Politika informačnej bezpečnosti

Politika informačnej bezpečnosti Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky


1. ÚVOD

Politika informačnej bezpečnosti Ministerstva zahraničných vecí a európskych záležitostí SR (ďalej len „politika“) je spracovaná v súlade s:

a) zákonom č. 275/2006 Z. z. zo dňa 20. apríla 2006 o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov (ďalej len „zákon“),

b) výnosom MF SR č. 312/2010 Z. z. zo dňa 09. júna 2010 o štandardoch pre informačné systémy verejnej správy (ďalej len „výnos MF SR“),

c) ISO/IEC 27001:2005 Informačné technológie. Zabezpečovacie techniky. Systémy manažérstva informačnej bezpečnosti (ďalej len „IB“). Požiadavky,

d) ISO/IEC 27002:2005 Informačné technológie. Zabezpečovacie techniky. Pravidlá dobrej praxe manažérstva informačnej bezpečnosti,

e) ISO/IEC 27005:2011 Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej bezpečnosti.

2. ZÁKLADNÉ ÚDAJE A PÔSOBNOSŤ MINISTERSTVA


Podľa zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov je Ministerstvo zahraničných vecí a európskych záležitostí (ďalej ako „ministerstvo“) ústredným orgánom štátnej správy.

Pôsobnosť ministerstva je definovaná v štatúte ministerstva a podrobnejšie v organizačnom poriadku ministerstva.

Dokumenty sú vystavené na webovom sídle ministerstva v záložke „Ministerstvo“.

3. ROZSAH PÔSOBNOSTI SYSTÉMU RIADENIA informačnej bezpečnosti


Systém riadenia informačnej bezpečnosti je vybudovaný v súlade s požiadavkami výnosu MF SR a medzinárodných noriem ISO/IEC27001:2005, ISO/IEC 27002:2005, ISO/IEC 27005:2011.

Systém riadenia informačnej bezpečnosti ministerstva sa uplatňuje:

a) pri všetkych činnostiach ministerstva v rámci organizačných útvarov podľa platnej organizačnej štruktúry,

b) na všetky prevádzkované informačné systémy (ďalej len „IS“) a siete po hraničné zariadenia pre komunikáciu s externým prostredím.

Systém riadenia informačnej bezpečnosti ministerstva sa nevzťahuje na agendu utajovaných skutočností.

4. CIELE SYSTÉMU RIADENIA informačnej bezpečnosti A ICH VYHODNOCOVANIE


Ciele systému riadenia informačnej bezpečnosti ministerstva sú v rámci tejto politiky rozdelené na:

a) globálne ciele systému riadenia informačnej bezpečnosti,

b) hlavné ciele systému riadenia informačnej bezpečnosti,

c) operatívne ciele systému riadenia informačnej bezpečnosti.

4.1. GLOBÁLNE CIELE SYSTÉMU RIADENIA INFORMAČNEJ BEZPEČNOSTI MINISTERSTVA

Globálnymi cieľmi sú:

a) implementovať a plniť požiadavky v oblasti systému riadenia informačnej bezpečnosti určené zákonom a výnosom MF SR,

b) budovať a zdokonaľovať systém riadenia informačnej bezpečnosti existujúci na ministerstve tak, aby splnil všetky požiadavky zákona, výnosu MF SR a medzinárodnej normy ISO/IEC 27001,

c) zabezpečiť integritu, dostupnosť a dôvernosť informácií a iných dôležitých aktív ministerstva,

d) chrániť dobré meno a dôvernosť ministerstva a zabezpečiť vysokú kvalitu poskytovaných služieb.

4.2 HLAVNÉ CIELE SYSTÉMU RIADENIA INFORMAČNEJ BEZPEČNOSTI

Hlavné ciele systému riadenia informačnej bezpečnosti budovaného a využívaného na ministerstve sú:

a) riadiť informačnú bezpečnosť v súlade s medzinárodnými právnymi predpismi, platnou legislatívou SR a príslušnými bezpečnostnými štandardami,

b) poskytovať usmernenie pre riadenie a podporu informačnej bezpečnosti v súlade s platnými predpismi SR a EÚ,

c) navrhovať bezpečnostné riešenia na základe kvalifikovanej analýzy rizík
a bezpečnostnými riešeniami udržiavať informačnú bezpečnosť na požadovanej úrovni,

d) dosahovať primeranú ochranu kľúčových systémov a ich aktív,

e) zabezpečiť školenia zamestnancov ministerstva, zmluvných strán a tzv. tretích strán tak, aby rozumeli svojim zodpovednostiam, ktoré sa tykajú systému riadenia informačnej bezpečnosti a svoju činnosť vykonávali v súlade s bezpečnostnými zámermi ministerstva,

f) zabrániť neautorizovanému vniknutiu osôb do priestorov ministerstva s cieľom zničenia, poškodenia, ohrozenia priestorov alebo aktív ministerstva,

g) zabezpečiť riadenie logického prístupu k spracúvaným a spravovaným informáciám s uplatnením princípu „need-to-know“ (odporúčaná interpretácia: “prístup len k tomu čo potrebuješ“),

h) zabezpečiť správnu a bezpečnú prevádzku prostriedkov spracúvajúcich informácie,

i) zabezpečiť kontinuitu kritických procesov a činnosti útvarov ministerstva. Chrániť všetky IS a siete ministerstva tak, aby nedošlo k ohrozeniu kontinuity činnosti ministerstva z dôvodu havárie alebo výpadku IS. Zabezpečiť obnovu činnosti havarovaného IS bez zbytočných finančných strát,

j) monitorovať prostredie, evidovať a ošetrovať podozrivé udalosti a bezpečnostné incidenty s dôrazom na prevenciu ich opakovaného výskytu,

k) vyhnúť sa porušeniam zákonných a zmluvných bezpečnostných požiadaviek.

4.3. OPERATÍVNE CIELE SYSTÉMU RIADENIA INFORMAČNEJ BEZPEČNOSTI

Operatívne ciele systému riadenia súvisia s realizáciou jednotlivých projektov v rámci dobudovávania a zlepšovania systému riadenia informačnej bezpečnosti.

5. PODPORA SYSTÉMU RIADENIA INFORMAČNEJ BEZPEČNOSTI ZO STRANY VEDÚCICH ŠTÁTNYCH ZAMESTNANCOV A VEDÚCICH ZAMESTNANCOV MINISTERSTVA (ĎALEJ LEN VEDÚCI ZAMESTNANCI)


Vedúci zamestnanci ministerstva aktívne podporujú zavedenie systému riadenia informačnej bezpečnosti a to:

a) zadávaním jasných príkazov týkajúcich sa aspektov informačnej bezpečnosti,

b) preukázaním angažovanosti prostredníctvom prerokovania všetkých dokumentov súvisiacich s riadením informačnej bezpečnosti a poskytovaním finančných a ľudských zdrojov potrebných na jej praktické zabezpečovanie, ako súčasť procesného riadenia,

c) prideľovaním bezpečnostných zodpovedností v rámci systému riadenia informačnej bezpečnosti.

Dátum poslednej aktualizácie: 24.11.2015 Dátum vytvorenia: 25.3.2014