Životní cyklus IT a bezpečnost

Vždy při vzniku informačního systému je možné definovat následující fáze životního cyklu informačního systému a na ně návazné kroky řešení bezpečnosti.

 

 

Předprojektová příprava systému

  • popis stávajícího stavu systému,

  • definice projektového záměru,

  • definice bezpečnostního záměru,

  • popis integrace do současného sytému.

 

Projektování systému

  • bezpečnostní studie,

  • analýza rizik ,

  • bezpečnostní politika,

  • bezpečnostní projekt,

  • bezpečnostní směrnice,

  • plány kontinuity.

 

Zavádění systému

  • realizace bezpečnostního projektu

 

Provozování systému

  • kontroly,

  • audity,

  • revize.

 

Ukončení životnosti systému

  • závěrečná dokumentace systému,

  • uložení bezpečnostních prvků,

  • archivace.

 

 

Popis některých opatření bezpečnosti


Bezpečnostní záměr je výchozím dokument pro komplexní řešení bezpečnosti IS, především pro vypracování bezpečnostní politiky a návazných projektů. Definuje základní přístupy k řešení bezpečnosti a základní požadavky na bezpečnost systému.

Analýza rizik identifikuje všechna významná aktiva, potenciální hrozby, zranitelnost a dopady na bezpečnost systému, stanoví protiopatření proti jednotlivým hrozbám.

Bezpečnostní politika je základní písemný dokument managementu organizace, obsahující představu vedení o řešení bezpečnosti a základní požadavky na jednotlivé bezpečnostní oblasti celého IS organizace.

Bezpečnostní projekt popisuje způsob realizace bezpečnostní politiky, definuje bezpečnostní prvky a rozpracovává aplikaci opatření personální, administrativní, organizační, technické, počítačové a komunikační bezpečnosti podle bezpečnostních standardů. Je vytvářen postupně pro zavádění jednotlivých bezpečnostních prvků podle stanovených priorit a ekonomických možností zákazníka.

Plány kontinuity jsou dokumenty stanovující činnost před, při a po bezpečnostních incidentech (útok, havárie, živelní pohromy apod.). Hlavním smyslem plánů je snížení následků mimořádných událostí a krizových stavů a co nejrychlejší obnova funkcí informačního systému, anebo organizace, po jakémkoliv negativním zásahu.

 

Bezpečnostní směrnice jsou souborem dokumentů, určených pro jednotlivé skupiny uživatelů či správců informačního systému a obsahují souhrn všech pravidel pro nastavení bezpečnostních prvků, bezpečné nakládání s informacemi, bezpečné využívání informačního systému v praxi.