Porady

Jakie przyjąć założenia polityki bezpieczeństwa w zarządzaniu i zabezpieczeniu informacji w treści na stronie www

Bezpieczeństwo informacji to jeden z istotnych warunków, które musi spełniać firma, w tym również mikro i mali przedsiębiorcy, bez względu na branżę, w jakiej działają, wielkość przedsiębiorstwa, czy zakres świadczonych usług. W każdym przedsiębiorstwie mamy do czynienia z różnorodnymi informacjami, danymi, które co do zasady powinny być chronione; niektóre ze względu na szczególny interes przedsiębiorcy (np. know-how, informacje finansowe i inwestycyjne, patenty itp. jako obejmowane tajemnicą przedsiębiorcy – handlową, przemysłową), inne zaś z mocy samego prawa (np. zbiory danych osobowych, informacje niejawne). Na szczególna uwagę zasługuje tajemnica finansowa, która zaczyna funkcjonować z chwilą, gdy przedsiębiorca staje się płatnikiem np. podatków czy składek ZUS. Sfera tajemnicy może objąć takie informacje, które są znane poszczególnym osobom lub grupom osób (pracownicy, współpracownicy). Obszar ten nie może więc rozciągając się na informacje powszechnie znane lub te, o których treści każdy zainteresowany może się legalnie dowiedzieć. W aktualnej rzeczywistości i otoczeniu istnieje wiele zagrożeń, które mogą spowodować utratę danych, czy też narazić firmę na dostęp do nich ze strony osób nieuprawnionych. Sprzyja temu zwłaszcza szybki rozwój biznesu oparty na przesyłach danych w drodze elektronicznej, przy wykorzystaniu systemów teleinformatycznych. Zagrożenia związane są również z wirtualizacją działalności biznesowej, w której pojawiają się nowe, często skomplikowane narzędzia (np. cloud computing), e-learning, dynamiczny wzrost urządzeń i aplikacji mobilnych.

Towarzyszy temu równolegle wzrost wymagań w zakresie zarządzania bezpieczeństwem informacji, na co wskazuje obserwacja zmian regulacyjnych w Unii Europejskiej i na świcie w obszarze infrastruktury teleinformatycznej przedsiębiorstw; czego przykładem jest regulacja RODO. Jednym z kluczowych czynników koniecznych do spełnienia na drodze do ochrony informacji i danych jest świadomość niebezpieczeństw oraz identyfikacja obszarów zagrożeń, które mogą powodować ich utratę, jak również wdrożenie i stosowanie właściwych mechanizmów i narzędzi ochrony. Jednym słowem chodzi o świadome zarządzanie i zabezpieczanie informacji w przedsiębiorstwie. Decyzje w tym obszarze tak samo dotyczyć będą zarządów w przedsiębiorstwach dużych i wówczas będą miały charakter kolegialny, jak i indywidualnych decyzji podejmowanych przez przedsiębiorcę w warunkach np. samozatrudnienia. Poniższy materiał ma na celu przedstawienie w podstawowym zakresie uwarunkowań faktycznych i prawnych, które mogą być pomocne przedsiębiorcy, jego właściwym służbom w planowaniu i zarządzaniu bezpieczeństwem, czy szerzej polityką, a nawet systemem bezpieczeństwa/zarządzania bezpieczeństwem informacji w przedsiębiorstwie.

1. Założenia zarządzania bezpieczeństwem i budowy systemu bezpieczeństwa informacji w przedsiębiorstwie

Do podstawowych aktów prawnych obowiązujących w obszarze ochrony polityki bezpieczeństwa informacji należy zaliczyć:

  1. Ustawa z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. 2019 poz. 1292 t.j.);
  2. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. 2019 poz. 1231 t.j.);
  3. Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U.2019 poz. 1010 t.j.);
  4. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U.2019 poz. 123 t.j.);
  5. Ustawa z dnia 27 lipca 2001 r. o ochronie bez danych (Dz.U. 2019 poz. 2134 t.j.);
  6. Ustawa z dnia 5 sierpni 2010 r. o ochronie informacji niejawnych (Dz.U.2019 poz. 742 t.j.);
  7. Ustawa z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz.U.2019 poz. 369 t.j.);
  8. Ustawa z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym (Dz.U.2017 poz. 2070 t.j.);
  9. Ustawa z dnia 30 czerwca 2000 r. Prawo własności przemysłowej (Dz.U. z 2017 poz. 776 t.j.);
  10. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2019 poz. 1781);
  11. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
  12. Międzynarodowa norma ISO 27001:2013 standaryzująca systemy zarządzania bezpieczeństwem informacji (SZBI) w przedsiębiorstwie.

Ważne jest, aby przed przystąpieniem do opracowania systemu zarządzania bezpieczeństwem informacji przedsiębiorca zapoznał się z w/w regulacjami prawnymi lub posłużył profesjonalną firmą, konsultantem, z tym zastrzeżeniem, iż należy pamiętać, że niektóre z ww ustaw posiadają odpowiednie „rozwinięcia” we właściwych dedykowanych do nich aktach wykonawczych (rozporządzeniach).

