Propozycja stworzenia oraz wdrożenia kompleksowej dokumentacji SZBI, która jest warunkiem niezbędnym do skutecznego zarządzania bezpieczeństwem informacji w organizacji. Podstawowym dokumentem SZBI jest Polityka Bezpieczeństwa Informacji. Polityka zawiera wyrażoną przez kierownictwo deklarację stosowania, opisuje organizację i ustala osoby odpowiedzialne oraz ich zakresy odpowiedzialności, wprowadza klasyfikację informacji, sposób postępowania z poszczególnymi rodzajami informacji, określa aktywa i ich właścicieli oraz sposób szacowania ryzyka, i postępowania z ryzykiem. Inne regulacje wewnętrzne, mogące stanowić dokumenty wykonawcze PBI to przykładowo:
– procedura zarządzania ryzykiem,
– regulamin korzystania z zasobów i systemów informatycznych,
– procedura zarządzania sprzętem i oprogramowaniem,
– procedura zarządzania uprawnieniami do pracy w systemach teleinformatycznych,
– procedura bezpiecznej utylizacji sprzętu elektronicznego,
– procedura zarządzania zmianami i wykonywania testów akceptacyjnych,
– procedura stosowania środków kryptograficznych,
– procedura określania specyfikacji technicznej wymagań odbioru systemów IT,
– procedura zgłaszania i obsługi incydentów naruszenia bezpieczeństwa informacji,
– procedura wykonywania i testowania kopii bezpieczeństwa.
Oprócz dokumentacji PBI obligatoryjnymi dokumentami stanowiącymi cały System Zarządzania Bezpieczeństwa Informacji są:
– Polityka Bezpieczeństwa Danych Osobowych,
– Polityka Bezpieczeństwa Fizycznego,
– Polityka/Regulamin/Instrukcja Bezpieczeństwa Systemów Teleinformatycznych.
Propozycja PCAT wzbogacona jest o dodatkowe elementy wynikające z Ustawy z 5 lipca 2018 o krajowym systemie cyberbezpieczeństwa (Dz.U.2018.1560) np. takie jak testy penetracyjne sieci wewnętrznej, które pozwalają określić poziom bezpieczeństwa teleinformatycznego oraz wykryć ewentualne podatności systemów teleinformatycznych.
Zgodnie z przepisami system SZBI oprócz stworzenia i wdrożenia powinien być monitorowany i poddawany cyklicznym przeglądom, w wyniku czego powinien być utrzymywany oraz doskonalony, co powinno znaleźć odzwierciedlenie w dokumentacji systemu.
Dokumentację SZBI stanowią:
– dokumentacja z cyklicznych przeglądów SZBI,
– dokumentacja z szacowania ryzyka Bezpieczeństwa Informacji,
– dokumentacja postepowania z ryzykiem,
– dokumentacja akceptacji ryzyka,
– dokumentacja audytów z zakresu Bezpieczeństwa Informacji,
– dokumentacja incydentów naruszenia Bezpieczeństwa Informacji,
– dokumentacja zarządzania uprawnieniami do pracy w systemach teleinformatycznych,
– dokumentacja zarządzania sprzętem i oprogramowaniem teleinformatycznym,
– dokumentacja cyklicznych szkoleń osób zaangażowanych w proces przetwarzania informacji.
Opcja pełnomocnika ds. SZBI polega na trwałej współpracy w ramach abonamentu miesięcznego, w którym zapewniamy opracowanie i wdrożenie kompletnego systemu zarządzania bezpieczeństwem informacji a ponadto stały nadzór i doskonalenie systemu poprzez:
– cykliczne szkolenia pracowników,
– przeglądy oraz aktualizowanie dokumentacji i uprawnień,
– inwentaryzację sprzętu i oprogramowania,
– okresowe szacowanie ryzyka i postepowanie z nim związane,
– uczestnictwo i nadzór przy okresowych audytach wewnętrznych (BIP, KRI, ePUAP),
– okresowy audyt teleinformatyczny lub przeprowadzenie badań kontr-inwigilacyjnych,
– wsparcie dla informatyków lub działu IT.
