Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Polityka bezpieczeństwa oznacza zbiór zasad i reguł określających sposób zapewnienia ochrony aktywów.

Standard polityki bezpieczeństwa stanowi, że wyznaczone podmioty w odniesieniu do systemu zarządzania bezpieczeństwem informacji są zobowiązane do:

a)      ustanowienie polityki bezpieczeństwa i prowadzenie dokumentacji bezpieczeństwa obejmującej następujące obszary polityki:[1]

·       system zarządzania bezpieczeństwem informacji,

·       zarządzanie aktywami,

·       bezpieczeństwo organizacyjne,

·       zarządzanie dostawcami,

·       bezpieczeństwo zasobów ludzkich,

·       zarządzanie ruchem i komunikacją,

·       kontrola dostępu,

·       bezpieczne zachowanie użytkowników,

·       tworzenie kopii zapasowych i odzyskiwanie danych oraz przechowywanie długoterminowe,

·       bezpieczne przesyłanie i wymiana informacji,

·       zarządzanie podatnością na zagrożenia techniczne,

·       bezpieczne korzystanie z urządzeń mobilnych,

·       pozyskiwanie, rozwój i utrzymanie,

·       ochrona danych osobowych,

·       bezpieczeństwo fizyczne,

·       bezpieczeństwo sieci komunikacyjnych,

·       ochrona przed złośliwym kodem,

·       wdrażanie i używanie narzędzia do wykrywania zdarzeń związanych z bezpieczeństwem cybernetycznym,

·       bezpieczne korzystanie z ochrony kryptograficznej,

·       zarządzanie zmianą,

·       zarządzanie incydentami związanymi z bezpieczeństwem cybernetycznym,

·       zarządzanie ciągłością działania.

Określa ona również zawartość dokumentacji bezpieczeństwa, która musi zawierać:

·       raport z audytu bezpieczeństwa cybernetycznego,

·       sprawozdanie z przeglądu systemu zarządzania bezpieczeństwem informacji,

·       metodologię identyfikacji i oceny aktywów oraz oceny ryzyka,

·       sprawozdanie z oceny aktywów i ryzyka,

·       oświadczenie o stosowalności,

·       plan zarządzania ryzykiem,

·       Plan rozwoju świadomości bezpieczeństwa,

·       zapis zmian,

·       zgłoszone dane kontaktowe,

·       przegląd ogólnie obowiązujących przepisów prawa, regulaminów wewnętrznych i innych zasad oraz zobowiązań umownych,

·       inna zalecana dokumentacja (np. topologia infrastruktury, przegląd urządzeń sieciowych).

b)      regularny przegląd polityki bezpieczeństwa i dokumentacji bezpieczeństwa,

c)      Należy zapewnić aktualność polityki bezpieczeństwa i dokumentacji dotyczącej bezpieczeństwa.

Polityka bezpieczeństwa i dokumentacja bezpieczeństwa muszą być:

·       dostępne w formie papierowej lub elektronicznej,

·       przekazywane w obrębie osoby zobowiązanej,

·       w rozsądny sposób dostępne dla zainteresowanych stron,

·       kontrolowane,

·       chronione pod względem poufności, integralności i dostępności,

·       przechowywane w taki sposób, aby informacje w nich zawarte były kompletne, czytelne, łatwe do zidentyfikowania i łatwe do wyszukania.