Zarządzanie bezpieczeństwem informacji to dziedzina obejmująca zagadnienia z zakresu informatyki, prawa, organizacji i zarządzania, zajmująca się definiowaniem aspektów bezpieczeństwa dla instytucji i jej systemów teleinformatycznych, jego osiąganiem i utrzymywaniem. Należy pamiętać, że jest to proces ciągły, złożony i dynamiczny. Dlatego dla opracowania dobrze działającego, a więc przede wszystkim bezpiecznego modelu, systemu  zarządzania bezpieczeństwem, należy zwrócić uwagę na następujące działania o charakterze etapowym:

  • dokonanie klasyfikacji informacji (chronionej ustawowo i umownie np. niejawna, wrażliwa, krytyczna, handlowa, finansowa, poufna itd.),
  • przeprowadzenie oceny (zagrożeń i oceny) ryzyka, wybór odpowiedniej metodyki, strategii, modelu monitorowania ryzyka, określenie wymagań co do zabezpieczeń, określenie i zaakceptowanie zredukowanego poziomu ryzyka
  • wybór i wprowadzenie systemów zabezpieczeń (z ich technologiami),
  • opracowanie i wdrożenie Polityki bezpieczeństwa informacji (z jej składowymi lub regulaminu ochrony informacji w małych firmach),
  • bieżące, ciągłe monitorowanie trafności przyjętych założeń polityki bezpieczeństwa i zaakceptowanego poziomu bezpieczeństwa,
  • przeprowadzenie audytu ochrony informacji lub bezpieczeństwa / audytu systemu informatycznego,
  • sporządzenie mapy ryzyk w obszarze zarządzania i ochrony informacji (dotyczy głównie dużych przedsiębiorstw).

System bezpieczeństwa informacji w przedsiębiorstwie powinien być systemem kompleksowym, tzn. wszystkie metody ochrony fizycznej, organizacyjnej, kadrowej, teleinformatycznej muszą być stosowane łącznie w spójny sposób, inaczej system taki będzie posiadał luki – synergia działania. Dotyczy to zarówno przedsiębiorstw dużych, jak i mikro czy małych przedsiębiorców, z tą jedynie różnicą, że wielkość, rodzaj podejmowanych działań i stosowanych zabezpieczeń może się tu istotnie różnić.

Kompleksowe rozwiązania dotyczące ochrony bezpieczeństwa informacji można uzyskać dzięki wprowadzeniu specjalistycznych procedur. Jedną z nich jest System Zarządzania Bezpieczeństwem Informacji ISO 27001, który staje się coraz bardziej powszechnie stosowany w praktyce jako narzędzie zapewniające efektywną eliminację zagrożeń. Z wdrożenia tej normy wynika wiele korzyści, do których można zaliczyć m. in.:

  • wzrost zaufania obecnych i potencjalnych klientów oraz kontrahentów i partnerów biznesowych,
  • spełnienie krajowych oraz unijnych przepisów prawnych dotyczących ochrony informacji,
  • ujednolicenie procedur związanych z bezpieczeństwem danych, które ma bezpośredni wpływ na redukcję kosztów generowanych przez wadliwie funkcjonujące w tym zakresie rozwiązania,
  • ustawiczna aktualizacja, monitoring i udoskonalanie ustanowionego systemu zarządzania bezpieczeństwem informacji.

ISO 27001 zawiera m.in. propozycję 134 rodzajów zabezpieczeń, które mogą być zastosowane w firmie w celu zwiększenia ochrony informacji. Zabezpieczenia te podzielone zostały na grupy:

  1. Polityka bezpieczeństwa,
  2. Organizacja bezpieczeństwa,
  3. Zarządzanie aktywami,
  4. Bezpieczeństwo osobowe,
  5. Bezpieczeństwo fizyczne i środowiskowe,
  6. Zarządzanie systemami i sieciami,
  7. Kontrola dostępu,
  8. Rozwój i utrzymanie systemu,
  9. Zarządzanie incydentami,
  10. Zarządzanie ciągłością działania,
  11. Zgodność.

Każda z w/w grup obejmuje kilka lub kilkanaście konkretnych zabezpieczeń, co do stosowania których przedsiębiorca musi się zadeklarować. Znaczna część zabezpieczeń odnosi się do sfery zabezpieczeń technicznych, takich jak struktury sieci, urządzenia aktywne, pasywne, oprogramowanie itp. Kolejną, równie liczną, grupa zabezpieczeń jest związana bezpośrednio lub pośrednio z ludźmi i ich działalnością.

Zgodnie z ISO 27001, podstawowymi zasadami przy tworzeniu struktur zarządzających bezpieczeństwem są:

  • bezwzględne oddzielenie funkcji zarządzających i kontrolnych od funkcji wykonawczych
  • uniemożliwienie nadużyć i maksymalne ograniczenie błędów popełnianych przez pojedyncze osoby w ramach ich odpowiedzialności
  • zapewnienie niezależności i bezinteresowności osób dokonujących audytu bezpieczeństwa przy zapewnieniu gwarancji zachowania tajemnicy.

Powyższa norma ma szczególne znaczenie dla dużych przedsiębiorstw, gdzie to zarząd jest odpowiedzialny za całość bezpieczeństwa informacji w przedsiębiorstwie. Swój pomysł na realizację i zapewnienie bezpieczeństwa wyraża w polityce bezpieczeństwa. Dokument ten powinien być udostępniony wszystkim pracownikom oraz współpracownikom w celu zaznajomienia ich z wymaganiami systemu bezpieczeństwa przedsiębiorstwa.

