Polityka bezpieczeństwa

Dbałość o bezpieczeństwo danych wchodzi w zakres zarządzania ryzykiem. Najczęstszą sytuacją jest oparcie bezpieczeństwa danych na sprawdzonych rozwiązaniach informatycznych i zatrudnieniu wysokiej klasy specjalistów. Jednak formalne sformułowanie polityki bezpieczeństwa jest zalecane - zwłaszcza w dużych przedsiębiorstwach. Zyskujemy nie tylko większą kontrolę nad stanem bezpieczeństwa, ale przede wszystkim pojawiają się jasne podstawy do opracowania procedur awaryjnych.

Poniżej pokazano przykład takiej Polityki Bezpieczeństwa:

Polityka bezpieczeństwa teleinformatycznego w ......................

Wstęp

Polityka bezpieczeństwa definiuje poprawne i niepoprawne z uwagi na bezpieczeństwo informacji wykorzystanie systemu informacyjnego (dane, konta użytkownika, infrastruktura, oprogramowanie).

1. Cele i zakres
Celem niniejszego dokumentu jest zdefiniowanie polityki bezpieczeństwa w postaci zasad, standardów i wymagań. Zawiera on informacje dotyczące:

• wymagań wynikających z zasad bezpieczeństwa,
• konsekwencji naruszenia polityki bezpieczeństwa.

Uzupełnieniem niniejszego dokumentu są:

• szczegółowe instrukcje i wytyczne dotyczące bezpieczeństwa informacji,
• zasady zarządzania ciągłością działania biznesowego

Zadanie realizacji polityki bezpieczeństwa należy do wszystkich pracowników przedsiębiorstwa.

2. Zadania bezpieczeństwa

Wymogi prawne
Szczególnej ochronie podlegają dane osobowe pracowników. Poziom ich ochrony jest uregulowany ustawą „O ochronie danych osobowych”.

Zadania biznesowe
Celem systemu teleinformatycznego jest umożliwienie przetwarzania informacji zgodnie z wymaganiami bezpieczeństwa (zob pkt 3). Informacje można podzielić na kilka klas, według istotności, determinującej poziom ochrony:

* Informacje kluczowe: baza dostawców, poufne projekty i receptury, przekrojowe analizy sprzedaży, bieżące dane finansowe.
* Informacje bardzo istotne: dane o pracownikach (w tym wynagrodzenia), informacje z kluczowych systemów ewidencyjnych w tym dane finansowo księgowe, plany i analizy.
* Ważne: pozostałe informacje istotne dla działania przedsiębiorstwa.

3. Wymagania bezpieczeństwa
Informacja z punktu widzenia bezpieczeństwa powinna posiadać następujące atrybuty:

• integralność: dokładność i kompletność informacji ,
• dostępność: możliwość uzyskania terminowo przez osoby uprawnione istotnych dla nich informacji w zrozumiałej formie,
• rozliczalność: identyfikacja osób odpowiedzialnych za generowanie i przetwarzanie informacji,
• autentyczność: wiarygodność oparta na weryfikacji poprawności danych,
• niezawodność: procedury pozyskiwania informacji powinny zawsze dawać spodziewany efekt,
• poufność: ograniczenie dostępu do informacji tylko dla osób upoważnionych.

4. Zarządzanie bezpieczeństwem informacji
4.1. Zakres uprawnień i odpowiedzialności
Określenie strategi realizacji polityki bezpieczeństwa należy do administratora systemów informatycznych. Strategia jest zatwierdzane przez zarząd przedsiębiorstwa. Zadania wynikające z realizacji tej strategii realizują administratorzy i użytkownicy.

Na podstawie niniejszej polityki bezpieczeństwa administrator systemów informatycznych ma obowiązek opracować „Strategię realizacji polityki bezpieczeństwa”. Dokument ten powinien obejmować plany niezbędnych działań (procedury bezpieczeństwa) oraz projekty najistotniejszych z tego punktu widzenia instrukcji i rozporządzeń.

