Bezpečnostní dokumentace

Bezpečnostní dokumentace je soubor zásad a pravidel určujících základní aspekty bezpečnosti, vyjádřený písemně. Smyslem bezpečnostní dokumentace je poskytnout uživatelům a pracovníkům odpovědným za implementaci bezpečnosti základní rámec jejího řešení. V postavení vnitřních předpisů je tato dokumentace na nejvyšší úrovni a její dodržování je povinné.

Existující bezpečnostní dokumentace je rovněž velmi účinným nástrojem při definování jasných pravidel, co je zaměstnancům organizace při práci s informačním systémem dovoleno. Těžko stíhat zaměstnance (např. za zavlečení viru do systému), není-li jasně definováno, co se smí a co je již nepřípustné.

Z těchto důvodů považujeme řádně zpracovanou bezpečnostní dokumentaci za velice důležitý nástroj řízení.

Je zřejmé, že bezpečnostní dokumentace organizace je vytvářena hierarchicky v různých úrovních podrobnosti a v závislosti na tom, jak velkou část společnosti pokrývá. Při formalizaci bezpečnosti ve společnosti by mělo být postupováno „shora dolů“ – organizace by měla nejprve přijmout svoji bezpečnostní politiku jako zastřešující dokument a následně pak vytvářet další jí podřízené dokumenty – Systémovou bezpečnostní politiku, Bezpečnostní provozní směrnici IS a další.

Mezi specializované dokumenty, které mohou být v organizaci přijaty patří např.:

  • Metodika výběru a prověřování osob pro seznamování se s citlivými informacemi
  • Označování a evidence médií
  • Způsob likvidace dat na médiích
  • Metodika nastavení přístupových práv
  • Postup při zřízení nového uživatelského účtu
  • Postup připojení nového PC do IS

Vytvoření bezpečnostní dokumentace není jednoduchou záležitostí. Měla by být vytvářena na základě výsledků realizované analýzy rizik. Pro představu: bezpečnostní dokumentace vrcholové úrovně může mít například takovouto strukturu:

Úvod
  Účel
  Odpovědnost
  Prohlášení o účelu
Definice pojmů
Bezpečnostní zásady
  Vyhlášení zásad zabezpečování informací
Organizování bezpečnosti
  Organizování bezpečnosti informací
  Zabezpečení přístupu třetích stran
Řízení a klasifikace aktiv
  Zodpovědnost za aktiva
  Klasifikace informací
Personální bezpečnost
  Dohoda o zachování důvěrnosti informací
  Střet zájmů
  Reakce na incidenty
Fyzická bezpečnost
  Řízení fyzického přístupu
  Bezpečnost zařízení nacházejícího se mimo budovy
  Bezpečná likvidace vybavení
Správa systémů
  Provozní postupy a povinnosti
  Ochrana před škodlivými programy
 Správa systému
  Manipulace se záznamovými médii
  Bezpečnostní prověrky IT systémů
Řízení přístupu
  Politika řízení přístupu k informacím
  Správa přístupových práv
  Požadavky na řízení přístupu
  Odpovědnost uživatelů
  Řízení přístupu do sítě
  Dohled nad přístupem do systému a používáním systému
  Řízení přístupu ke zdrojovým kódům aplikací
Havarijní plánování
  Aspekty havarijního plánování
Řízení používání software
Používání informačního systému

Jedná se o příklad – bezpečnostní dokumentace je vytvářena vždy „na míru“ pro každou organizaci v závislosti na charakteru informačního systému, citlivosti dat, požadavcích na jejich integritu a dostupnost, umístění lokalit atd. atd.

Vzhledem k tomu, že je nezbytné udržovat i stávající bezpečnostní dokumentaci v aktuálním stavu, zapracovávat pravidla pro využívání nových systémů, doplňovat části, respektující vývoj v oblasti IT (zejména ve vztahu k novým technologiím), nabízíme v rámci bezpečnostního supportu vytvoření nebo pravidelnou aktualizaci bezpečnostní dokumentace.

IT - Security s.r.o., Klatovská třída 7, 301 00 Plzeň - tel.: +420 377 320 571 / fax: +420 377 310 920