System bezpieczeństwa obejmuje wszystkie obszary działania przedsiębiorstwa. Do skutecznego zarządzania nim zasadne i celowe jest zaangażowanie doradcy / konsultanta i włączenie - o ile to większa firma - reprezentantów kluczowych obszarów funkcjonowania przedsiębiorstwa: przedstawiciela HR (dział personalny), IT (dział informatyki), ochrony, działu prawnego itp. Warto zwrócić uwagę na trzy podstawowe poziomy, na których podejmowane są kluczowe decyzje w obszarze bezpieczeństwa:

  • na poziomie strategicznym ustalana jest polityka bezpieczeństwa informacji, uwzględniająca wyniki analizy ryzyka. W procesy decyzyjne tego poziomu zaangażowane jest najwyższe kierownictwo firmy, określające zasadnicze kryteria bezpieczeństwa informacji.
  • na poziomie taktycznym tworzone są standardy bezpieczeństwa informacji oraz zasady kontroli ich przestrzegania. W te procesy decyzyjne zaangażowane jest głównie kierownictwo.
  • na poziomie operacyjnym prowadzona jest administracja bezpieczeństwem informacji pod kątem pełnego stosowania standardów bezpieczeństwa oraz rozwiązywania sytuacji zakłóceń wynikających z naruszenia tych standardów (intencjonalnego lub przypadkowego).

Polityka bezpieczeństwa informacji (PBI) jest to dokument, który zawiera w swojej treści szereg zaleceń oraz jasno sprecyzowanych zadań. Ich celem jest zabezpieczenie jednostki organizacyjnej, przedsiębiorstwa przed nieuprawnionym udostepnieniem informacji. W dokumencie tym określa się nie tylko zalecenia dotyczące systemów informatycznych i ich zabezpieczeń, ale także kwestie obiegu dokumentów wewnątrz jednostki, klasyfikację poziomów dostępu do pomieszczeń, w których są przechowywane i przetwarzane chronione informacje.

Przy opracowywaniu PBI niezwykle ważne jest zdefiniowanie pojęcia bezpieczeństwa informacji. Przez pojęcie to należy rozumieć zachowanie poufności, integralności i dostępności informacji. Samą informację, dane – niezależnie od formy ich utrwalenia (nośniki: dokumenty, pliki) należy traktować jako aktywo.

Precyzowanie polityki bezpieczeństwa informacji  należy do ścisłego kierownictwa przedsiębiorstwa (zarząd firmy, menedżerowie), natomiast wdrażanie założeń określonych przez kierownictwo należy do upoważnionych przez nich osób, np. administratorów systemów informatycznych.

Aby PBI mogła spełniać swoje funkcje w poprawny sposób, należy wypełnić pewne warunki:

  • musi zostać udokumentowana i udostępniona wszystkim zainteresowanym osobom w przedsiębiorstwie;
  • powinna być napisana w sposób jasny, zwięzły i zrozumiały, tak aby każda osoba zobowiązana do jej przeczytania była w stanie ją zrozumieć.
  • należy pamiętać o możliwościach finansowych przedsiębiorcy, oraz o tym, aby efektem funkcjonowania systemu bezpieczeństwa informacji nie było uniemożliwienie działania przedsiębiorcy.

Dobrze przygotowana PBI powinna:

  • ujmować ogólne zasady wytwarzania, przetwarzania, przesyłania i  przechowywania informacji w aspekcie zapewnienia jej bezpieczeństwa oraz organizację i zasady sprawnego zarządzania tym procesem; powinna być zrozumiała i jasna, w związku z tym należy zawrzeć w niej definicje używanych pojęć,
  • przedstawiać, w jakim celu przedsiębiorstwo dokonuje zmian określonych w PBI,
  • zawierać opis podziału odpowiedzialności i kompetencji (przypisanie właścicieli),
  • uwzględniać też normy oraz zalecenia międzynarodowe i krajowe (odstawą prawną opracowania PBI w instytucji są obowiązujące ustawy oraz rozporządzenia (dokumenty wyższego rzędu) dotyczące m.in. ochrony informacji niejawnych, podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych, ochrony danych osobowych i ochrony praw autorskich – patrz jw. wskazane na wstępie akty prawne),
  • być bowiem ciągle uaktualniana, modyfikowana i dostosowywana do potrzeb danego przedsiębiorstwa.

W szczególności polityka bezpieczeństwa określa:

  • zabezpieczenia fizyczne - mające na celu zabezpieczenie okien, drzwi, ścian, instalacji, montaż alarmów, czujników, telewizji przemysłowej,
  • zabezpieczenia wykorzystujące metody i środki informatyki - wśród których należy wyróżnić rozwiązania sprzętowe oraz programowe,
  • zabezpieczenia organizacyjne - polegające na przeprowadzeniu zmian organizacyjnych mających na celu zwiększenie poziomu bezpieczeństwa systemu (zaprojektowanie regulaminów i procedur pracy, procedury postępowania awaryjnego, odpowiedzialność pracowników),
  • zabezpieczenia administracyjne - do mechanizmów tych należy zaliczyć przede wszystkim system certyfikacji potwierdzający przydatność do pracy w warunkach danego przedsiębiorstwa (certyfikaty mogą dotyczyć osób, sprzętu, technologii, oprogramowania),
  • rozwiązania prawne - uregulowania w prawie karnym stojące na straży bezpieczeństwa informacji dotyczące przede wszystkim poufności informacji, oszustw, manipulacji, wandalizmu, itp.

