Upgreat

Polityki bezpieczeństwa

Bezpieczeństwo Systemów IT

Czym jest polityka bezpieczeństwa w firmie?

Polityka bezpieczeństwa to opracowanie zawierające zbiór zasad mających na celu ochronę systemu
informacyjnego firmy (systemy informatyczne, komunikacyjne, kontroli dostępu i inne biorące udział
w procesach biznesowych). Głównym celem wdrażania polityki bezpieczeństwa jest:

  • Ochrona przed utratą danych lub utratą ich integralności i poufności
  • Zapewnienie ciągłości procesów biznesowych
  • Uniknięcie wymiernych strat finansowych

 

Korzyści z posiadania polityki bezpieczeństwa

  • Opracowanie i wdrożenie przepisów i procedur dostosowanych do środowiska konkretnej firmy
  • Wypracowanie nawyków dbania o poufność informacji i ograniczonego zaufania
  • Stosowanie powyższych nawyków nie tylko w stosunku do osób nieznajomych, ale również osób, których tożsamości nie jesteśmy w stanie potwierdzić
  • Budowanie wśród pracowników świadomości, że ich działania podlegają ścisłym procedurom, od których odstępstwo może powodować konkretne zagrożenia
  • Przeniesienie powyższych zasad w sferę życia prywatnego pozwoli zwiększyć również jego bezpieczeństwo

 

Co zawiera polityka bezpieczeństwa?

  • Klasyfikację poszczególnych składników systemu informatycznego pod względem ich niezbędności w prowadzeniu procesów biznesowych
  • Definicję poziomów bezpieczeństwa dla poszczególnych klas niezbędności
  • Definicję podlegających ochronie właściwości
  • Definicję procedur i zaleceń dla pracowników poszczególnych działów
  • Wzory stosowanych dokumentów
  • Regulaminy pracy w systemie informatycznym

 

Przykładowa klasyfikacja niezbędności:

  • Niezbędne – elementy, bez których niemożliwe jest funkcjonowanie firmy
  • Ważne – elementy, których zadania mogą być wykonane innymi środkami ale przy dodatkowym nakładzie sił i kosztów
  • Zasadnicze – elementy, których zadania ze względu na ilość informacji muszą być podzielone
  • Wspomagające – elementy, których zadania przy małym nakładzie dodatkowych sił i środków mogą być wykonywane przy użyciu innych narzędzi

 

Przykładowe poziomy bezpieczeństwa definiowane przez politykę:

  • Poziom krytyczny – obejmuje ochroną dane i sprzęt, których uszkodzenie może spowodować załamanie w funkcjonowaniu firmy
  • Poziom wysoki – obejmuje ochroną dane i sprzęt, których uszkodzenie może spowodować znaczne trudności w normalnym funkcjonowaniu firmy
  • Poziom przeciętny – obejmuje ochroną dane i sprzęt, których utrata wpłynie nieznacznie na funkcjonowanie firmy
  • Poziom niski – obejmuje ochroną dane i sprzęt, których utrata może wyrządzić jedynie niewielkie szkody, bez wpływu na funkcjonowanie firmy

 

Zalecenia i procedury postępowania zawarte w polityce bezpieczeństwa

  • Dotyczące administrowania systemami teleinformatycznymi
  • Dotyczące użytkowania systemów teleinformatycznych (np. instalowania oprogramowania, definiowania haseł, odczytywania nośników zewnętrznych i niszczenia nośników danych)
  • Dotyczące procesów rekrutacji i zwalniania pracowników oraz przechowywania ich danych (dział
    kadr)

 

Wzory dokumentów zawarte w polityce bezpieczeństwa

  • Oświadczenie o zachowaniu poufności dla pracowników korzystających ze zdalnego
    dostępu do zasobów firmy (vpn)
  • Oświadczenie o zachowaniu poufności dla osób spoza firmy korzystających z tymczasowego
    dostępu zdalnego lub lokalnego w celu wykonania zleconych prac
  • Oświadczenie o zachowaniu tajemnicy firmowej
  • regulamin pracy w systemie informatycznym

 

Tajemnica firmowa

  • Jednym z zadań polityki bezpieczeństwa powinna być ochrona tajemnicy firmowej
  • Tajemnicę przedsiębiorstwa stanowią nieujawnione do wiadomości publicznej informacje techniczne, technologiczne lub organizacyjne oraz informacje mające wartość gospodarczą, co do których
    pracodawca podjął niezbędne działania w celu zachowania ich poufności. Chodzi tu zatem o informacje nieznane ogółowi lub osobom, które ze względu na swój zawód lub prowadzoną działalność są zainteresowane jej posiadaniem.
  • Podstawa prawna: Kodeks Pracy (DZ.U. z 1998 r. nr 21, poz. 94 z późn. zm.), Ustawa o zwalczaniu nieuczciwej konkurencji (DZ.U. Z 2003 r. nr 153, poz. 1503 z późn. zm.)