Bezpečnostní dokumentace
Tvorba dokumentace je neoblíbenou a pracnou činností nejen pro vývojáře, ale pro většinu pracovníků IT a bezpečnosti. Přesto právě dokumentace je páteří systému řízení informační bezpečnosti (ISMS), která popisuje systém v dané organizaci, ale v ideálním případě i inspiruje, radí a pomáhá jednotlivým rolím při jejich každodenní práci. V neposlední řadě je to element, který je součástí každého auditu, bez ohledu na zvolený etalon.
Pokud organizace vlastní nebo se připravuje na certifikaci dle ČSN ISO/IEC 27001, musí mít několik jasně definovaných dokumentů. Patří-li organizace pod působnost kybernetického zákona, měla by disponovat celou řadou dokumentů, jak je navrženo v příslušné vyhlášce o kybernetické bezpečnosti.
Naše služba Vám pomůže s tvorbou nové nebo revizí stávající dokumentace.
Příprava
Hned počátkem projektu tvorby dokumentace musí být jasný cíl a účel. Chceme „jen“ splnit požadavky legislativy (jaké) nebo chceme dokumentaci i aktivně využívat a rozvíjet? Máme vlastní dokumentaci, kterou je třeba zachovat nebo je možné (nutné) začít „na zelené louce“? Máme provedenou rozdílovou analýzu, která zachycuje i chybějící dokumentaci? (Tuto analýzu nabízíme v rámci jiných služeb.) Komu má dokumentace primárně sloužit, pro jaké role ji vytváříme? Jaká má být granularita (úroveň detailu) bezpečnostních politik? Máme jít až na úroveň technické dokumentace, jako je např. tvorba konfiguračních standardů?
Jakmile si odpovíme na uvedené otázky, můžeme začít.
Tvorba, revize dokumentace
Na počátku bylo slovo a bezpečnostní dokumentaci tvoří slov hodně. My se však snažíme dokumentaci vytvářet stručnou a praktickou. Cílem je splnit legislativní požadavky, nicméně ne na úkor smysluplnosti a zahlcení stovkami stran textu.
Požadovanou dokumentaci rozdělíme do směrnic dle cílových čtenářů. Není nutné, aby všichni četli všechno (stejně to nikdo dělat nebude). Vytvoříme vícestupňovou strukturu, kde vrcholovou úroveň tvoří globální bezpečnostní politika, která je jen na jednotky stránek a zachycuje to hlavní – odpovědnost a připravenost vedení řídit informační bezpečnost. Následují politiky pro jednotlivé role – bezpečnostní manažer, pracovníci IT, uživatelé apod.
Každý dokument se vytvoří jako draft, projde připomínkováním ze strany zákazníka a poté se ustanoví finální verze.
Výstupy
Výstupem naší práce je samozřejmě bezpečnostní dokumentace a směrnice v dohodnuté struktuře. Cílem je přehledná struktura a dokumenty, které lze jednoduše aktualizovat a přináší přidanou hodnotu řízení informační bezpečnosti v organizaci.
Přínosy
Hlavní přínosy našeho přístupu jsou:
- Rychlý a efektivní návrh struktury dokumentace,
- praxí řádně prověřené zpracování bezpečnostní dokumentace,
- minimální zatížení Vašich zaměstnanců,
- dokumentaci v souladu s legislativními požadavky,
- zpracování bezpečnostní dokumentace dle individuálních potřeb klienta.
Dejte přednost řešení svých problémů na dlouhodobé strategické úrovni před řešením problémů na poslední chvíli.