Politykę bezpieczeństwa przedsiębiorstwa kształtuje co do zasady organ zarządzający, a więc zarząd oraz managerowie odpowiedzialni za bezpieczeństwo w ścisłej współpracy z administratorami systemów informacyjnych.  Strategie realizacji Polityki Bezpieczeństwa określają administratorzy systemów. W przedsiębiorstwie mikro dzieje się to niejako jednoosobowo.

Zgodnie z przyjętą polityką bezpieczeństwa, określonym pracownikom, służbom przypisuje się odpowiedzialność za poszczególne aktywa (informacje, dokumenty, systemy informacyjne, informatyczne itp.) stosownie do właściwych struktur organizacyjnych w przedsiębiorstwie. Właściciele aktywów określają zasady postępowania ze swoimi aktywami: co wolno, czego nie wolno, komu i w jaki sposób oraz są odpowiedzialni za codzienną ochronę swoich aktywów. Dzieje się to już na poziomie operacyjnego zarządzania tymi aktywami. Szczególnie istotnym elementem jest ustalenie oraz przekazanie odpowiednich zakresów odpowiedzialności wszystkim pracownikom i innym osobom mającym wpływ na bezpieczeństwo (współpracownikom, kontrahentom, klientom itp.). Dla określenia zakresów odpowiedzialności można przykładowo przyjąć:

a) Zarząd odpowiada za:

  • całość bezpieczeństwa informacji; za nadzór nad realizacją Polityki Bezpieczeństwa Informacji oraz innych dokumentów wewnętrznych związanych z ochroną informacji;
  • decydowanie o współpracy w zakresie bezpieczeństwa z innymi podmiotami;
  • wyrażanie zgody na udostępnienie stronom trzecim informacji stanowiących tajemnicę firmy;

b) Pełnomocnik ds. Bezpieczeństwa Informacji jest odpowiedzialny za:

  • nadzór nad przestrzeganiem zasad ochrony informacji obowiązujących w firmie;
  • koordynację zapewnienia bezpieczeństwa informacji oraz związanych z nim polityk i procedur;
  • podejmowanie odpowiednich działań w przypadku wykrycia naruszeń bezpieczeństwa informacji lub prób takich naruszeń;
  • zapewnienie przetwarzania danych osobowych zgodnie z Ustawą o ochronie danych osobowych oraz innymi przepisami prawa;
  • monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczenia danych oraz dostosowanie systemu do wymagań prawnych;

c) Właściciele aktywów – odpowiadają za:

  • bezpieczeństwo informacji w zakresie nad którym sprawują nadzór;
  • przeciwdziałanie dostępowi do informacji chronionych osób niepowołanych;
  • podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie;

d) Administrator Sieci i Systemów:

  • uczestniczy w opracowaniu szczególnych wymagań bezpieczeństwa i procedur bezpieczeństwa;
  • nadzoruje i kontroluje konfigurację systemu w zakresie dostępu do sieci teleinformatycznej;

e) Kierownicy komórek organizacyjnych/działów/pionów odpowiadają za:

  • przestrzeganie zasad ochrony informacji przez nich samych jak i przez podległych im pracowników;
  • identyfikowanie zagrożeń zachowania bezpieczeństwa informacji;

f) Pracownicy - odpowiedzialność za bezpieczeństwo informacji w przedsiębiorstwie ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Każdy pracownik zobowiązany jest dbać o bezpieczeństwo powierzonych mu do przetwarzania, archiwizowania lub przechowywania informacji zgodnie z obowiązującymi przepisami wewnętrznymi

2. Klasyfikacja zagrożeń bezpieczeństwa informacji

Biorąc pod uwagę fakt, iż praktycznie każda firma posługuje się w bieżącej działalności systemami komputerowymi, często współpracującymi z siecią Internetu, zagrożenia bezpieczeństwa posiadanych danych mogą wynikać ze strony zagrożeń software’owych związanych z danymi lub oprogramowaniem oraz zagrożeń hardware’wych, które obejmują zniszczenia samego sprzętu.

