Po co nam polityka bezpieczeństwa?
Polityka bezpieczeństwa informacji spełnia 3 podstawowe funkcje:
- Informacyjną: komunikuje pracownikom organizacji, że jej władze przykładają wagę do kwestii bezpieczeńśtwa, co podnosi ogólny poziom świadomości i skłania do odpowiedzialnego postępowania
- Prewencyjną: chroni organizację przed zagrożeniami wynikającymi z celowych działań intruzów, jak i niecelowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników
- Dostosowawczą: zapewnia zgodność z przepisami prawa lub standardami, których celem jest ochrona informacji i infrastruktury służącej do ich przetwarzania (np. ochrona danych osobowych i informacji niejawnych, zgodność z Ustawą o Krajowym Systemie Cyberbezpieczeństwa lub KRI, wdrożenie systemu zarządzania bezpieczeństwem informacji wg norm ISO27001).
Czym jest polityka bezpieczeństwa?
Polityka jest zbiorem instrukcji i procedur, których przestrzeganie przez poszczególnych pracowników ma zapewnić ochronę informacji. Polityka nie tylko definiuje reguły postępowania, ale również wskazuje osoby odpowiedzialne za ich wdrożenie. Punktem wyjściowym do tego jest jednak zdefiniowanie jakie zasoby informacyjne i aktywa podlegają ochronie. Zadaniem polityki bezpieczeństwa jest również określenie wagi poszczególnych zasobów dla organizacji. Innymi bowiem zabezpieczeniami objęte zostaną zasoby, których utrata spowodować może krótkotrwałe zakłócenia w pracy organizacji, a innymi te, których utrata spowoduje utratę ciągłości biznesowej i załamanie się głównych procesów lub odpowiedzialność karną.
Czym powinna się charakteryzować dobra polityka bezpieczeństwa?
Polityka bezpieczeństwa powinna być dostosowana do organizacji. Z tego względu do zastosowania nie nadają się wszelkie uniwersalne szablony. Nie istnieje jeden, dobry dla wszystkich wzór polityki. Istnieje natomiast kilka ogólnych zasad, którymi należy się kierować podczas tworzenia własnej polityki bezpieczeństwa:
- Budowa modularna – od ogółu do szczegółu. Polityka nie powinna być jednym, dużym dokumentem, którego treść w 100% będzie dotyczyć wszystkich pracowników. Główna polityka bezpieczeństwa powinna być dokumentem publikowanym przez kierownictwo organizacji (np. zarząd firmy), w którym podkreśla się wagę przykładaną przez organizację do kwestii bezpieczeństwa i zobowiązuje wszystkich pracowników do bezwzględnego przestrzegania postanowień polityki. W polityce tej powinny się znaleźć odwołania do kolejnych dokumentów stanowiących bardziej szczegółowe zbiory zasad postępowania – np. polityki ochrony danych osobowych, polityki bezpieczeństwa teleinformatycznego, polityki backupów, polityki zatrudnienia itd. W głównej polityce powinny zostać wskazane kolejne obszary bezpieczeństwa oraz osoby odpowiedzialne za ich definiowanie i przestrzeganie. Dzięki temu ułatwia się zapoznanie z polityką poszczególnym grupom pracowników.
- Zwięzła forma – należy unikać przysłowiowego „lania wody”. Opasłe polityki robią może wrażenie na osobach nie znających się na temacie bezpieczeństwa, ale z praktycznego punktu widzenia są bezużyteczne. Miałem okazję widywać polityki mające po 300 stron przygotowane na potrzeby małego urzędu zatrudniającego kilkadziesiąt osób. Wszyscy pracownicy podpisywali się pod oświadczeniem, że zapoznali się z zapisami polityki i zobowiązują się do ich przestrzegania. Z punktu widzenia wymogów prawnych wszystko wydawało się w porządku. W praktyce natomiast żaden z pracowników nigdy nie zapoznał się z taką polityką w całości, nie wspominając już o jej zapamiętaniu czy praktycznym stosowaniu.
