1.7. Příručka bezpečnosti IS/IT
Zatímco politika operuje s obecnějšími pravidly, příručka bezpečnosti obsahuje konkrétní bezpečnostní procedury, jako například havarijní plány, plány obnovy, definice instalačních procedur a konfigurací pro servery, stanice, definice dodatků k pracovní smlouvě (kde se například zaměstnanec zavazuje neprozradit …) apod.
1.8. Audit IS/IT
Kontrola dodržování a funkčnosti bezpečnosti, ale i revize samotné bezpečnostní politiky, strategie, procedur pro zajištění bezpečnosti.
Systém hlášení bezpečnostních incidentů - zahrnuje eskalační procedury, které zajistí mobilizaci v případě problémů vyžadujících okamžitou reakci, a centrální evidenci hlášení o bezpečnostních incidentech. Distribuovaná prostředí IT mají za následek distribuovanou zodpovědnost, musí proto existovat jednotný systém umožňující včasnou reakci a podporující měření účinnosti bezpečnostních opatření a pro zjišťování trendů. Příkladem systému eskalací je systém REMEDY (hlášení problému (na HelpDesk), přiřazení problému podpoře první úrovně, poté druhé úrovně, dodavateli, sledování průběhu řešení, sledování definovaných časů, notifikace nadřízených v případě prodlev…).
Bezpečnostní vzdělávání
systém pravidelného vzdělávání vlastních zaměstnanců v oblasti informační bezpečnosti. Prostředí IS/IT se rychle mění, mění se legislativa, mění se i samotné společnosti, jejich strategie a obchodní plány, lidé ve společnosti mění své pozice, přicházejí a odcházejí. To jsou hlavní argumenty pro to, aby se školení týkající se informační bezpečnosti periodicky opakovala. Navíc zaměstnanec si musí uvědomovat hrozby a vědět možné důsledky, pokud by bp nebyla dodržována.
1.9. Kritéria bezpečnosti IS/IT
TCSEC (USA - 1983) – IS jsou rozděleny do kategorií A-D, podle stupně zabezpečení (A –nejlepší zajištění). Každý systém je možné klasifikovat dle kritérií a podmínek v TCSEC, nebo opačně, je možné snažit se dosáhnout stupně zabezpečení podle kritérií definovaných v TCSEC.
ITSEC (E –1990) – obdoba TCSEC pro evropu
Žádné komentáře:
Okomentovat