Czym jest polityka bezpieczeństwa?

Polityka bezpieczeństwa przedsiębiorstwa to dokument zawierający zbiór spójnych, precyzyjnych przepisów, reguł i procedur, według których dana organizacja buduje, zarządza i udostępnia zasoby oraz systemy informacyjne. Polityka bezpieczeństwa szczegółowo definiuje najważniejsze cele i zasady bezpieczeństwa informacyjnego firmy, co pozwala zarządzać ryzykiem i bezpieczeństwem przetwarzanych informacji z uwzględnieniem aspektów prawnych i ochrony informacji.
Wśród nich należy wymienić:
  • Zagrożenia dla systemów informacyjnych w przedsiębiorstwie:
    - zarówno techniczne (wirusy, awarie i włamania do systemów - wewnętrzne i zewnętrzne, nieprawidłowe procedury, niepożądany dostęp do systemów, itp.)
    - zagrożenia fizyczne (uszkodzenia nośników danych, włamania i kradzieże związane z nieautoryzowanym dostępem do pomieszczeń, nieprawidłowe zasady eksploatacji i przechowywania, pożary i zalania);
  • Zasady ściśle definiujące prawidłowe i błędne wykorzystywanie i manipulowanie danymi oraz dostępem do nich;
  • Procedury określające sposób zachowania w przypadku wykrycia incydentu zabezpieczeń.
Dokument ten tworzony jest we współpracy z najwyższym kierownictwem organizacji i jest akceptowany przez jej zarząd, a tym samym obowiązuje wszystkich pracowników organizacji.

Cele polityki bezpieczeństwa

Wypełnienie określonych celów bezpieczeństwa gwarantuje właściwe i bezpieczne wykorzystanie systemów informacyjnych i wypełnianie zadań stawianych przed całym przedsiębiorstwem. Cele powinny zostać sformułowane na tyle szczegółowo, aby dało się na ich podstawie zorganizować proces zarządzania bezpieczeństwem i na tyle ogólnie, aby objęły wszelkie aspekty związane z prowadzonym przez przedsiębiorstwo biznesem. Wśród głównych celów polityki bezpieczeństwa można wymienić przede wszystkim:
  • Ustalenie najważniejszych zasad w zakresie bezpieczeństwa informacji;
  • Przygotowanie pracowników do właściwych zachowań dotyczących bezpieczeństwa;
  • Określenie zakresów odpowiedzialności w obrębie systemu bezpieczeństwa i poziomów dostępności do informacji poszczególnych grup pracowników;
  • Wpływ na budowanie świadomości bezpieczeństwa wśród pracowników i kierownictwa;
  • Wspieranie kierownictwa w zakresie utrzymania odpowiedniego poziomu bezpieczeństwa organizacji.

Elementy polityki bezpieczeństwa

W polityce bezpieczeństwa określone są podstawowe zasady ochrony informacji, niezależnie od systemów ich przetwarzania (informatyczny, papierowy) oraz sposobu ich przetwarzania w tych systemach. Ponadto polityka ta obejmuje bezpieczeństwo fizyczne, logiczne i komunikacji przetwarzanych informacji a także sprzęt i oprogramowanie, za pomocą których informacje są przetwarzane, lecz przede wszystkim ludzi, którzy te informacje przetwarzają. Typowe elementy polityki bezpieczeństwa:
  • Określenie, kto może mieć konto w systemie, czy mogą istnieć konta typu „gość”;
  • Określenie, ile osób może korzystać z jednego konta;
  • Określenie, kiedy odbierane jest prawo korzystania z konta;
  • Zdefiniowanie wymagań dot. haseł;
  • Zasady przyłączania się i korzystania z globalnej sieci komputerowej; określenie osób mających do tego prawo;
  • Zasady korzystania z połączeń z zewnątrz z zasobami wewnątrz firmy;
  • Metody ochrony informacji o finansach i pracownikach firmy;
  • Zasady sporządzania i przechowywania wydruków informacji dotyczących organizacji;
  • Metody ochrony przed wirusami.
Bezpieczeństwo organizacji trzeba postrzegać bardzo szeroko. Należy rozważyć wszystkie możliwe zagrożenia - zarówno wewnętrzne jak i zewnętrzne oraz wziąć pod uwagę czynniki takie jak: topologia sieci, użytkowane systemy operacyjne, sposoby autoryzacji użytkowników, itp. Do typowych zagrożeń systemów informatycznych można zaliczyć brak zdefiniowania:
  • Zasad dotyczących ochrony informacji w firmie;
  • Założeń bezpieczeństwa dla systemów;
  • Zasad stałego monitorowania systemów i usuwania błędów;
  • Zasad bezpieczeństwa korzystania z Internetu;
  • Sytuacji kryzysowych;
  • Procedur postępowania w sytuacjach kryzysowych;
  • Zapotrzebowania na szkolenia pracowników – niska kultura ochrony informacji.