Audit Zabezpečení Bezpečnostní dokumenty a politiky

Audit Zabezpečení Bezpečnostní dokumenty a politiky
Úvod Zákon Systém řízení Normy ISO Ochrana osobních dat Bezpečnostní dokumenty a politiky

Vyhláška 316/2014 Sb., resp. příloha vyhlášky č. 4 stanovuje doporučený obsah a strukturu bezpečnostní dokumentace a bezpečnostní politiky. Navrhovaná struktura je nezávazná a přístup, který povinné subjekty4 zaujmou, je vždy na samotné organizaci. Jejich povinností je dodržení nařízení bezpečnostních opatření, které ukládá zákon, to je zavést a provádět bezpečnostní opatření a vést o nich bezpečnostní dokumentaci. To vyhláška doplňuje o požadavek, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné, a aby se daly snadno vyhledat. Vyhláškou navrhovaná struktura zahrnuje témata jednotlivých dokumentů, která pokrývají určitou oblast. Tato doporučení shrnuje Organizace mohou strukturu přizpůsobovat, a tak bezpečnostní dokumentace nemá svůj standard, což ztěžuje objektivní a nezávislé posouzení. Bezpečnostní dokumentace v organizaci slouží jako rámec pro implementaci a řízení bezpečnosti. Je souborem zásad a pravidel, která utvářejí základní aspekty bezpečnosti a definují jasná pravidla práce s informačním systémem i s informacemi, jako takovými. Zpracování bezpečnostní dokumentace odpovídá charakteristikám organizací a všem okolnostem, které na bezpečnost působí. (Bezpečnostní dokumentace, nedatováno) uvádí jako příklad obsahu dokumentace tuto strukturu :

▪ úvod, účel a definice pojmů,

▪ odpovědnosti a bezpečnostní zásady,

▪ organizování bezpečnosti,

▪ řízení a klasifikace aktiv,

▪ personální a fyzická bezpečnost,

▪ správa systémů,

▪ řízení přístupu,

▪ havarijní plánování,

▪ řízení používání software a používání informačního systému

Jednou z oblastí posuzování pro certifikaci podle zákona č. 412/2005 Sb. pro nakládání s utajovanými informacemi je právě bezpečnostní dokumentace. Při její tvorbě lze vycházet ze zásad, které uvádí (Zásady tvorby bezpečnostní dokumentace informačních systémů určených k nakládání s utajovanými informacemi, 2017) pro systémy nakládající s utajovanými informacemi, které jsou provozovány v režimu stupně utajení Vyhrazené. V tomto pojetí jsou dokumenty vzájemně provázané a navazují na sebe. Dokumenty jsou seskupeny do oblastí bezpečnostní politiky, analýzy rizik, návrhu bezpečnosti a směrnic bezpečnosti.