Polityki bezpieczeństwa

Polityka bezpieczeństwa to opracowanie zawierające zbiór zasad mających na celu ochronę systemu
informacyjnego firmy (systemy informatyczne, komunikacyjne, kontroli dostępu i inne biorące udział
w procesach biznesowych). Głównym celem wdrażania polityki bezpieczeństwa jest:

• Ochrona przed utratą danych lub utratą ich integralności i poufności
• Zapewnienie ciągłości procesów biznesowych
• Uniknięcie wymiernych strat finansowych

Korzyści z posiadania polityki bezpieczeństwa

• Opracowanie i wdrożenie przepisów i procedur dostosowanych do środowiska konkretnej firmy
• Wypracowanie nawyków dbania o poufność informacji i ograniczonego zaufania
• Stosowanie powyższych nawyków nie tylko w stosunku do osób nieznajomych, ale również osób, których tożsamości nie jesteśmy w stanie potwierdzić
• Budowanie wśród pracowników świadomości, że ich działania podlegają ścisłym procedurom, od których odstępstwo może powodować konkretne zagrożenia
• Przeniesienie powyższych zasad w sferę życia prywatnego pozwoli zwiększyć również jego bezpieczeństwo

Co zawiera polityka bezpieczeństwa?

• Klasyfikację poszczególnych składników systemu informatycznego pod względem ich niezbędności w prowadzeniu procesów biznesowych
• Definicję poziomów bezpieczeństwa dla poszczególnych klas niezbędności
• Definicję podlegających ochronie właściwości
• Definicję procedur i zaleceń dla pracowników poszczególnych działów
• Wzory stosowanych dokumentów
• Regulaminy pracy w systemie informatycznym

Przykładowa klasyfikacja niezbędności:

• Niezbędne – elementy, bez których niemożliwe jest funkcjonowanie firmy
• Ważne – elementy, których zadania mogą być wykonane innymi środkami ale przy dodatkowym nakładzie sił i kosztów
• Zasadnicze – elementy, których zadania ze względu na ilość informacji muszą być podzielone
• Wspomagające – elementy, których zadania przy małym nakładzie dodatkowych sił i środków mogą być wykonywane przy użyciu innych narzędzi

Przykładowe poziomy bezpieczeństwa definiowane przez politykę:

• Poziom krytyczny – obejmuje ochroną dane i sprzęt, których uszkodzenie może spowodować załamanie w funkcjonowaniu firmy
• Poziom wysoki – obejmuje ochroną dane i sprzęt, których uszkodzenie może spowodować znaczne trudności w normalnym funkcjonowaniu firmy
• Poziom przeciętny – obejmuje ochroną dane i sprzęt, których utrata wpłynie nieznacznie na funkcjonowanie firmy
• Poziom niski – obejmuje ochroną dane i sprzęt, których utrata może wyrządzić jedynie niewielkie szkody, bez wpływu na funkcjonowanie firmy

Zalecenia i procedury postępowania zawarte w polityce bezpieczeństwa

• Dotyczące administrowania systemami teleinformatycznymi
• Dotyczące użytkowania systemów teleinformatycznych (np. instalowania oprogramowania, definiowania haseł, odczytywania nośników zewnętrznych i niszczenia nośników danych)
• Dotyczące procesów rekrutacji i zwalniania pracowników oraz przechowywania ich danych (dział
  kadr)

Wzory dokumentów zawarte w polityce bezpieczeństwa

• Oświadczenie o zachowaniu poufności dla pracowników korzystających ze zdalnego
  dostępu do zasobów firmy (vpn)
• Oświadczenie o zachowaniu poufności dla osób spoza firmy korzystających z tymczasowego
  dostępu zdalnego lub lokalnego w celu wykonania zleconych prac
• Oświadczenie o zachowaniu tajemnicy firmowej
• regulamin pracy w systemie informatycznym

Tajemnica firmowa

• Jednym z zadań polityki bezpieczeństwa powinna być ochrona tajemnicy firmowej
• Tajemnicę przedsiębiorstwa stanowią nieujawnione do wiadomości publicznej informacje techniczne, technologiczne lub organizacyjne oraz informacje mające wartość gospodarczą, co do których
  pracodawca podjął niezbędne działania w celu zachowania ich poufności. Chodzi tu zatem o informacje nieznane ogółowi lub osobom, które ze względu na swój zawód lub prowadzoną działalność są zainteresowane jej posiadaniem.
• Podstawa prawna: Kodeks Pracy (DZ.U. z 1998 r. nr 21, poz. 94 z późn. zm.), Ustawa o zwalczaniu nieuczciwej konkurencji (DZ.U. Z 2003 r. nr 153, poz. 1503 z późn. zm.)