minimum. Co dalej?

Answer 49

chceme sa dostať zo základnej úrovne aspoň na štandardnú (zákony a vyhlášky sú optimistické)

Question 50

Podla akych noriem postupujeme?

Answer 50

BSI (pozri co to je)

Question 51

preco musime stale revidovat KIB?

Answer 51

lebo digitalny ekosystem je dynamicky, su nove hrozba a podobne.

Question 52

Ako reagujeme na zmeny a nove hrozby?

Answer 52

revidujeme dokumentaciu, monitorujeme opatrenia, vykonavame audity, sledujeme vyskyt hrozieb a pod

Question 53

co je to ISVS?

Answer 53

Neviem, TODO

Question 54

Mame ISMS, co teraz?

Answer 54

ukotvit bezpecnostny proces v strukture planovani a procecoch organizacie

Question 55

Co by sme potrebovali pre ukotvenie v organizacii?

Answer 55

slide 32

Question 56

Co musime dodrzat aby KIB fungovala?

Answer 56

jasne stanovené pravidlá, zodpovednosti, dokumentované procesy, udalosti, povinná rozsiahla dokumentácia aj podľa zákonov a vyhlášok, ako politika, strategia, spravy auditov a pod

Question 57

Ako vieme zvysovat bezpecnostne povedomie?

Answer 57

školenia (jednorazové, účelové) a vzdelávanie (systematické, na rozličnej odbornej úrovni)
informácie o bezpečnostne relevantných udalostiach (adresné)
vzdelávanie špecialistov na KIB (manažér KIB) informatikov, právnikov
vstupne skolenia

Question 58

Ako vieme realizovat zvysenie bezpecnostneho povedomia?

Answer 58

doma v organizácii, kombinácia externých špecialistov a vlastných zamestnancov (poznajú pomery v organizácii), externé vzdelávanie (školenia, kurzy, konferencie, pravidelné semináre na vš a pod.)

Question 59

Ake zdroje potrebujeme na dosiahnutie nejakej urovne KIB?

Answer 59

Ludi a peniaze

Question 60

V prípade keď úlohy prevyšujú kapacity, tak …

Answer 60

je potrebné do ich riešenia zapojiť ďalších zamestnancov, alebo externých odborníkov

Question 61

Opis co sa deje na slide 38

Answer 61

slide 38

Question 62

podstatou bezpečnostného procesu je X a kľúčovým prvkom X je Y

Answer 62

X - sprava rizik
Y - analyza rizik

Question 63

co sa zaobera analyzou a spravou rizik?

Answer 63

normy ISO/IEC 27005 a BSI-Standard 200-3

Question 64

co si musime povedat pred zaciatkom analyzy rizik?

Answer 64

vysokoúrovňová , alebo podrobná analýza rizík, stanovenie rozsahu, dovod analyzy a pod.

Question 65

Co je cielom identifikacie rizik?

Answer 65

určiť, čo nežiadúce by pri spracovávaní informácie mohlo nastať a spôsobiť organizácii stratu, kde by k tomu mohlo dôjsť a prečo.

Question 66

Co treba urcit pri identifikacii rizik?

Answer 66

• aktíva
• zraniteľnosti týchto aktív
• relevantné hrozby voči aktívam
• existujúce bezpečnostné opatrenia chrániace aktíva

Question 67

Co s aktivami?

Answer 67

teoreticky by mala organizácia mať a udržiavať zoznam aktív, to ale nie je realne

Question 68

Ako identifikujeme zranitelnosti a hrozby?

Answer 68

prejsť si cez zoznam aktív a zoznam zraniteľností a určiť, ktoré aktíva majú jednotlivé zraniteľnosti pre posudenie relevantnosti hrozieb, potom prejdeme cez zoznam hrozieb a aktiv a urcime ktore hrozby sa voci danemu aktivu mozu naplnit, lebo to aktivum ma tie zranitelnosti ktore hrozba vyuziva

Question 69

Co vlastne spisujeme pri identifikacii zranitelnosti a hrozieb?

Answer 69

scenáre naplnenia hrozieb (bezpečnostných incidentov)

Question 70

Opakovanie, co je to CIA?

Answer 70

dopady sa posudzujú z hľadiska narušenia dôvernosti (C), integrity (I) a dostupnosti (A)

Question 71

Napriklad aky ma dopad ohen?

Answer 71

A

Question 72

Aky ma dopad voda?

