Zapewnienie bezpieczeństwa informacji jest obecnie nieodzownym elementem działania każdej organizacji - nie tylko normą i potrzebą, ale także obowiązkiem prawnym. Wymogi prawa oraz konieczność ochrony informacji stanowiących tajemnicę przedsiębiorstwa nakładają na zarządy obowiązek podjęcia szeregu działań o charakterze organizacyjnym i technicznym.
Polityka bezpieczeństwa jest dokumentem o znaczeniu strategicznym, który warunkuje możliwość efektywnego i całościowego zarządzania bezpieczeństwem informacji w przedsiębiorstwie.
Polityka bezpieczeństwa zawiera spisane cele, strategie i działania, które określają, w jaki sposób aktywa systemu informacyjnego są zarządzane, chronione i rozpowszechniane w instytucji i jej systemach informatycznych.
Jedną z najważniejszych korzyści posiadania przez przedsiębiorstwo polityki bezpieczeństwa jest ułatwienie zrozumienia przez pracowników czemu służą procedury bezpieczeństwa, a tym samym zwiększenie ich świadomości w zakresie zagrożeń i ryzyk z nimi związanych. Stworzenie polityki bezpieczeństwa ma także wpływ na zwiększenie efektywności wykorzystania istniejących systemów zabezpieczeń, dzięki położeniu odpowiedniego nacisku na organizacyjne aspekty ochrony informacji firmowych.
Opracowanie dokumentu polityki bezpieczeństwa obejmuje przeprowadzenie analiz w zakresie: prowadzonej przez przedsiębiorstwo działalności, stosowanych technologii informatycznych, obiegu informacji, a następnie przygotowanie dokumentu definiującego cele, obowiązujące normy i standardy, a także strategię realizacji zadań ochrony informacji. Opracowanie polityki bezpieczeństwa może zostać rozszerzone o tworzenie dokumentacji oraz procedur wykonawczych, mających na celu zapewnienie zdefiniowanego w polityce bezpieczeństwa poziomu zabezpieczenia danych.
Standardowe elementy dokumentu polityki bezpieczeństwa to:
- definicja celów zabezpieczenia systemu informacyjnego,
- struktura organizacyjną i określenie odpowiedzialności za wszystkie aspekty zabezpieczenia,
- analiza ryzyka,
- opis strategii zarządzania ryzykiem,
- określenie wymagań dla zabezpieczeń systemu informacyjnego, w szczególności:
- zdefiniowanie klas poufności informacji,
- określenie obszarów zabezpieczenia systemów informacyjnych,
- zdefiniowanie i wdrożenie procedur i regulaminów postępowania zapewniających osiągnięcie i utrzymanie stanu bezpieczeństwa systemu informacyjnego,
- opis wybranych mechanizmów zabezpieczeń,
- sposób akredytacji zabezpieczenia systemu informacyjnego,
- plany zapewnienia ciągłości działania.
Polityka bezpieczeństwa powinna identyfikować zagrożenia dla zasobów informacyjnych organizacji, uwzględniając m.in. następujące obszary:
- uwierzytelnianie – zapewnienie tożsamości użytkownika,
- autoryzacja – kontrola, do jakich informacji użytkownik ma dostęp,
- poufność i integralność – ochrona przed nieautoryzowanym dostępem do informacji,
- niezaprzeczalność – zapewnienie, że strony zawierające transakcję nie mogą się jej wyprzeć,
- planowanie ciągłości działania,
- ochrona fizyczna.
Oferta NASK w zakresie polityki bezpieczeństwa obejmuje:
- weryfikację i uzupełnienie istniejącego dokumentu polityki bezpieczeństwa,
- opracowanie dokumentu polityki bezpieczeństwa od podstaw,
- wykonanie dodatkowej dokumentacji: polityk szczegółowych, procedur bezpieczeństwa oraz instrukcji.
Konsultanci NASK podczas opracowywania dokumentu polityki bezpieczeństwa, polityk szczegółowych lub procedur opierają się na czterech podstawowych regułach:
- Odpowiedzialność – każda informacja przetwarzana w organizacji powinna posiadać właściciela, który będzie odpowiedzialny za zapewnienie jej odpowiedniego poziomu bezpieczeństwa
- Dostęp do informacji – dostęp do przetwarzanych w firmie informacji powinien być ściśle kontrolowany w celu zapewnienia, iż tylko upoważnieni użytkownicy mają możliwość jej zapisu, odczytu, modyfikacji oraz usunięcia.
- Ochrona systemów informatycznych – każdy system informatyczny przetwarzający informacje w firmie powinien być odpowiednio chroniony w celu zapewniania poufności, integralności oraz dostępności danych.
- Rozwój systemów informatycznych – modyfikacje i zmiany dokonywane w systemach informatycznych nie mogą obniżać ustanowionego w firmie poziomu bezpieczeństwa informacji.
Aby uzyskać więcej informacji prosimy o kontakt z naszym Działem Handlowym.
|
