Bezpečnostní politika

Projekty BP, které naše společnost realizuje, vyplývají z obecných požadavků na zavedení systému řízení bezpečnosti informací v organizaci. Cílem projektu BP je najít takového dodavatele, který je schopen:
 
  • navrhnout bezpečnostní projekt
  • realizovat bezpečnostní projekt
Zpravidla jsou požadavky vymezeny tak, že projekt obsahuje důležité body, jako jsou:
  1. provedení analýzy rizik
  2. návrh protiopatření ke zjištěným nepřijatelným rizikům
  3. plán implementace vybraných protiopatření
  4. odborná asistence při provedení implementace
  5. bezpečnostní audit dosaženého stavu
Bezpečnostní standardy:
eBS využívá při své činnosti řadu mezinárodně uznávaných norem a doporučení, která jsou odborným způsobem interpretovány na podmínky čR:
ISO/IEC 17799:2000
Převzatá norma BS 7799-1:1999 od normalizačního úřadu Velké Británie. Uvedené norma je sbírkou nejlepších praktik v oblasti bezpečnosti bez ohledu na velikost a typ organizace a to ji dává možnost širokého uplatnění jak v komerčních organizacích, tak i státních organizacích.
BS 7799-2:1999
Slouží pro určení postupu a nutných kroků pro zavedení výše uvedené normy do organizace formou vytvoření systému řízení bezpečnosti informací v organizaci (ISMS). Využití této normy umožòuje prokázat organizaci, že její ISMS byl zaveden systémově správně a tím umožòuje organizaci provést vlastní certifikace podle certifikačního schématu BSI c:cure. Této možnosti využívají hlavně organizace v UK, kde je certifikační schéma akreditované státem.
ISO/IEC TR 13335
Slouží jako doplòující metodické vodítko (z důvodu statutu normy pouze jako technické zpráva a nikoliv plnohodnotná norma jakou je například ISO/IEC 17799:2000) při zavádění bezpečnosti organizace pro podporu dalších metodik. Pokrývá fáze od organizace bezpečnosti, až po výběr protiopatření.
Metodiky analýzy rizik
Com-Sys využívá řadu metodik a nástrojů na analýzu rizik informačních systémů a technologií. Jejich použití se řídí požadavky jednotlivých systémů na bezpečnost, podle které se vybírá konkrétní vhodná metodika:
Metodika CRAMM
Tato metodika, původně vypracována pro potřeby britské státní správy, patří mezi nejšíře použitelné metodiky, protože je určena pro všechny fáze životního cyklu systému. Vlastní metodika je široce ve světě využívána a v aktuální verzi (CRAMM 4.0) reflektuje nejnovější trendy v oblasti analýzy a řízení rizik informací.
Metodika BSI DISC PD 3002 a PD3005
Je využívána jako alternativa metodiky CRAMM doporučení BSI DISC rozpracované v dokumentech BSI DISC PD 3002 (pro obecnou úroveò analýzy rizik) a BSI DISC PD 3005 (pro detailní úroveò analýzy rizik). Doporučujeme uvedenou metodiku spíše pro menší systémy, protože je spojena hlavně s větším podílem přímé analytické práce, která musí být na rozdíl od metodiky CRAMM analýze věnována, což prodlužuje a tím také prodražuje práce, které jsou podle metodiky prováděny.
Metodika GISA ITBPM
Jedná se o aplikaci metodiky německého Institutu pro bezpečnost zpracování informací (GISA), která je určena jako efektivní pomůcka pro zavedení typizovaných technických řešení (IT Baseline Protection Manual). Tomu odpovídá i způsob provedení analýzy rizik, kde metodika provádění analýzy rizik je vhodná pro systémy s nižšími požadavky na bezpečnost. Doporučujeme ji využít jako doplòkovou pro výběr konkrétních technických a technologických opatření.

Návaznost na legislativu

Naše společnost při všech činnostech v rámci projektů BP využívá relevantní platnou legislativu ČR (tj. příslušné zákony, vyhlášky, předpisy, případně normy). Do základního legislativního rámce projektů BP patří zejména tyto zákony:

  • Zákon č. 365/2000 Sb., o informačních systémech veřejné správy
  • Zákon č. 101/2000 Sb., o ochraně osobních údajů
  • Zákon č. 227/2000 Sb., o elektronickém podpisu
  • Zákon č. 148/1998 Sb., o ochraně utajovaných skutečností
  • Zákon č. 240/2000 Sb., o krizovém řešení
  • Zákon č. 151/2000 Sb., o telekomunikacích

Kromě toho jsme si vědomi nutnosti chránit další informace, týkající se majetkových poměrů,daòových údajů, atd. Stanovené jinými zákony jako např.:

  • § 24 zákona č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů,
  • § 23 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, ve znění pozdějších předpisů,
  • § 14 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů,
  • § 24a zákona č. 551/1991 Sb., o Všeobecné zdravotní pojiš»ovně české republiky
  • zákon č. 513/1991 Sb., obchodní zákoník, resp. jeho § 17 o ochraně obchodního tajemství
  • zákon č. 117/1995 Sb., o státní sociální podpoře, ve znění pozdějších předpisů,

Ve fázi realizace bezpečnostních opatření je zároveò nutno, mimo výše uvedené zákony, brát v úvahu a akceptovat i požadavky zákona č. 106/1999 Sb. o svobodném přístupu k informacím.