Answer 72

I,A

Question 73

Aky ma dopad spionaz?

Answer 73

C

Question 74

Aky ma dopad kradez identity?

Answer 74

C,I,A

Question 75

Okrem tabulky hrozieb, ake vieme este spravit?

Answer 75

tabulku zranitelnosti

Question 76

Aka je napriklad zranitelnost z orgnizacie KIB?

Answer 76

Chýbajúce pravidlá upravujúce prácu na diaľku a používanie mobilných zariadení a/alebo ich nedosta- točné uplatňovanie

Question 77

Aka je napriklad zranitelnost z bezpecnosti ludskych zdrojov?

Answer 77

Nedostatočná úroveň bezpečnostného povedomia zamestnancov a neplnenie povinností v KIB zamest- nancami a tretími stranami kvôli neporozumeniu povinností a nedostatočnej kontrole

Question 78

Co ak organizacia uz ma existujuce opatrenia?

Answer 78

Musime o nich vediet a prehodnotit ich, aby sme nemali nieco duplicitne, a pod.

Question 79

Mame parametre pre hodnotu rizika. Aky je dopad?

Answer 79

nizky - financne straty zanedbatelne, ziadne ohrozenie zivota alebo zdraivia a pod
vysoky - financne straty v dosledku naplnenia hrozby nevie organizacia vykryt, doslo k smrti ludi a pod
alebo stredny

Question 79

Mame hodnotu rizika. Aky je dopad?

Answer 79

nizky - financne straty zanedbatelne, ziadne ohrozenie zivota alebo zdraivia a pod
vysoky - financne straty v dosledku naplnenia hrozby nevie organizacia vykryt, doslo k smrti ludi a pod
alebo stredny

Question 80

Aka je pravdepodobnost naplnenia hrozby?

Answer 80

• nízka, ak k naplneniu hrozby ešte nedošlo, alebo došlo raz za niekoľko rokov,
• stredná, ak k naplneniu hrozby dochádza raz za niekoľko mesiacov,
• vysoká, ak naplneniu hrozby dochádza každý týždeň.
• K týmto trom hodnotám pridáme ešte nulovú, aby sme ošetrili
  prípady, keď sa hrozba na niektoré z aktív nevzťahuje (a teda sa nemôže naplniť).

Question 81

Ako vieme vypocitat hodnotu rizika?

Answer 81

pravdepodobnosť a dopad hrozby skombinujeme do hodnoty rizika napríklad takto (tab na slide 54)

Question 82

Mame teda hodnoty rizika. Co teraz?

Answer 82

Spravime nejak zoznam pre aktiva hrozieb a zranitelnosti, rizika, scenare opatrenia, napriklad 2D tabulku hrozby x aktiva, polozky = hodnoty rizika, alebo usporiadame zoznam rizik podla hodnoty a spravime ciaru comu sa budeme venovat

Question 83

Ked niekde spravime ciaru, co je pod ciarou?

Answer 83

Akceptovatelne riziko

Question 84

Ako vieme osetrit riziko?

Answer 84

• akceptovať riziko
• prijať opatrenie na elimináciu, alebo zníženie rizika na akceptovateľnú úroveň,
• vyhnúť sa riziku (nahradiť rizikové riešenie iným) alebo
• preniesť riziko (poistenie).

Question 85

Co po analyze rizik?

Answer 85

návrh a implementácia opatrení, monitoring systemu, ci nejaka hodnota akceptovatlneho rizika nevzrastla, alebo sa neobjavilo nove riziko

Question 86

Ako nazyvame cely proces (analýza rizík, prijatie opatrení, monitoring systému, revízia opatrení)?

Answer 86

správa rizík (risk management)

Question 87

Ake su napriklad bezpecnostne politiky 2. urovne?

Answer 87

Riadenie prístupu, Ochrana pred škodlivým kódom, Kryptografické opatrenia a pod

Question 88

Co je to riadenie pristupu?

Answer 88

ciel - k informačným aktívam organizácie mali prístup (a mohli s nimi pracovať) len oprávnené osoby, zabraneniu pristupu neopravnenych osob

Question 89

Co okrem ineho Politika riadenia prístupu upravuje?

Answer 89

manažment prístupových práv a prípadne aj spôsob ich uplatňovania, teda kto ich urcuje, ako sa identifikuju a autenfikuju ludia…

Question 90

Co je to Klasifikácia informácie a narábanie s informáciou?