W celu zdiagnozowania potencjalnych zagrożeń, które mogą naruszać bezpieczeństwo informacji w przedsiębiorstwie, należy dowiedzieć się w jaki sposób może do nich dojść. Dlatego warto zlokalizować ich źródło, które może być następujące:

  • wewnętrzne: czyli takie, które powstaje w strukturach przedsiębiorstwa, zaliczane do nich są sytuacje przypadkowe, wywołane błędem, nieostrożnością lub nieuwagą oraz celowe działania użytkowników,
  • zewnętrzne: do którego dochodzi poza przedsiębiorstwem za sprawą osób trzecich, które celowo lub przypadkowo doprowadziły do naruszenia bezpieczeństwa danych,
  • fizyczne: wypadek, awaria oraz inne nieoczekiwane zdarzenia wpływające na urządzenia obsługujące systemy przechowywania i zabezpieczania informacji,
  • Zagrożenia ze strony Internetu i sieci komputerowych, które wynikają z chęci przejęcia kontroli nad zasobami przez hackerów, przestępców, czy też zwykłych użytkowników. Zagrożenia te mogą być związane: z uzyskaniem dostępu przez osoby nieupoważnione do danych transmitowanych przez sieć lub przechowywanych na dołączonych do sieci komputerach, z uzyskaniem dostępu przez osoby nieupoważnione do innych zasobów, np. moc obliczeniowa komputerowych, z uniemożliwieniem korzystania z niektórych usług, z utratą danych na skutek złośliwej ingerencji zewnętrznej, z fałszerstwa danych, itp.

Utrata kluczowych dla przedsiębiorstwa informacji często jest związana z systemami komputerowymi, dla których istnieje osobna lista potencjalnie występujących zagrożeń. Zalicza się do nich:

  • kompetencje i zaufanie personelu,
  • obsługa punktów administracyjnych zarówno systemu, jak i całej sieci,
  • stan infrastruktury komunikacyjnej,
  • jakość sprzętu i oprogramowania,
  • obowiązujące procedury obsługi i korzystania z systemów informatycznych oraz poziom ich użyteczności.
  • jakość i system zabezpieczeń nośników informacji.

Świadomość przyczyn oraz źródeł zagrożeń bezpieczeństwa danych w przedsiębiorstwie, daje możliwość przeprowadzenia ich selekcji i skupienia się na tych, które są potencjalnie najbardziej szkodliwe. Kluczowe również jest rozpoczęcie procesu wdrażania systemów zarządzania jakością bezpieczeństwa informacji, wdrożenie systemu szkoleń wśród pracowników oraz ewentualna modernizacja sprzętu wraz z oprogramowaniem.

Informacje w przedsiębiorstwie znajdują się na różnych nośnikach. Mogą być zapisane i przechowywane w wersji papierowej, na nośnikach magnetycznych, płytach CD, przenośnych pamięciach. Cenne informacje przekazujemy w postaci prezentacji, zdjęć ale również przekazujemy ustnie. Ponieważ większość przedsiębiorstw obecnie jest skomputeryzowana i działa w sieci, a na serwerach przechowuje właśnie cenne dane, wiele przedsiębiorstw przy SZBI skupia się na zabezpieczeniach sieci i systemów, które i tak są z reguły bardzo dobrze utrzymane, natomiast bardzo istotne są również:

  1. bezpieczeństwo fizyczne, które oznacza wyznaczenie granic obszarów bezpiecznych, zabezpieczenie wejścia do ważnych pomieszczeń, ochronę przed zagrożeniami zewnętrznymi i środowiskowymi oraz określenie zasad postępowania w obszarach bezpiecznych i dostępu publicznego np. przy dostawach i załadunkach.
  2. zabezpieczenia sprzętu tj.: rozmieszczenie sprzętu i jego ochrona, zasilanie, bezpieczeństwo okablowania, konserwacja sprzętu, zabezpieczenie sprzętu poza siedzibą firmy, bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia, wynoszenie mienia.
  3. bezpieczeństwo logiczne czyli zarządzania dostarczeniem usług przez strony trzecie: system obejmuje dostarczanie usług, wprowadza monitorowanie i przegląd usług, które przedsiębiorca zleca do wykonania podwykonawcom i również zarządza zmianami w usługach stron trzecich.

Chcesz dowiedzieć się więcej na ten temat?

Pokaż materiały

3. Na co powinien się zwrócić uwagę przedsiębiorca w tworzeniu systemu bezpieczeństwa informacji?

Na dziś to przede wszystkim zgodność z RODO (patrz dalej szerzej pkt 6).

Ważne:

Dopiero klasyfikacja danych (informacji) wg niezbędnej ich intensywności i celu ochrony pozwoli odpowiednio agregować zbiory danych (pliki, foldery) i stosować do nich odpowiednie narzędzia zabezpieczeń.

Z uwagi na to, że każda firma jest inna i ma swoją specyfikę, dlatego nie ma jednego, zestandaryzowanego sposobu, który wychodziły naprzeciw potrzebom wszystkich użytkowników i pozwolił na jednakowe zabezpieczenie wszystkich typów danych. Dlatego niezwykle ważnym, pierwszym krokiem, jest określenie priorytetów firmy oraz jej słabych punktów. Dokładne przeanalizowanie wszelkich posiadanych nośników danych pozwoli wybrać najważniejsze z nich oraz najbardziej efektywne sposoby ich ochrony. Bezpieczne przechowywanie danych jest kluczowe dla zminimalizowani ryzyka ich utraty. Jak upewnić się, że dane przechowywane są bezpiecznie? Z punktu widzenia stricte technicznego ważne jest zainwestowanie w wysokiej jakości serwer, który będzie się cechować wydajnością oraz stabilnością działania. Takowy serwer powinien zostać połączony ze specjalistycznymi systemami, które odpowiadają za przesyłanie, przechowywanie oraz udostępnianie danych. Systemy te są niezbędne także w sytuacji, gdy konieczne może być odzyskanie danych (mogą one zostać utracone na przykład w wyniku awarii).

