Sigurnosna politika

Sigurnosna politika odražava stav najvišeg poslovodstva o pravcima u pogledu sigurnosti u kojima jasno iskazuju snažnu potporu svim subjektima poslovnog sustava u pogledu sigurnosti.

Najviše poslovodstvo mora definirati politiku te iskazati podršku i predanost sigurnosti informacija kroz izradu, doradu, naglašavanje i podržavanje politike sigurnosti u cijeloj organizaciji.

Dokument sigurnosne politike

Dokument sigurnosne politike treba biti odobren od strane upravitelja, objavljen i poslan svim zaposlenicima i korisnicima kojima je namijenjena.

Politika treba odražavati stavove rukovoditelja i definirati koncept upravljanja sigurnosti informacija. Dokument politike treba sadržavati iskaze koje se odnose na:

  • definicije sigurnosti informacija, njezine sveobuhvatne ciljeve i djelokrug, te važnost sigurnosti kao temeljni mehanizam dijeljenja informacija,
  • stavove rukovoditelja, podržavajući ciljeve i principe informacijske sigurnosti u skladu s poslovnom strategijom,
  • okvire uspostave kontrolnih ciljeva i kontrola, uključujući načela procjene rizika,
  • jezgrovito objašnjenje sigurnosne politike, načela i standarda,
  • suglasnost sa zakonodavnim, nadzornim i ugovornim zahtjevima,
  • zahtjevima o educiranju o sigurnosti,
  • posljedicama nepridržavanja pravila sigurnosne politike,
  • definicije općih i specifičnih odgovornosti rukovoditelja informacijske sigurnosti, uključujući izvještavanje o sigurnosnim incidentima,
  • reference na dokumentaciju koja može podržati politiku.

Sigurnosna politika mora biti pisana u odgovarajućem obliku, dostupna i razumljiva onome kome je namijenjena.

Provjera sigurnosne politike

Svakim danom otkrivaju se nove prijetnje informacijskim sustavima, u informacijske sustave ugrađuje se nova oprema, zapošljavaju se novi kadrovi itd. Ukoliko sve ove promjene ne bi utjecale na sigurnosnu politiku, politika bi nakon nekog vremena zastarjela. Iz tog razloga politika sigurnosti mora biti periodično pregledavana, a ako se dogode značajne promjene unutar sustava i prije. Cilj provjere je zadržati i osigurati prikladnost, kompetentnost i djelotvornost politike.

Politika sigurnosti treba imati vlasnika, tj. odgovornu osobu zaduženu za razvoj, provjeru i valorizaciju sigurnosne politike.  Provjera treba sadržavati određivanje mogućnosti poboljšanja sigurnosne politike i predlaganje promjena u okolnostima poslovanja, organizacije, pravnim ili tehničkim aspektima.

Činjenice koje je potrebno razmotriti u procesu provjere sigurnosne politike su sljedeće:

  • povratne informacije,
  • rezultati neovisnih ispitivanja
  • status preventivnih aktivnosti,
  • promjene koje mogu pozitivno utjecati na informacijsku sigurnost,
  • trendovi koji se odnose na prijetnje i ranjivosti,
  • izvješća o sigurnosnim incidentima,
  • preporuke mjerodavnih.

Rezultati provjere mogu sadržavati bilo koje odluke i akcije temeljene na:

  • poboljšanju pristupa organizacije u upravljanju informacijskom sigurnosti,
  • poboljšanju kontrolnih ciljeva i kontrola,
  • poboljšanju u dijeljenju resursa i/ili odgovornosti.

Primjena norme u sigurnosnoj politici

Dokument sigurnosne politike ZEMRIS-a treba jasno definirati stav Zavoda i Fakulteta prema sigurnosti informacijskih sustava.

Što želimo zaštititi:

  • podatke – zaposlenici i studenti svoja znanja prezentiraju kroz računalo. Većina njihovih projekata, članaka, predavanja, vježbi pohranjenih u elektronskom obliku predstavlja neprocjenjivu vrijednost za fakultet,
  • reputaciju - fakultet elektrotehnike i računarstva ne smije si dopustiti sigurnosne incidente koji bi degradirali reputaciju građenu desetljećima i generacijama izvrsnih zaposlenika i studenata,
  • ostale korisnike Interneta – računalni sustav Zavoda može biti velika potencijalna prijetnja drugim korisnicima Interneta ili privatnim mrežama spojenim na mrežu Zavoda ukoliko kontrolu nad sustavom preuzme napadač.

Važnost zaštite informacijskog sustava ZEMRIS-a nedvojbeno je prepoznata od strane rukovodećih ljudi fakulteta i zavoda te je pružena maksimalna podrška u razvoju politike i implementaciji sigurnosnih kontrola.

Provjera sigurnosne politike obavljati će se periodično svakih godinu dana, a po potrebi je nužno provjeru provesti i ranije.  Prijevremenu provjeru sigurnosne politike potrebno je napraviti:

  • ako se dogode sigurnosni incidenti,
  • ako se otkriju potencijalne ranjivosti sustava,
  • ako se implementiraju novi servisi, hardver, softver,
  • ako se dogode promjene u strukturi zaposlenika itd.