Polityka bezpieczeństwa to opracowanie zawierające zbiór zasad mających na celu ochronę systemu
informacyjnego firmy (systemy informatyczne, komunikacyjne, kontroli dostępu i inne biorące udział
w procesach biznesowych). Głównym celem wdrażania polityki bezpieczeństwa jest:
- Ochrona przed utratą danych lub utratą ich integralności i poufności
- Zapewnienie ciągłości procesów biznesowych
- Uniknięcie wymiernych strat finansowych
Korzyści z posiadania polityki bezpieczeństwa
- Opracowanie i wdrożenie przepisów i procedur dostosowanych do środowiska konkretnej firmy
- Wypracowanie nawyków dbania o poufność informacji i ograniczonego zaufania
- Stosowanie powyższych nawyków nie tylko w stosunku do osób nieznajomych, ale również osób, których tożsamości nie jesteśmy w stanie potwierdzić
- Budowanie wśród pracowników świadomości, że ich działania podlegają ścisłym procedurom, od których odstępstwo może powodować konkretne zagrożenia
- Przeniesienie powyższych zasad w sferę życia prywatnego pozwoli zwiększyć również jego bezpieczeństwo
Co zawiera polityka bezpieczeństwa?
- Klasyfikację poszczególnych składników systemu informatycznego pod względem ich niezbędności w prowadzeniu procesów biznesowych
- Definicję poziomów bezpieczeństwa dla poszczególnych klas niezbędności
- Definicję podlegających ochronie właściwości
- Definicję procedur i zaleceń dla pracowników poszczególnych działów
- Wzory stosowanych dokumentów
- Regulaminy pracy w systemie informatycznym
Przykładowa klasyfikacja niezbędności:
- Niezbędne - elementy, bez których niemożliwe jest funkcjonowanie firmy
- Ważne - elementy, których zadania mogą być wykonane innymi środkami ale przy dodatkowym nakładzie sił i kosztów
- Zasadnicze - elementy, których zadania ze względu na ilość informacji muszą być podzielone
- Wspomagające - elementy, których zadania przy małym nakładzie dodatkowych sił i środków mogą być wykonywane przy użyciu innych narzędzi
Przykładowe poziomy bezpieczeństwa definiowane przez politykę:
- Poziom krytyczny – obejmuje ochroną dane i sprzęt, których uszkodzenie może spowodować załamanie w funkcjonowaniu firmy
- Poziom wysoki – obejmuje ochroną dane i sprzęt, których uszkodzenie może spowodować znaczne trudności w normalnym funkcjonowaniu firmy
- Poziom przeciętny – obejmuje ochroną dane i sprzęt, których utrata wpłynie nieznacznie na funkcjonowanie firmy
- Poziom niski – obejmuje ochroną dane i sprzęt, których utrata może wyrządzić jedynie niewielkie szkody, bez wpływu na funkcjonowanie firmy
Zalecenia i procedury postępowania zawarte w polityce bezpieczeństwa
- Dotyczące administrowania systemami teleinformatycznymi
- Dotyczące użytkowania systemów teleinformatycznych (np. instalowania oprogramowania, definiowania haseł, odczytywania nośników zewnętrznych i niszczenia nośników danych)
- Dotyczące procesów rekrutacji i zwalniania pracowników oraz przechowywania ich danych (dział
kadr)
Wzory dokumentów zawarte w polityce bezpieczeństwa
- Oświadczenie o zachowaniu poufności dla pracowników korzystających ze zdalnego
dostępu do zasobów firmy (vpn) - Oświadczenie o zachowaniu poufności dla osób spoza firmy korzystających z tymczasowego
dostępu zdalnego lub lokalnego w celu wykonania zleconych prac - Oświadczenie o zachowaniu tajemnicy firmowej
- regulamin pracy w systemie informatycznym
Tajemnica firmowa
- Jednym z zadań polityki bezpieczeństwa powinna być ochrona tajemnicy firmowej
- Tajemnicę przedsiębiorstwa stanowią nieujawnione do wiadomości publicznej informacje techniczne, technologiczne lub organizacyjne oraz informacje mające wartość gospodarczą, co do których
pracodawca podjął niezbędne działania w celu zachowania ich poufności. Chodzi tu zatem o informacje nieznane ogółowi lub osobom, które ze względu na swój zawód lub prowadzoną działalność są zainteresowane jej posiadaniem. - Podstawa prawna: Kodeks Pracy (DZ.U. z 1998 r. nr 21, poz. 94 z późn. zm.), Ustawa o zwalczaniu nieuczciwej konkurencji (DZ.U. Z 2003 r. nr 153, poz. 1503 z późn. zm.)