|
Bezpečnostní politika
Projekty BP, které naše společnost realizuje, vyplývají z obecných požadavků na zavedení systému řízení bezpečnosti informací v organizaci. Cílem projektu BP je najít takového dodavatele, který je schopen:
|
|
Zpravidla jsou požadavky vymezeny tak, že projekt obsahuje důležité body, jako jsou: |
- provedení analýzy rizik
- návrh protiopatření ke zjištěným nepřijatelným rizikům
- plán implementace vybraných protiopatření
- odborná asistence při provedení implementace
- bezpečnostní audit dosaženého stavu
|
Bezpečnostní standardy: |
eBS využívá při své činnosti řadu mezinárodně uznávaných norem a doporučení, která jsou odborným způsobem interpretovány na podmínky čR:
|
ISO/IEC 17799:2000 |
Převzatá norma BS 7799-1:1999 od normalizačního úřadu Velké Británie. Uvedené norma je sbírkou nejlepších praktik v oblasti bezpečnosti bez ohledu na velikost a typ organizace a to ji dává možnost širokého uplatnění jak v komerčních organizacích, tak i státních organizacích.
|
BS 7799-2:1999 |
Slouží pro určení postupu a nutných kroků pro zavedení výše uvedené normy do organizace formou vytvoření systému řízení bezpečnosti informací v organizaci (ISMS). Využití této normy umožòuje prokázat organizaci, že její ISMS byl zaveden systémově správně a tím umožòuje organizaci provést vlastní certifikace podle certifikačního schématu BSI c:cure. Této možnosti využívají hlavně organizace v UK, kde je certifikační schéma akreditované státem.
|
ISO/IEC TR 13335 |
Slouží jako doplòující metodické vodítko (z důvodu statutu normy pouze jako technické zpráva a nikoliv plnohodnotná norma jakou je například ISO/IEC 17799:2000) při zavádění bezpečnosti organizace pro podporu dalších metodik. Pokrývá fáze od organizace bezpečnosti, až po výběr protiopatření.
|
Metodiky analýzy rizik |
Com-Sys využívá řadu metodik a nástrojů na analýzu rizik informačních systémů a technologií. Jejich použití se řídí požadavky jednotlivých systémů na bezpečnost, podle které se vybírá konkrétní vhodná metodika:
|
Metodika CRAMM |
Tato metodika, původně vypracována pro potřeby britské státní správy, patří mezi nejšíře použitelné metodiky, protože je určena pro všechny fáze životního cyklu systému. Vlastní metodika je široce ve světě využívána a v aktuální verzi (CRAMM 4.0) reflektuje nejnovější trendy v oblasti analýzy a řízení rizik informací.
|
Metodika BSI DISC PD 3002 a PD3005 |
Je využívána jako alternativa metodiky CRAMM doporučení BSI DISC rozpracované v dokumentech BSI DISC PD 3002 (pro obecnou úroveò analýzy rizik) a BSI DISC PD 3005 (pro detailní úroveò analýzy rizik). Doporučujeme uvedenou metodiku spíše pro menší systémy, protože je spojena hlavně s větším podílem přímé analytické práce, která musí být na rozdíl od metodiky CRAMM analýze věnována, což prodlužuje a tím také prodražuje práce, které jsou podle metodiky prováděny.
|
Metodika GISA ITBPM
|
Jedná se o aplikaci metodiky německého Institutu pro bezpečnost zpracování informací (GISA), která je určena jako efektivní pomůcka pro zavedení typizovaných technických řešení (IT Baseline Protection Manual). Tomu odpovídá i způsob provedení analýzy rizik, kde metodika provádění analýzy rizik je vhodná pro systémy s nižšími požadavky na bezpečnost. Doporučujeme ji využít jako doplòkovou pro výběr konkrétních technických a technologických opatření.
|
Návaznost na legislativu
|
Naše společnost při všech činnostech v rámci projektů BP využívá relevantní platnou legislativu ČR (tj. příslušné zákony, vyhlášky, předpisy, případně normy). Do základního legislativního rámce projektů BP patří zejména tyto zákony:
- Zákon č. 365/2000 Sb., o informačních systémech veřejné správy
- Zákon č. 101/2000 Sb., o ochraně osobních údajů
- Zákon č. 227/2000 Sb., o elektronickém podpisu
- Zákon č. 148/1998 Sb., o ochraně utajovaných skutečností
- Zákon č. 240/2000 Sb., o krizovém řešení
- Zákon č. 151/2000 Sb., o telekomunikacích
Kromě toho jsme si vědomi nutnosti chránit další informace, týkající se majetkových poměrů,daòových údajů, atd. Stanovené jinými zákony jako např.:
- § 24 zákona č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů,
- § 23 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, ve znění pozdějších předpisů,
- § 14 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů,
- § 24a zákona č. 551/1991 Sb., o Všeobecné zdravotní pojiš»ovně české republiky
- zákon č. 513/1991 Sb., obchodní zákoník, resp. jeho § 17 o ochraně obchodního tajemství
- zákon č. 117/1995 Sb., o státní sociální podpoře, ve znění pozdějších předpisů,
Ve fázi realizace bezpečnostních opatření je zároveò nutno, mimo výše uvedené zákony, brát v úvahu a akceptovat i požadavky zákona č. 106/1999 Sb. o svobodném přístupu k informacím.
|
|
|
|
|
|