Z czego składa się polityka bezpieczeństwa

dokument politki bezpieczeństwa w organizacji, z czego składa się polityka bezpieczeństwa

W poprzednim artykule pisaliśmy czym jest polityka bezpieczeństwa i co decyduje o jej skuteczności. Dziś odpowiemy na pytanie, z czego się ona składa. Podobnie jak w poprzednim wpisie skupimy się głównie na polityce bezpieczeństwa informacji (rozumianej jako dokument) – ze względu na jej największą popularność oraz obiektywnie duże zapotrzebowanie na ten organizacyjny środek bezpieczeństwa.

Jak zaznaczyliśmy w poprzednim wpisie (Polityka bezpieczeństwa cz. 1 – czym jest i co decyduje o jej skuteczności) polityka bezpieczeństwa powinna być dopasowana do organizacji w jakiej się ją wdraża. Niemniej duża część elementów jest wspólna dla większości tego typu dokumentów, przyjrzyjmy się im zatem.

 

Nazwa

Nazwa – rzecz wydawałoby się oczywista, jednak budzi wiele wątpliwości. Odpowiadając na nie najkrócej: nie ma żadnego obowiązku ani reguły, która mówiła by, że „Polityka Bezpieczeństwa Informacji Firmy X” to nazwa jedynie słuszna.

Korzystając z tej dowolności należy jednak pamiętać, aby nazwa jednak sugerowała czego dokument dotyczy oraz aby świadczyła o tym, że kwestie bezpieczeństwa traktujemy z odpowiednią powagą.

„Preambuła”

Namiastka preambuły nie jest obowiązkowa, choć warto ją uwzględnić. To świetne miejsce na przedstawienie celów dokumentu (głównego i szczegółowych) oraz ich związków z misją oraz wartościami firmy. Stanowi ona także swego rodzaju wprowadzenie w filozofię, jaka przyświeca twórcom polityki.

Definicje

Wykaz terminów stosowanych w polityce bezpieczeństwa nie tylko ułatwia odbiór jego treści, ale też rozwiewa wiele wątpliwości czy niejasności pojawiających się w trakcie lektury. Wyjaśnienia wymagają również role uwzględnione w systemie bezpieczeństwa informacji oraz ewentualne skróty zastosowane w dokumencie.

Definiując poszczególne terminy dobrze jest posługiwać się przykładami urządzeń, czynności i sytuacji, z którymi członek organizacji będzie miał do czynienia w swojej pracy.

W wykazie definiowanych pojęć nie może zabraknąć definicji bezpieczeństwa (w tym przede wszystkim zaliczanych do niego atrybutów) oraz definicji samej polityki bezpieczeństwa.

Wewnętrzne i zewnętrzne akty normatywne

Wykaz aktów prawnych oraz norm technicznych odnoszących się do naszej organizacji w kontekście bezpieczeństwa informacji jest niezbędny. Ich znajomość i zrozumienie są konieczne do zachowania przez firmę zgodności z obowiązującym prawem. Co więcej, zwykle uwzględnienie ich zapisów realnie podnosi zdolności tworzonego przez nas systemu bezpieczeństwa.

Wyszczególnienia w dokumencie polityki bezpieczeństwa wymagają także inne wewnętrzne dokumenty przyjęte przez naszą organizację, które odnoszą się do domeny bezpieczeństwa informacji.

Zakres stosowania polityki bezpieczeństwa

Sformułowanie „zakres stosowania” obejmuje tutaj zarówno zakres terytorialny (np. zakłady pracy czy pomieszczenia, których dotyczy), ale także zakres organizacyjny, a więc piony, komórki, sekcje, zespoły itp.

Klasyfikacja i charakterystyka zasobów informacyjnych

Stworzenie skutecznego systemu bezpieczeństwa informacji nie uda się bez rzetelnie przeprowadzonej inwentaryzacji i klasyfikacji informacji, które chcemy chronić. Klasyfikacja powinna opierać się na jasnych zasadach. Najlepszym kryterium są tutaj – przynajmniej moim zdaniem – straty jakie może spowodować naruszenie bezpieczeństwa konkretnej informacji.

Z kolei charakterystyka zawiera opis poszczególnych grup wyodrębnionych w ramach klasyfikacji, a także ogólną charakterystykę poziomu ochrony dla każdej z grup informacji.

Zakres odpowiedzialności

Wydzielenie zakresu odpowiedzialności to zarazem jeden z najprostszych i najskuteczniejszych środków bezpieczeństwa.