Dużym zaskoczeniem była dla mnie natomiast przykładowa polityka otrzymana w ramach szkolenia na audytora wiodącego ISO27001 – mieściła się na jednej kartce A4 i ograniczała się do samej deklaracji zarządu dotyczącej wdrożenia i stosowania systemu zarządzania bezpieczeństwem oraz objęcia go nadzorem. Cała związana z systemem dokumentacja zawarta była w załącznikach i szczegółowych instrukcjach postępowania w ramach systemu zarządzania bezpieczeństwem informacji. - Prosty język – Należy pamiętać, że z zapisami polityki bezpieczeństwa będa się zapoznawać pracownicy na różnych szczeblach organizacyjnych oraz z różnym przygotowaniem merytorycznym i zawodowym. Nie należy zatem zakładać, że wszyscy będą w stanie zrozumieć zawiły język prawniczy lub określenia branżowe. Pod uwagę należy wziąć nawet możliwość ograniczonego zasobu słownictwa wynikającego z różnego poziomu wykształcenia. W praktyce zaleca się stosowanie tzw. reguły KISS (z ang. Keep It Simple, Stupid, czyli „zachowaj prostotę, głupcze”) lub jej polskiego odpowiednika – BUZI (Bez Udziwnień Zapisu, Idioto). Należy pamiętać, że moc polityki tkwi nie w jej objętości i bogactwie językowym, a w zrozumieniu i stosowaniu jej zasad przez wszystkich pracowników organizacji.
Co powinna zawierać polityka bezpieczeństwa?
Aby zapewnić skuteczność i poważne traktowanie zapisów polityki, pierwszym jej elementem powinno być wspomniane już zobowiązanie się zarządu do nadzoru nad całym systemem zarządzania z jednoczesnym zobowiązaniem wszystkich pracowników do zapoznania się z dokumentacją. Powinna ona powstać przy udziale najwyższego kierownictwa i podkreślać jego zaangażowanie w proces budowania i wdrażania polityki. Bez tego niemożliwe będzie zobligowanie pracowników do przestrzegania zasad bezpieczeństwa. Nawet najlepiej przygotowana polityka nie spełni swojej roli jeżeli powstanie jako oddolna inicjatywa przygotowana np. przez dział IT. Jak bowiem zmusić dyrektora działu sprzedaży albo członka zarządu do stosowania sie do zasad napisanych np. przez administratora sieci (nawet jeżeli są one bardzo rozsądne i potrzebne)? Wiele polityk i regulaminów okazuje się niestety w takim wypadku bezużyteczna. Wdrażanie przepisów, co do których z automatu musimy uwzględniać wyjątki mija się z celem.
Poniżej znajduje się przykładowa deklaracja wdrożenia systemu zarządzania bezpieczeństwem, która stanowić może pierwszy poziom lub wstęp do polityki bezpieczeństwa:
„Niniejsza polityka bezpieczeństwa informacji powstała z inicjatywy i przy udziale zarządu spółki XXXXX.
Biorąc pod uwagę charakter działalności naszej firmy za szczególnie istotny i krytyczny z punktu widzenia realizacji celów biznesowych uznaje się aspekt bezpieczeństwa informacji. W związku z powyższym zarząd firmy postanawia wdrożyć, utrzymywać i udoskonalać system zarządzania bezpieczeństem informacji.
Główną rolą systemu ma być zapewnienie poufności, integralności i dostępności przetwarzanych informacji oraz dbanie o prywatność naszych klientów, a także spełnienie wymogów prawnych związanych z ochroną danych osobowych. Zapewnienie możliwie najwyższego poziomu bezpieczeństwa należy zatem traktować jako jeden z głównych celów działania naszej firmy.
Niniejszym zobowiązujemy zatem wszystkich pracowników do przestrzegania zawartych w polityce bezpieczeństwa zasad. Jednocześnie zarząd firmy zobowiązuje się wspierać pracowników w zapewnianiu środków i zasobów koniecznych do utrzymania bezpieczeństwa na wymaganym poziomie.
Nie stosowanie się do zapisów niniejszej polityki będzie traktowane jako poważne naruszenie obowiązków pracowniczych i skutkować może wszelkimi konsekwencjami do zwolnienia dyscyplinarnego włącznie.”
Co dalej?
Kolejnym krokiem koniecznym do wdrożenia skutecznej ochrony jest klasyfikacja informacji pod kątem jej krytyczności i ustanowienie oraz przypisanie wymaganych poziomów ochrony do poszczególnych zasobów informacyjnych. Tematem tym zajmiemy się w kolejnej części artykułu pt. „Polityka bezpieczeństwa – klasyfikacja informacji i inwentaryzacja procesów”.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.