Answer 90

Klasifikácia informácie umožňuje štandardizovať úroveň ochrany informačných aktív organizácie, a to tak z hľadiska cieľov ako aj úrovne ochrany.
Chceme zaistit CIA informacnych aktiv, uroven ochrany nizka stredna vysoka, verejne info = nulova

Question 91

V com je Význam klasifikácie informácie a kategorizácie systémov?

Answer 91

že je možné zoskupiť informácie vzhľadom na potreby ich ochrany do tried s rovnakými bezpečnostnými potrebami a navrhovať riešenia pre triedy a nie pre jednotlivé aktíva.

Question 92

Co je Fyzická bezpečnosť a bezpečnosť prostredia?

Answer 92

zaoberá sa ochranou pred hrozbami fyzického charakteru, napr serverov pocitacov a pod. jej cieľom je zabrániť neoprávnenému fyzickému prístupu k informačným aktívam organizácie, ich fyzickému poškodeniu alebo zasahovaniu do nich.

Question 93

co definuje napriklad Fyzická bezpečnosť a bezpečnosť prostredia, pravidla coho?

Answer 93

zabezpečené priestory a pravidlá pre vstup do nich a prácu v nich, narábanie s IKT zariadeniami v organizácii a mimo nej (vynášnie, práca doma, opravy, vyraďovanie a pod. )

Question 94

Co su Bezpečnostné pravidlá pre koncového používateľa?

Answer 94

Koncový používateľ je rola s najväčším počtom členov, ma najmensie privilegia, najmensie vedomosti, moze spravit chybu ktora ohrozi IKT organizacie, ale je to dovod kvoli comu organizacia prevadzkuje IKT. Pouzivatel teda musi vediet, co robit, co nerobit a na koho sa ked tak obratit.

Question 95

Co je to zalohovanie?

Answer 95

prostriedok na zabránenie straty/dostupnosti údajov.
politika zalohovanie upravuje stanovenie potrieb organizacie na vytvaranie zaloh, zaistenie zaloznych kapacit, plan zalohovania, ochrana zaloh, testovanie, procedura obnovy

Question 96

Co je Manažment bezpečnosti sietí?

Answer 96

organizacia na komunikaciu vyuziva komunikacne siete
Cieľom tejto politiky je zaistiť ochranu informácií v sieťach a informačných systémoch, ktoré prepája

Question 97

Co je to Prenos informácie?

Answer 97

Informácia sa málokedy spracováva a využíva na mieste, kde bola zaznamenaná (zdroj informácie), ale prenáša sa tak medzi rôznymi subjektami v rámci organizácie, ako aj medzi organizáciou a inými externými inštitúciami a jedincami, Cieľom tejto špeciálnej politiky je zaistiť bezpečnosť informácie prenášanej v organizácii a medzi organizáciou a externým subjektom.

Question 98

Co je to skodlivy kod?

Answer 98

(malvér, angl. malware) označuje program, ktorý je tajne vložený do iného programu so zámerom zničiť údaje, spustiť deštruktívne, alebo ďalej sa šíriace programy, alebo inak kompromitovať dôvernosť, integritu alebo dostupnosť údajov, aplikácií alebo operačných systémov obete.

Question 99

Co stanovuje politika Ochrany pred škodlivým kódom

Answer 99

zásady znižujúce pravdepodobnosť zanesenia škodlivého kódu do systémov organizácie ako napr.
- pamatove media zvonka sa musia skontrolovat
- prilohy elektronickej posty sa musia skontrolovat
- zakaz posielat mailom exe

Question 100

Ake dalsie opatrenia su pred skodlivym kodom?

Answer 100

zákaz používania pamäťových médií v externom prostredí (USB kľúče v internetovej kaviarni), specifikacia sw nastrojov na ochranu, obmedzenie alebo zakaz vlastnych zariadeni v sieti organizacie

Question 101

Co robime pri ochrane pred skodlivym kodom?

Answer 101

riesime bezpecnostne incidenty, alebo si pripravujeme reakciu na ne. stanovujeme priority pre zasah, analyzujeme skodlivy kod, lokalizujeme skodlivy kod, eradikujeme skodlivy kod a obnovujeme

Question 102

Co nas privadza k Manažmentu technických zraniteľností?