Administratorzy sieci muszą dokładnie przeanalizować drogę, którą przemierzają przetwarzane przez firmę dane i odnaleźć wszystkie etapy, które wymagają ewentualnej korekty czy zmiany. Świadomość tego, jakie dane oraz w jaki sposób są przetwarzane w firmie, z pewnością przyczyni się do zwiększenia świadomości słabych punktów systemu przetwarzania danych i ułatwi stałe ulepszanie posiadanych przez przedsiębiorstwo rozwiązań. Na szczęście, aby ułatwić administratorom zadanie, na rynku pojawia się wiele programów, które mają lokalizować i stale monitorować wszelkie dane znajdujące się na firmowych serwerach. Rozwiązania wykorzystujące wirtualizację oraz zaawansowane raportowanie pozwolą osiągnąć maksymalny poziom zrozumienia tego, jakie dane przechowywane są przez firmę oraz w jaki sposób mogą być przez nią wykorzystywane.

4. Czynności organizacyjne odnoszące się do budowania systemu bezpieczeństwa informacji

Niezależnie od opracowania i wdrożenia właściwych procedur w zakresie bezpieczeństwa informacji, należy również pamiętać o pozostałych działaniach organizacyjnych, w których wykorzystywane są usługi zabezpieczające, takie jak:

  • kontrola dostępu – zabezpieczenie możliwości ograniczenia i kontrolowania dostępu do informacji drogą identyfikacji i uwierzytelnienia (personalizacja dostępu),
  • dyspozycyjność (bezpieczne ścieżki dostępu on-line) – zapewnienie uprawnionym osobom możliwości korzystania z zasobów w każdej sytuacji,
  • uwierzytelnienie – zapewnienie autentyczności informacji i osób, zagwarantowanie, że informacja pochodzi od takiego źródła, które jest przy niej wymienione lub też osoba jest tą, za która się podaje,
  • poufność (szyfrowanie) – jest gwarancją zabezpieczenia danych przesyłanych bądź przechowywanych przed ich analizą przez osoby nieupoważnione,
  • nienaruszalność – zapewnienie, że dane przechowywane lub przesyłane nie ulegną modyfikacji, tzn. tego, że informacja jest odbierana w takiej postaci w jakiej ją zachowano lub w jakiej została wysłana,
  • niezaprzeczalność (zabezpieczenie śladu/ścieżki dostępu) – gwarantuje brak możliwości zaprzeczenia faktowi wysłania lub odebrania informacji. Za pomocą tej usługi można udowodnić pochodzenie danych.

Poza tradycyjnymi zabezpieczeniami fizycznymi (np. identyfikatory, dostęp do pomieszczenia, gdzie przechowywane są informacje, logo użytkownika, hasło dostępu), stosowane mogą być również zabezpieczenia takie jak:

  • firewall (tzw. ściana ogniowa, zapora sieciowa) - to zapora pomiędzy siecią wewnętrzną przedsiębiorstwa, a dowolną siecią zewnętrzną. Jej zadaniem jest chronić sieć wewnętrzną przed dostępem osób niepowołanych z sieci zewnętrznej poprzez filtrowanie przychodzących i wychodzących danych, zapewnienie dostępu do określonych usług internetowych i odrzucaniu usług niedopuszczonych przez administratora,
  • kontrola dostępu – weryfikuje tożsamość i autoryzację użytkowników systemu poprzez autentyfikację (pozytywna identyfikację użytkownika w sieci), autoryzacje praw dostępu do poszczególnych zasobów systemu, audyt (zbieranie informacji o dostępie do zasobów systemu),
  • szyfrowanie – proces przekształcenia danych czytelnych na postać niezrozumiałą w taki sposób, aby oryginalne dane można było uzyskać za pomocą procesu deszyfrowania, posługując się odpowiednim kluczem szyfrowania,
  • monitoring – stosowanie specjalnych programów, które czuwają nad bezpieczeństwem sieci poprzez bieżącą analizę ruchu w sieci i wpisów do logo, wykrywanie wtargnięć intruzów oraz sporządzanie szczegółowych raportów na temat bezpieczeństwa sieciowego. Systemy obsługi incydentów pozwalają na precyzyjny opis prób wtargnięcia i rekonfigurację sieci dla uniknięcia podobnych sytuacji w przyszłości.

5. Jak zapewnić bezpieczeństwo teleinformatyczne sieci – rozwiązania techniczne i technologiczne oferowane na rynku

Wielu przedsiębiorców może mieć problem z wyborem najbardziej odpowiedniego rozwiązania do własnych potrzeb. Warto zastanowić się, jakie firma ma wymagania i charakterystyczne cechy, a następnie wybrać rozwiązania, które najlepiej wpasowują się w profil przedsiębiorstwa. Wybór porządnych, profesjonalnych produktów, z pewnością w przyszłości przyniesie korzyści i okaże się najlepszą decyzją.

