Varnostne politike

Zagovarjamo hierarhično strukturo dokumentov varnostne politike: krovna varnostna politika podaja generalne, od varnostnih tehnologij povsem neodvisne, usmeritve poslovodstva v zvezi z varovanjem informacij in sistem podrejenih dokumentov elementarnih politik, navodil in obrazcev za izvajanje posamezne politike, ki podrobno urejajo posamezna področja.

Krovna varnostna politika

Krovna varnostna politika predstavlja temeljni dokument za varovanje informacij v podjetju. Osnovni namen dokumenta je definiranje celovitega sistema varovanja. Zato krovna varnostna politika vsebuje naslednje elemente:

  • Zavezanost vodstva
    • Prepoznavanje varovanja kot enega od kritičnih poslovnih področij
    • Zavezanost vodstva podjetja, da bo podpiral vpeljevanje sistema varovanja informacij
    • Naloge posameznih organizacijskih enot pri definiranju kritičnih poslovnih procesov in pri uvajanju sistema varovanja v njihova okolja
    • Definiranje obsega z opisom področij in poslovnih procesov, ki so kritični za poslovanje podjetja in s tem prioritetni za varovanje
    • Definicija ciljev sistema varovanja informacij, povezava s poslovnimi cilji in strateškimi usmeritvami podjetja
  • Definicija procesa upravljanja s tveganji
    • Postopek in koraki pri oceni in upravljanju tveganj
    • Definicija korakov za zmanjševanje tveganj na sprejemljiv nivo
  • Obvladovanje dokumentacije ISMS
    • Struktura
    • Nosilci
    • Postopki
      • Izdelava
      • Popravljanje
      • Objavljanje
  • Zadolžitve in pooblastila za ISMS
    • Organiziranost telesa za operativno izvajanje in nadzor izvajanja sistema varovanja informacij
    • Zadolžitve in pooblastila glavnega pooblaščenca (Information security officer: svetovalec, koordinator…)

Elementarne varnostne politike

Na osnovi organizacijskega posnetka, ocene tveganj in krovne varnostne politike pripravimo (krovni v. politiki podrejene) elementarne varnostne politike, ki pokrivajo najbolj pomembne oz. kritične poslovne procese naročnika. V nadaljevanju navajamo nekaj možnih elementarnih politik.

  • Politika primerne rabe informacijske tehnologije
    • Vsak uporabnik, ki na kakršenkoli način dostopa do podatkov in uporablja informacijske vire je odgovoren za varovanje podatkov. Uporabnik mora upoštevati postavljene varnostne mehanizme in kontrole, varnostno politiko in vse interne akte, ki določajo pravice in obveznosti uporabnikov pri delu z informacijsko tehnologijo oz. informacijskimi viri.
  • Politika razvoja aplikacij
    • Ta politika definira odgovornosti uporabnikov v produkcijskem, testnem in razvojnem okolju. Vsako od treh okolij ima definirana pravila uporabe, ki jih morajo spoštovati uporabniki posameznih okolij.
  • Politika varnosti sistemskih operacij
    • Za organizacijo, ki je zelo odvisna od informacijske tehnologije, je pomembno, da informacijsko tehnologijo vzdržuje v delujočem stanju, ki omogoča dostopnost in celovitost ter zaupnost podatkov, ko jih njeni zaposleni potrebujejo za potrebe poslovanja.
  • Politika upravljanja z uporabnikovo prijavo
    • Vsak uporabnik v podjetju ima točno določene pravice do uporabe informacijskih virov podjetja. Ta politika določa pravice in dolžnosti ter odgovornosti akterjev, ki kreirajo, spreminjajo, brišejo in nadzorujejo uporabniške pravice.
  • Politika uporabe elektronske pošte in interneta
    • Uporabnik informacijskega sistema podjetja prvenstveno uporablja elektronsko pošto in dostop do interneta za potrebe poslovanja podjetja. Privatna uporaba je lahko dovoljena, tolerirana, omejena ali prepovedana.
  • Politika šolanja uporabnikov
    • Vsi zaposleni, glede na svoje zadolžitve in zadolžitvam primerno, izpopolnjujejo svoje znanje s področja informacijske varnosti.
  • Politika neprekinjenega delovanja in DRP (»Disaster Recovery Plan«)
    • Podjetje vzdržuje okrevalni načrt , se z njegovim izvajanjem ščiti pred katastrofičnimi izgubami podatkov in zagotovi obnovitev omrežnih in aplikativnih servisov v vnaprej določenem času v primeru odpovedi ali celo uničeja sistema.
  • Politika varovanja pred virusi
    • Zaščita pred zlonamerno kodo je naloga podjetja in vsakega zaposlenega ne glede na funkcijo.
  • Politika oddaljenega dostopa
    • Oddaljen dostop do računalniškega omrežja naročnika in njegovih informacijskih virov zahteva močno identifikacijo, overjanje in avtorizacijo.
  • Politka varnosti osebja
    • Vsi zaposleni, dobavitelji, zunanji sodelavci, pogodbeniki, ki zahtevajo dostop do kritičnih poslovnih informacij morajo biti ustrezno preverjeni , usposobljeni in nadzirani.
  • Politka iznosov opreme iz podjetja
    • Zaposleni v podjetju imajo, glede na delovno mesto, možnost iznosa opreme, ki je last podjetja. Uporabljajo jo za potrebe poslovanja podjetja.
  • Politika nastavitve delovnih postaj
    • Standardna nastavitev delovnih postaj se menja glede na trenutne trende v operacijskih sistemih. Nastavitve so splošne, neodvisne od instaliranega informacijskega sistema in zanje ni potrebna posebna odobritev vodstva.
  • Politika javljanja varnostnih dogodkov
    • Vse sumljive varnostne dogodke je treba prijaviti varnostnemu inženirju ali predpostavljenemu.
  • Politika gesel
    • Vsa gesla in PIN številke morajo biti zgrajena v skladu s politiko, redno spreminjana in hranjena v skladu s hranjenjem zaupnih dokumentov – informacij.
  • Obvladovanje dokumentov ISMS
    • V politiki je zapisan postopek izdelave, popravljanja in objavljanja dokumentov ISMS ter postopki za preverjanje skladnosti ISMS z poslovnimi procesi naročnika.

 
 
   
HIC SALTA©2006   +386 1 244 78 20   
o avtorju