Řízení ostatních faktorů

1. Řízení provozu a komunikací

Řízení provozu a komunikací napomáhá k bezpečnému provozu informačního systému.
Provozní pravidla a postupy pro řízení provozu a komunikací musí být aktuální, aby přispívala ke správné funkčnosti systému. Při změně systému nebo jeho části je nutné tuto změnu promítnout i do provozních pravidel a postupů.

Pravidla a postupy by měly obsahovat:

• dokumentace s právy a povinnostmi administrátorů, uživatelů a osob zastávajících bezpečnostní role,
• dokumentování postupů pro bezpečné provozování ICT vybavení (např. zapnutí/vypnutí PC, zálohování,
• instalace/konfigurace systémů, údržba zařízení, zacházení s médii, správa PC místnosti, bezpečnost práce atd.),
• detekování kybernetických bezpečnostních událostí a pravidelné vyhodnocování získaných informací (tvorba auditních záznamů, monitorování IS, ochrana záznamů, záznam selhání, synchronizace hodin),
• pravidla a postupy pro ochranu před škodlivým kódem (antivirová strategie),
• řízení technických zranitelností (skenování zranitelností),
• spojení na kontaktní osoby, které jsou pověřeny výkonem systémové a technické podpory,
• postupy řízení změn v procesech, systémech a vybavení pro zpracování informací s vlivem na bezpečnost informací
• postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů
• pravidla a postupy pro ochranu informací a dat v průběhu celého životního cyklu
• postupy pro řízení a kontrolu instalace softwaru a pravidla omezení instalace softwaru uživateli
• provádění pravidelných záloh a testování použitelnosti provedených záloh (plán zálohování, dodržení plánu, testování čitelnosti záloh, správné uložení záloh)
• pravidla a postupy pro zajištění bezpečnosti síťových služeb.

Dále je potřeba zajistit oddělení vývojového, testovacího a provozního prostředí.
Doporučení: Testovací prostředí má simulovat provozní prostředí, ale testovací data je nutné anonymizovat.