Niezwykle istotną kwestią jest zapewnienie maksymalnego bezpieczeństwa stosowanych w przedsiębiorstwie rozwiązań sieciowych. Aby je zapewnić, warto zdecydować się na inwestycję w rozwiązania klasy NGFW/UTM. Mimo ogromnego postępu technologicznego, wiele firm wciąż korzysta ze starej, nieaktualnej technologii. Może to być niezwykle ryzykowne i spowodować ogromne straty dla przedsiębiorstwa. Pamiętajmy o tym, że w bezpieczeństwo danych, a co za tym idzie, w nasze bezpieczeństwo, warto inwestować.

Chronione powinny być także stacje końcowe, które mają dostęp do jakichkolwiek danych osobistych. Konieczne jest szybkie wykrywanie ataków każdego typu, niestandardowych zachowań czy komplikacji – szybka reakcja może uratować przedsiębiorstwo przed sytuacją kryzysową. Wykorzystywanie aplikacji działających w przeglądarce internetowej może narażać firmę między innymi na ataki typu DDoS. Aby się przed nimi uchronić, należy stosować rozwiązania typu WAF (Web Application Firewall). Nie trzeba chyba wspominać o wielopoziomowym uwierzytelnianiu, które stosowane jest coraz szerzej, a jego skuteczność została potwierdzona przez wielu ekspertów. Stosowanie haseł dynamicznych oraz odpowiednich certyfikatów pozwala na zwiększenie poziomu bezpieczeństwa, a rozwiązanie te są znane i doceniane przez klientów.

Warto również szyfrować dyski. Niezależnie, czy są to serwery, czy stacje końcowe używane przez pracowników - warto zaszyfrować dyski wykorzystywane w tych urządzeniach. Fizyczna kradzież sprzętu nie jest niemożliwa, a w jej wyniku może nastąpić bardzo problematyczny wyciek danych. Dodatkowo warto stosować systemy przechowywania danych, które chronią przed ich utratą i umożliwiają bardzo szybkie odzyskanie wszystkich informacji w przypadku ewentualnej awarii.

Bezpieczeństwo teleinformatyczne zapewnia się przez:

  • ochronę fizyczna,
  • ochronę elektromagnetyczna,
  • ochronę kryptograficzną,
  • bezpieczeństwo transmisji,
  • kontrolę dostępu do urządzeń systemu lub sieci teleinformatycznych.

Ochrona fizyczna systemu lub sieci teleinformatycznej realizowana jest poprzez:

  • umieszczenie urządzeń systemu lub sieci teleinformatycznych w strefach bezpieczeństwa w zależności od: klauzuli tajności informacji niejawnych, ilości informacji niejawnych, zagrożeń w zakresie ujawnienia, utraty, modyfikacji przez osobę nieuprawnioną,
  • instalację środków zabezpieczających pomieszczenia, w których znajdują się urządzenia systemu lub sieci teleinformatycznej, w szczególności przed: nieuprawnionym dostępem, podglądem, podsłuchem.

Dla wyboru właściwych narzędzi ochrony, warto uprzednio rozpoznać rynek i oferowane produkty (np. służących do ochrony pojedynczych stacji roboczych wykorzystywanych w firmie, mających za zadanie wykrywanie incydentów i ataków (aktywność tzw. złośliwego oprogramowania), zabezpieczających aplikacje internetowe przed próbami włamania oraz ochronę przed wyciekami danych i uciążliwymi atakami, pozwalających na ochronę danych przed ich całkowitą utratą (na poziomie sieciowym, czy na poziomie maila), posiadających . opcję szyfrowania wiadomości e-mail, aby uniemożliwić podsłuchanie przesyłanej poczty internetowej, co mogłoby skutkować wyciekiem danych osobistych).

Przed zakupem konkretnego urządzenia warto skonsultować się ze specjalistą, który będzie w stanie ocenić jakie rozwiązania najlepiej sprawdzą się w firmie konkretnego typu. Dzięki temu wykorzystywane w przedsiębiorstwie rozwiązania będą idealnie dobrane i funkcjonalne, a ryzyko wycieku danych znacznie się zmniejszy.

6. Uwarunkowania szczególne wynikające z RODO, a dotyczące przechowywania danych osobowych

Zgodnie z  rozporządzeniem, stworzenie właściwej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych. Również w kwestiach polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych czy ewidencji osób upoważnionych do przetwarzania danych RODO zostawia firmom swego rodzaju dowolność i wymaga jedynie spełnienia założeń rozporządzenia, czyli ochrony danych osobowych adekwatnej do analizy ryzyka.

Wskazać należy, że przepisy RODO nie zawierają praktycznie żadnych wytycznych, które odnoszą się do sposobu przechowywania danych osobowych oraz prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Jednakże nie oznacza to, że administrator lub IOD nie jest zobligowany do posiadania żadnej dokumentacji w tym zakresie. Dlatego też przepisy RODO nie określające formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych dają dużą swobodę w tym zakresie administratorom danych. Administrator danych może dowolnie kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przechowywania danych. Jednakże w przepisach RODO zostały ujęte pewne wymagania formalne dotyczące zakresu dokumentowania danych, są to m.in.:

  • prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • zgłaszanie naruszenia ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7

