Bezpečnostné smernice
Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému." Tak hovorí zákon o ochrane osobných údajov. Čo z toho ale vyplýva? V zásade je treba zobrať celý balík teoretických poznatkov, ktoré sa nám pekne nakopili pri detailnej analýze bezpečnosti informačného systému a vo forme smerníc ich uviesť do praxe. Smernice zaväzujú všetky osoby na ktoré sa vzťahuje ich osobná pôsobnosť, takže ich dodržiavanie by sa malo považovať za samozrejmosť.
Obsahujú najmä:
a) popis všetkých technických, organizačných a personálnych opatrení doteraz vymedzených v bezpečnostnom projekte prihliadajúc na ich využitie v konkrétnych podmienkach realnej existencie a následnej prevádzky informačného systému;
b) určenie, ktoré osoby sú oprávnené na aké činnosti, čiže kto kedy môže čo urobiť pri prevádzke informačného systému a súčasťou toho je aj presne stanovený spôsob ich identifikácie a autentizácie týchto oprávnených osôb pri prístupe k informačnému systému;
c) určenie rozsah zodpovednosti spomínaných oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov;
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému;
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.
Pri tomto všetkom alebo skôr vrámci týchto údajov sa obsahom smerníc stávajú príkazy, ktoré majú do praktického používania preniesť opatrenia teoreticky navrhnuté ostatnými časťami dokumentu s názvom Bezpečnostný projekt. Preto sa stretávame so smernicami upravujúcimi fyzickú existenciu hardvéru, na ktorom informačný systém "beží", prevádzku a zabezpečenie ochrany tohto hardvéru. To isté sa týka aj softvérovej časti, najmä otázka zabezpečenia pred rizikami opísanými pri analýze bezpečnosti.
A kedže sa bezpečnostný projekt informačného systému pripravuje hlavne pre potreby zákona o ochrane osobných údajov, nemožno opomenúť vypracovanie smernice o ochrane osobných údajov.