Zakres odpowiedzialności wynika z roli jaką osoba pełni w systemie bezpieczeństwa bądź w procesie wymagającym szczególnej ochrony. Ważne jest aby każda rola była dokładnie zdefiniowana oraz określona w kontekście zakresu obowiązków. Ponadto dobrze aby osoba przydzielona do konkretnej roli była w pełni świadoma pełnego spektrum swoich obowiązków.

Dobrym rozwiązaniem zarówno dla konstruktora (właściciela) systemu bezpieczeństwa jak i dla pracownika jest wypisanie wszystkich obowiązków przypisanych do roli i uzyskanie od pracownika podpisu pod wydrukiem takiej listy. Takie działanie powinno ujawnić potencjalne konflikty ról oraz sytuacje gdy przydzielony do osoby zakres odpowiedzialności jest po prostu zbyt szeroki aby się z niego rzetelnie wywiązać.

Z drugiej strony czytelna lista obowiązków ułatwi życie pracownikowi, który wie czego się od niego wymaga i na czym ma się skupić.

Określenia zakresów odpowiedzialności winno uwzględniać również konsekwencje niedopełnienia spoczywających na pracowniku obowiązków.

Ogólny mechanizm podejmowania decyzji i działań w zakresie bezpieczeństwa informacji

Ten element polityki to względnie wyczerpująca odpowiedź na pytanie, jak kształtuje się aktywność członków organizacji w przypadku sytuacji zagrażającej głównym wartościom, jakimi kieruje się organizacja, bądź sytuacji zagrażającej bezpieczeństwu informacji. Innymi słowy ogólne mechanizmy podejmowania decyzji powinny pomóc pracownikom wybrać odpowiednie działanie, które właściwie zabezpieczy interesy organizacji mimo tego, że normalne procedury, system zwierzchności, podział kompetencji itp. wymagałby dłuższych działań angażujących np. skomplikowaną i czasochłonna drogę służbową.

Zasady nadawania uprawnień i dostępu do zasobów informacyjnych

System nadawania uprawnień i dostępu do chronionych informacji jest tym bardziej skomplikowany im bardziej skomplikowana jest struktura organizacji. Niemniej, niezależnie od rozmiaru firmy powinien on nieść ze sobą odpowiedź na następujące pytania:

– Osoby na jakim stanowisku i w jakim zakresie mogą nadawać uprawnienia dla pracowników bądź występować o nadanie takich uprawnień?

– Ko wydaje uprawnienia dostępu w sytuacjach doraźnych (np. audyt zewnętrzny) i niecodziennych (np. nieobecność pracownika odpowiadającego za danych zasób informacyjny, do którego potrzebujemy szybkiego dostępu)?

– Jakimi sposobami mogą zostać udzielone uprawnienia do szczególnie cennych informacji bądź systemów?

– W jaki sposób przekazuje się i przechowuje informacje służące do autoryzacji?

Ogólna charakterystyka zastosowanych środków bezpieczeństwa: fizycznych, technicznych i personalnych

Potrzeba zapoznania odbiorców polityki bezpieczeństwa informacji (ale także innych rodzajów polityki bezpieczeństwa) z metodami ochrony informacji nie podlega dyskusji. Człowiek funkcjonujący w systemie bezpieczeństwa powinien znać stosowane zabezpieczenia (oczywiście w takim stopniu w jakim jest to konieczne), aby móc sprawnie funkcjonować w firmowym systemie bezpieczeństwa.

Opis zastosowanych środków powinien być w miarę prosty i zrozumiały. Co więcej zawsze warto tłumaczyć do czego dany środek służy i przed czym pomaga chronić firmę.

W dokumencie polityki warto również zawrzeć zachętę skierowaną do pracowników, aby zgłaszali oni swoje uwagi i pomysły dotyczące poprawy systemu bezpieczeństwa. Ciekawe propozycje warto nagradzać, gdyż zmotywuje to pracowników do realnego namysłu nad usprawnieniem firmowego systemu bezpieczeństwa.

Dobre praktyki

Oprócz charakterystyki zastosowanych środków bezpieczeństwa polityka winna zawierać również spis najważniejszych dobrych praktyk. Powinny one odnosić się głównie do najpowszechniejszych zagrożeń jak np. ataki socjotechniczne.

Postępowanie w przypadku naruszenia incydentów bezpieczeństwa

Przewidzenie potencjalnych sytuacji kryzysowych i subkryzysowych to niezbędny element przygotowania odpowiednich procedur na ich wystąpienie. Tego typu instrukcje i plany powinny stanowić dodatek do głównego dokumentu polityki. Niemniej w jej tekście musi znaleźć się wzmianka o takich sytuacjach wyjątkowych, a także ogólna strategia działania przyjęta przez firmę na wypadek ich wystąpienia.