Answer 102

Zraniteľnosti svojich aktív bude organizácia skúmať pri analýze rizík a navrhovať opatrenia, ktoré ich odstránia, alebo aspoň zmenšia možnosti ich využitia, niektore nebude schopna odstranit, alebo budu nove. Tvorcovia programoveho vybavenia reaguju na nove zranitelnosti zaplatami a novymi verziami programov.

Question 103

Co je cielom Manažmentu technických zraniteľností?

Answer 103

Cieľom tejto politiky je zabrániť využitiu technických zraniteľností stanovením zodpovednosti za úlohy spojené s manažmentom technických zraniteľností, zodpovednosti za identifikáciu a sledovanie zdrojov informácií o zraniteľnostiach, definovaním postupnosti krokov, ktorými organizácia reaguje na informáciu o potenciálnej technickej zraniteľnosti a pod

Question 104

Co je to kryptografia?

Answer 104

Kryptografické riešenia sú základom kybernetickej a informačnej bezpečnosti, zaistuju CIA, postavene na tazkych matematickych problemoch, organizacie pouzivaju standardne krypto riesenia

Question 105

Co specifikuje politika kryptografickych opatreni?

Answer 105

• na čo sa v organizácii používajú kryptografické funkcie
• algoritmy a ich parametre
• správu kryptografických kľúčov
• zodpovednosti za implementáciu politiky a manžmentu kľúčov,
• a dopad používania šifrovania na iné bezpečnostné opatrenia
  (detekcia škodlivého kódu), kontrola a audit

Question 106

Preco sa zaoberami aj ochranou sukromia a osobnych udajov?

Answer 106

organizácia spracováva a je povinné primerane chrániť aj osobné údaje, Nemá zmysel vypracovávať paralelné bezpečnostné projekty

Question 107

co je obsahom politiky ochrany sukromia a osobnych udajov?

Answer 107

Zodpovednosť za ochranu osobných údajov v organizácii, Čo sú osobné údaje, všeobecné dôvody, prečo ich organizácia spracováva, potreba ich ochrany, Z čoho Politika vychádza (GDPR) a ako súvisí s Politikou KIB, Základné zásady pri spracovaní osobných údajov (podľa GDPR), postupy…

Question 108

Co dalsie robime v suvislosti s ochranou sukromia a osobnych udajov?

Answer 108

vzdelávanie v oblasti ochrany osobných údajov, opatrenia, postupy, analyza rizik, audit, správa Politiky ochrany osobných údajov

Question 109

Čo je KIB vo vzťahoch s tretími stranami?

Answer 109

K informačným aktívam organizácie majú prístup aj dodávatelia, poskytovatelia rôznych informačných služieb a zamestnanci tretích strán, musia tiež dodržiavať nejakú bezpečnostún politiku KIB organizácie. Tie zahŕňame do zmluv, lebo nevieme to od nich vyžadovať tak ako od zamestnancov

Question 110

Čo je to Zaznamenávanie udalostí a monitorovanie?

Answer 110

bezpečnostne relevantné aktivity v systémoch organizácie sú kontinuálne monitorované a vytvára sa o nich záznam auditu. Politika stanovuje čo sa bude zaznamenávať, kto o tom rozhodne, ako dlho sa audit bude uchovávať a pod.

Question 111

Čo ďalej v organizácii KIB?

Answer 111

Dlhodobé a systematické riešenie KIB v organizácii si vyžaduje koordinovanú činnosť rôznych ľudí, Bude potrebné vytvoriť špecializovaný útvar, ktorý sa bude venovať výlučne KIB, pozíciu manažéra KIB, všetko poprepájať

Question 112

Čo nie je good practice?

Answer 112

zasypať organizáciu bezpečnostnými politikami, smernicami a vzniesť ultimatívne požiadavky na vedenie - to je cesta k odvolaniu manažéra KIB

Question 113

Čo je good practive pri dosahovaní bezpečnosti?

Answer 113

zainteresovať kľúčových ľudí (bezpečnostný výbor: garant, vedúci personálneho, právneho, informatik, správa budov, ochrana osobných údajov), prejsť si na výbore výsledky vysokoúrovňovej analýzy rizík

Question 114

Čo ešte vieme spraviť?

Answer 114

Plán práce, nterný web s informáciami pre
zamestnancov, bod na porade vedúcich zamestnancov organizácie, inventarizácia aktív, napojenie na rozpočet, a neskutočne veľa vecí. DO KIB sa dá investovať neobmedzené množstvo peňazí!