Integralną częścią strategii powinien być Plan Ciągłości Działania, opracowany zgodnie z zaleceniami zebranymi w załączniku nr 1 do niniejszego dokumentu.

Po akceptacji strategii wynikające z niej procedury będą wdrażane przez wszystkich pracowników – zgodnie z wynikającym z nich zakresem odpowiedzialności.

Wszyscy pracownicy są zobowiązani do dbania o bezpieczeństwo informacji i zgłaszania przypadków naruszenia bezpieczeństwa.
 

4.2. Zarządzanie ryzykiem
Ryzyko jest to zagrożenie, że określone zdarzenie (działanie lub brak działania), negatywnie wpłynie na zdolność systemu informacyjnego przedsiębiorstwa do pozyskiwania i przetwarzania informacji zgodnie z wymogami bezpieczeństwa.

Zarządzanie ryzykiem ma na celu identyfikację występujących zagrożeń, oszacowanie ich skutków oraz ich ograniczenie do akceptowalnego poziomu. Wybrana strategia zarządzania ryzykiem powinna obejmować działania dwojakiego rodzaju:

• unikanie (zmiany prowadzące do eliminacji, zakazy),
• redukcja (poprzez rozproszenie).

System zarządzania ryzykiem obejmuje zadania:

• identyfikacji ryzyka,
• wdrożenie strategii zarządzania ryzykiem,
• stały monitoring (kontrole) i usprawnienia.

4.3. Ocena ryzyka i priorytety implementacji zabezpieczeń
Główne ryzyka związane z bezpieczeństwem systemów informatycznych (źródło:. Ernst & Young):

• ryzyko utraty poufności - zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi,
• ryzyko utraty dostępności - zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników,
• ryzyko utraty integralności - zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny.

Największe ryzyko jest związane z zagrożeniem dla realizacji celów przedsiębiorstwa. Unikanie tego rodzaju ryzyka jest sprawą najwyższej wagi. Dlatego najwyższy priorytet otrzymuje opracowanie i wdrożenie planów ciągłości działania oraz zabezpieczenie dostępu do kluczowych informacji.
 

5. Ogólne zasady kontroli dostępu
Kontrola dostępu fizycznego do budynków, pomieszczeń, systemów i informacji jest zapewniona w ramach ogólnego systemu ochrony (pracownicy ochrony, alarmy, monitoring).

Dostęp logiczny do informacji jest zabezpieczany środkami informatycznymi (hasła, konfiguracja sieci z ograniczenie dostępu etc).

Strategia realizacji polityki bezpieczeństwa powinna obejmować szkolenia obejmujące wyjaśnienie zasad dostępu do informacji. Szkolenia te powinny kształtować świadomość pracowników w zakresie bezpieczeństwa teleinformatycznego

Poziom bezpieczeństwa powinien być stale monitorowany poprzez:

• analizę logów (plików gromadzących informacje o dostępie)
• kontrolę ciągłości działania i sygnalizację zagrożeń
• wyrywkową kontrolę utrzymywania bezpieczeństwa na stanowiskach (używanie haseł, kopie bezpieczeństwa, obecność złośliwego oprogramowania etc),

6. Aktualizacje

Polityka bezpieczeństwa powinna być na bieżąco weryfikowana – zwłaszcza w okoliczności rozwoju systemu informatycznego (nowych wdrożeń). Administrator systemów informatycznych ma obowiązek sygnalizacji pojawiających okoliczności, które mogą skutkować potrzebą aktualizacji polityki.

Ponadto raz do roku administrator systemów informatycznych, przy współpracy innych odpowiedzialnych za realizację polityki osób sporządza raport obejmujący informacje o:

• efektywności polityki, na podstawie rodzaju, liczby i skutków odnotowanych przypadków naruszenia bezpieczeństwa,
• kosztach i wpływie zabezpieczeń na efektywność działalności instytucji,
• efektach zmian technologicznych.

Literatura:

http://www.e-ochronadanych.pl