CAM00289

„Wdrożone"

Dokumentowanie systemu ochrony informacji

Nkzipisuj Uroczego, co mód*

Sć AwtairH rwojef niekompetencji

Dziesiąte altanie Sparksa dtamansum

Rozdzul len dotyczy prnblrinyłi dofcn—ratowania systemu ochrony informacji przetwarzane}. prrriwt—:j i praccłwy mej w systemach informacyjnych. Pożądany poziom odporności na zagraa n zapewnia znUe tzm. system bezpieczeństwa infonnacyjnego] na który sUadafą się pomazane i oddziałujące na siebie w różny sposób elementy i organizacyjne, fi i h— i im (w tym programowe) j ludzkie, laki system, dla wszystkich wymienianych elementów składowych. powinien być dobrze udokumentowany. Jest to niezbędne da osiągnięcia:

-    odpowiedniego pańM ochrony informacji i elementów systemu przelwatzajt-ryrhhąitf jmnrhit—||ijali informację

-    utrzymania pod kontrolę zmian w systemie;

-    spełnienia wymogów różnych przepisów prawnych, które w sposób jawny nakładają obowiązek posiadania przez organizacje, o ile są przez nie przetwarzane 3 przechowywane akrc-śloac klasy informacji^{1 2} lub organizacje te są podmiotami poHkznynr. dokumentów nazywanych „polityka bezpieczeństwa”, „instrukcje i procedury bezpieczeństwa” lub podobnie.

Uważam, ae system bezpieczeństwa może być w pełni udokumentowany przez następwjącc. dobrze opracowane i poprawnie wdrożone' dokumenty:

, j poHW***²**

, polityk

jej l^wWlw lete^bw*²

n „Pian bet

jtezpieczt

„wiedzy 1

3)    „Inatrukt w taktć* tnów lelt

4)    „Plenni wahift w wewnęt

Wymicnio rwierciedlająci ane dokładni pewniania cią) ochronę infor informatyczny

16.1. Pc

Potocznie tei gnięcia żalni różnorodne kadrowa, pc mianem poi spisane w d< polityk rcal stawę i cele Dokurt różnych pr przez orga zawarte w tnentów, s:

1

Na |ii>Wal iwpmiteK MSWiA i dfn 25v4J)41, „w sprawie dokumentacji przetwarzania danych anhoapk oraz warunki** tedmaemfdk i organizacyjnych, jakim powinny odpowiadać urządzenia

2

ayaaąną afaaaącnr duzące do pnawnaa danych osobowych” (DzU. nr 100, po z. 1024).

- Na przykład Rozporządzenie Rady Mwaiwów zda. I I.IO.OSr. „w aprawic minimalnych wymagań dla systemów utuzdin wi|riu|rh~ (DłU m 2UL pac. TOJt    ___²

ean i- muszą zostać wprowadzone w organizacji odpowiednim za-Mdwwm—atbep- teawnwra a—I oostać wykonane odpowiednie oynności administracyjne, j^p szketenw, zakupy czy    • obiegu dokumentów, oraz techniczne, jak np. instalacja sprzętu |

lump......