Zasady usuwania danych i niszczenia nośników

Szeroko rozumiana utylizacja danych i ich nośników również zasługuje na uwzględnienie w dokumencie polityki i podobnie jak wyżej wspomniane sytuacje wyjątkowe wymaga raczej pobieżnej uwagi, a właściwie uczulenia czytelnika w tej kwestii.

Ramy wdrożenia

Polityka bezpieczeństwa informacji nawet najlepiej skonstruowana okaże się nieskuteczna jeśli nie zadbamy o jej właściwe wdrożenia, a raczej wdrażanie – gdyż to proces permanentny. Z tego więc powodu sam dokument musi zawierać ramy wprowadzenia w życie jego założeń. Niestety – jak pokazuje praktyka jest to zadanie niełatwe.

Dominująca formą wcielania w życie zasad polityki są szkolenia.

Liderman przytacza 7 praktycznych wskazówek dotyczących szkoleń w interesującym nas kontekście. Przyjrzyjmy im się więc:

– w szkoleniach uczestniczyć powinni wszyscy członkowie organizacji związani z systemami informacyjnymi, a także pracownicy okresowi (praktykanci, osoby świadczące usługi na zasadzie outsourcingu);

– szkolenia powinny bazować na przyjętej w organizacji dokumentacji systemu bezpieczeństwa;

– szkolenia winny poprzedzać wprowadzenie uwzględnionych w dokumentacji środków bezpieczeństwa;

– szkolenia należy regularnie powtarzać (odświeżać wiedzę pracowników);

– szkolenia powinny być urozmaicane zagadnieniami z tematyki bezpieczeństwa informacji;

– pracownicy powinni poświadczyć podpisem udział w szkoleniu, a informacja o nim powinna znaleźć się w ich aktach personalnych;

– warto uwzględnić w nich także tematykę ochrony informacji niejawnych i konsekwencje naruszeń prawa w tym zakresie.

Z własnego doświadczenia dodałbym tutaj jeszcze przeprowadzenie testu wiedzy z prezentowanych w czasie szkoleń treści. Taki motywator zwykle działa stymulująco na uwagę ich uczestników 🙂

Ramy systemu kontroli i doskonalenie systemu bezpieczeństwa

Polityka bezpieczeństwa informacji określa pewien punkt dojścia, do którego firma ciągle dąży. O ile osiągnięcie całkowitej zgodności pewnej wizji bezpieczeństwa (teoretycznych założeń) z rzeczywistością jest trudno osiągalne, o tyle jawne odchylenia od tego ideału powinny być na bieżąco ujawniane i korygowane. Stąd w dokumencie nie może zabraknąć przynajmniej zarysu systemu kontroli, czy to w pełni wewnętrznego, czy też bazującego na pomocy z zewnątrz.

Ideał ten oczywiście również wymaga nieustannej refleksji decydentów i aktualizacji w związku ze zmianami w wewnętrznym bądź zewnętrznym środowisku organizacji. Powinien zatem w miarę czasu, a także nabywanego przez decydentów doświadczenia być dopracowywany i ulepszany.

Zasady dotyczące dokumentu polityki bezpieczeństwa

Ostatnia sekcja polityki bezpieczeństwa określa m.in. miejsce tego dokumentu w systemie bezpieczeństwa organizacji, osobę odpowiedzialną za ten dokument i monitorowanie jego przestrzegania. Ponadto zawieramy tutaj informacje kto, kiedy i w jakim zakresie może dokonać zmian polityki, a także co ile dokument ten winien być przeglądany i poddawany aktualizacji.

W tym miejscu podać warto także namiary na wewnętrzną komórkę bezpieczeństwa bądź osobę odpowiadającą za bezpieczeństwo informacji w organizacji.

Wykaz załączników

Politykę bezpieczeństwa zamyka zbiór odwołań uszczegółowiających konkretne kwestie. Załączniki mogą być przemyślane w taki sposób, aby dostęp do każdego z nich odbywał się zgodnie z zasadą wiedzy koniecznej.

 

ZOBACZ RÓWNIEŻ:

Polityka bezpieczeństwa – Czym jest i co decyduje o jej skuteczności

Polityka czystego biurka – wszystko co powinieneś wiedzieć

Jak zabezpieczyć dane osobowe – Organizacyjne środki bezpieczeństwa cz. 2

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

two − 1 =