Poprzez przechowywanie danych można rozumieć utrzymywanie zapisów w zbiorach danych (rejestry, kartoteki, wykazy), które umożliwiają korzystanie w rozumieniu przetwarzania, w tym przekazywanie czyli udostępnianie uprawnionym pracownikom (sprzedawcom, akwizytorom tj. zaufanym partnerom), jak i podmiotom, którymi się przedsiębiorca posługuje, czyli do transportu, spedytorowi, serwisowi. Natomiast może nastąpić ograniczanie utrzymania zapisów, które stanowi jedynie zarchiwizowanie danych (patrz: punkt 9) - nie dla przetwarzania, a z ostrożności, w związku z terminami możliwych roszczeń z tytułu szkód na zasadach ogólnych lub gdy wynika to z ustawy (m.in. przepisy kodeksu pracy czy ustaw dotyczących ubezpieczeń społecznych nakładają na pracodawcę obowiązek przechowywania zbiorów dokumentacji personalnej, której okres wynosi 50 lat od dnia zakończenia stosunku pracy, jak również dokumentacji płacowej pracownika, licząc od dnia jej wytworzenia). Każde przechowywanie musi następować z uwzględnieniem zabezpieczenia (patrz: punkt 8).

Reasumując; obecnie trudno wyobrazić sobie firmę, która nie wykorzystuje nośników cyfrowych, nie korzysta z tzw. usług w „chmurze” czy sieci komputerowych podłączonych do Internetu. To pociąga za sobą szereg nowych zagrożeń, na które przedsiębiorca musi zwracać uwagę w bieżącym zarządzaniu firmą. Niewątpliwie nie ma takiej polityki bezpieczeństwa informacji, która miałaby charakter na tyle uniwersalny, że mogłaby się sprawdzić w każdej firmie. Jednak podejmowanie działań mających na celu identyfikacje oraz zapobieganie zagrożeniom informacyjnym, w dużym stopniu ułatwia wybór właściwych narzędzi zabezpieczeń. Przy takich działaniach, a co za tym idzie wyborach i decyzjach należy mieć na uwadze następujące uwarunkowania danego przedsiębiorstwa:

  • finansowe – koszt zabezpieczeń nie może przewyższać kosztów chronionego zasobu,
  • techniczne – nie w każdym przypadku możliwe jest użycie optymalnych rozwiązań technicznych,
  • organizacyjne – nie zawsze jest możliwe wdrożenie zabezpieczenia ze względu na przyjęte struktury organizacyjne, wielkość (rozmiar) przedsiębiorstwa oraz brak personelu spełniającego wymagania,
  • socjologiczne – rozwiązania optymalne mogą być nieakceptowane przez personel,
  • środowiskowe – otocznie zewnętrzne i wewnętrzne może nie zezwolić na zastosowanie wybranych zabezpieczeń.

W procesie zarządzania bezpieczeństwem informacji i prowadzenia efektywnej, skutecznej polityki bezpieczeństwa informacji należy co do zasady uwzględniać:

  • wartość i ilość posiadanych zasobów informacji (danych) podlegających ochronie,
  • potencjalne źródło/a zagrożeń,
  • możliwości techniczne, organizacyjne i finansowe możliwego „agresora” lub „ciekawskiego”,
  • liczbę uprawnionych osób do dostępu do informacji.

Istotne znaczenie mają również nakłady do poniesienia na zapewnienie bezpieczeństwa. Należy je porównać z ewentualnymi stratami w następstwie utraty informacji, kierując się zasadami, do których można zaliczyć:

  • zabezpieczenia niepełnego, które powoduje poniesienie większych kosztów, a najsłabszy element systemu decyduje o poziomie bezpieczeństwa,
  • zabezpieczenia dostosowanego do warunków danej firmy, które jednak może być bardziej kosztowne aniżeli zabezpieczenia standardowe,
  • zapewnienia kompatybilności ochrony technicznej, fizycznej i organizacyjnej,
  • szkoleń personelu w zakresie pro bezpiecznych zachowań jako element zapewniający efektywne funkcjonowanie przyjętego systemu zabezpieczeń,
  • zabezpieczenia pełnego, które zwiększa utrudnienia, jednak i tak nie gwarantują całkowitego bezpieczeństwa.

Podejmując decyzję co do rezygnacji z jakiegoś elementu systemu, warto oszacować ryzyko osiągnięcia zysku, ale i równoważnie poniesienia strat. Ograniczenia są możliwe poprzez wprowadzenie monitoringu oraz zarządzanie ryzykiem (mapy ryzyk), definiowane często jako identyfikacja, mierzenie, sterowanie i kontrolowanie w celu maksymalnego ograniczenia skutków zdarzeń niepożądanych. Większa ilość ważnych i użytecznych informacji zmniejsza potencjalne ryzyka, dając możliwość osiągnięcia lepszych, wymiernych wyników, pod warunkiem wszakże stosowania właściwych, adekwatnych do ilości i rodzaju informacji, danych do zabezpieczenia.

Pomogliśmy?

Teraz Ty możesz pomóc nam!

Z tego tekstu możesz korzystać za darmo, ale nie powstał za darmo i poświęciliśmy na niego sporo czasu. Ty również możesz pomóc w tworzeniu kolejnych, wspierając nas finansowo.
Wystarczy nawet niewielka kwota.

Wybierz kwotę darowizny i przejdź do szybkiej, bezpiecznej płatności internetowej:

/ miesięcznie

  • Wybierz lub wpisz kwotę darowizny