Základným pilierom informačnej bezpečnosti je bezpečnostná politika, ktorá popisuje pravidlá pre eliminovanie bezpečnostných rizík nie len v prostredí IT ale aj v organizácií ako takej.

Prvým krokom je zadefinovanie si cieľov budovania bezpečnosti a vypracovanie rizikovej analýzy pôvodného stavu bezpečnosti. Na základe týchto poznatkov je možné riešenie zistených nedostatkov a efektívne implementovanie nových prvkov v informačnej bezpečnosti.

Ďalšou podmienkou kvalitnej bezpečnostnej politiky je neustále udržiavanie jej štandardov a to nie len pracovníkmi IT ale aj všetkými zamestnancami. K tomuto účelu slúžia smernice a pravidelné školenia zamestnancov.

Zamestnanci si musia byť vedomí svojej zodpovednosti a musia vedieť ako sa majú správať v prípade narušenia niektorého aspektu informačnej bezpečnosti, t. j. musia byť jasne definované pravidlá bezpečnej prevádzky systémov v papierovej a elektronickej forme. Tieto požiadavky sa musia týkať všetkých osôb, ktoré vstupujú do informačných systémov organizácie, teda aj rôznych dodávateľov a externých firiem.

A v neposlednom rade informačná bezpečnosť ako taká musí byť niekým riadená a fungovať na základe určených pravidiel, aby bolo možné predísť bezpečnostným incidentom. V každej organizácii musí existovať minimálne jedna osoba, ktorá je zodpovedná za informačnú bezpečnosť, táto osoba má na starosti rozvoj a údržbu informačnej bezpečnosti ako takej. Môžu existovať aj ďalšie osoby, ktoré majú na starosti špecifické oblasti alebo systémy.

Bezpečnostnú politiku sa odporúča vytvoriť vo forme jasne štruktúrovaného a prehľadného dokumentu prípadne dokumentov. Táto politika by mala byť jasne previazaná s inými bezpečnostnými dokumentmi a smernicami tak, aby spolu tvorili kompaktný celok. Tvorba bezpečnostnej politiky by sa mala riadiť podľa všeobecne záväznej normy podľa ISO/IEC 27001:2005 a ISO/IEC 27002:2005 a mala by vo všeobecnosti obsahovať:

  • definíciu informačnej bezpečnosti, jej cieľov a rozsahu a potvrdenie dôležitosti bezpečnosti,

  • vyhlásenie manažmentu organizácie o podpore bezpečnostnej politiky,

  • stručné vysvetlenie bezpečnostných požiadaviek a princípov vyplývajúcich z noriem a legislatívy,

  • definíciu všeobecných a špecifických zodpovedností v oblasti informačnej bezpečnosti,

  • kritériá pre ohodnocovanie rizík,

  • systém reportovania bezpečnostných incidentov,

  • odkazy na ďalšiu dokumentáciu podporujúcu bezpečnostnú politiku.

 

Takto zavedená bezpečnostná politika nie len, že v plnej miere zodpovedá výnosu Ministerstva financií Slovenskej republiky 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy, ale zabezpečí vám aj maximálnu ochranu osobných a iných citlivých údajov, ktoré vo vašej organizácií spracovávate.

Spoločnosť SOMI Systems a.s. ponúka audit, spracovanie a zavedenie bezpečnostnej politiky v rozsahu, ktorý korešponduje s požiadavkami bezpečnostných štandardov uvedenými vo výnose 55/2014 Z. z..