Bezpečnostná politika vo verejnej správe

Základným pilierom informačnej bezpečnosti  a ochrany osobných a citlivých údajov v organizácii je bezpečnostná politika, ktorá popisuje pravidlá pre eliminovanie bezpečnostných rizík nielen v prostredí IT, ale v organizácii ako takej.

Prvým krokom je zadefinovanie si cieľov budovania bezpečnosti  a vypracovanie rizikovej analýzy  existujúceho stavu bezpečnosti. Na základe týchto poznatkov je možné riešenie zistených nedostatkov a efektívne implementovanie nových prvkov v informačnej bezpečnosti.  Ďalšou podmienkou kvalitnej bezpečnostnej politiky je neustále udržiavanie jej štandardov, a to nie len pracovníkmi IT, ale aj všetkými zamestnancami. K tomuto účelu slúžia smernice a pravidelné školenia zamestnancov. Zamestnanci si musia byť vedomí svojej zodpovednosti a musia vedieť ako sa majú správať v prípade narušenia niektorého aspektu informačnej bezpečnosti, t. j. musia byť jasne definované pravidlá bezpečnej prevádzky systému/systémov v papierovej aj elektronickej forme. Tieto požiadavky sa musia týkať všetkých osôb, ktoré vstupujú do informačných systémov organizácie, teda aj rôznych dodávateľov a externých firiem.

V  neposlednom rade informačná bezpečnosť ako taká musí byť niekým riadená a fungovať na základe určených pravidiel, aby bolo možné predísť bezpečnostným incidentom. V každej organizácii musí existovať minimálne jedna osoba, ktorá je zodpovedná za informačnú bezpečnosť – táto osoba má na starosti rozvoj a údržbu informačnej bezpečnosti ako takej. Môžu existovať aj ďalšie osoby, ktoré majú na starosti špecifické oblasti alebo systémy.

Bezpečnostnú politiku sa odporúča vytvoriť vo forme jasne štruktúrovaného a prehľadného dokumentu, prípadne dokumentov. Táto politika by mala byť jasne previazaná s inými bezpečnostnými dokumentmi a smernicami tak, aby spolu tvorili kompaktný celok. Tvorba bezpečnostnej politiky by sa mala riadiť podľa všeobecne záväznej normy podľa ISO/IEC 27001:2005 a ISO/IEC 27002:2005 a mala by vo všeobecnosti obsahovať:

•  definíciu informačnej bezpečnosti, jej cieľov a rozsahu a potvrdenie dôležitosti bezpečnosti,

•  vyhlásenie manažmentu organizácie o podpore bezpečnostnej politiky,

•  stručné vysvetlenie bezpečnostných požiadaviek a princípov vyplývajúcich z noriem a legislatívy,

•  definíciu všeobecných a špecifických zodpovedností v oblasti informačnej bezpečnosti,

•  kritériá pre ohodnocovanie rizík,

•  systém reportovania bezpečnostných incidentov,

•  odkazy na ďalšiu dokumentáciu podporujúcu bezpečnostnú politiku.

Takto zavedená bezpečnostná politika nielen že v plnej miere zodpovedá výnosu Ministerstva financií Slovenskej republiky z 9. júna 2010 č. 312/2010-132 Z. z. o štandardoch pre informačné systémy verejnej správy, ale zabezpečí vám aj maximálnu ochranu osobných a iných citlivých údajov, ktoré vo vašej organizácii spracovávate.

Použité zdroje : Metodický pokyn Ministerstva financií Slovenskej republiky č. MF/23579/2011-165 k výnosu Ministerstva financií Slovenskej republiky z 9. júna 2010 č. 312/2010-132 Z. z. o štandardoch pre informačné systémy verejnej správy

 

RNDr. Daniel Schikor

produktový riaditeľ

SOMI Systems a.s.