Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji (PBI) - zbiór spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł, procedur i zasad, według których dana organizacja zarządza i udostępnia swoje zasoby informacji^[1]^[2]. Obok umowy o powierzeniu przetwarzania danych osobowych oraz instrukcji zarządzania systemem informatycznym, jest to jeden z kluczowych składników dokumentacji RODO w przedsiębiorstwie.^[3]

Istota PBI

Podstawą opracowania polityki bezpieczeństwa informacji dla danej organizacji jest zdefiniowanie rozumienia polityki bezpieczeństwa informacji z punktu widzenia priorytetowych interesów tej organizacji.

W tej definicji istotne jest określenie jakie zasoby informacyjne oraz jakie aktywa powinny podlegać ochronie i jakie mają one znaczenie dla organizacji. Innymi bowiem zabezpieczeniami objęte zostaną zasoby, których utrata spowodować może krótkotrwałe zakłócenia w pracy organizacji, a innymi te, których utrata spowoduje utratę ciągłości biznesowej i załamanie się głównych procesów biznesowych lub odpowiedzialność karną^[4].

PBI organizacji powinna zawierać ogólne zasady wytwarzania, przechowywania, przetwarzania i przesyłania informacji w kontekście zapewnienia jej bezpieczeństwa oraz organizację i zasady sprawnego zarządzania tym procesem^[2].

Podstawą prawną opracowania PBI są obowiązujące ustawy oraz rozporządzenia dotyczące m.in.^[2]:

ochrony informacji niejawnych,
podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych,
krajowego systemu cyberbezpieczeństwa,
Krajowych Ram Interoperacyjności,
ochrony danych osobowych,
ochrony praw autorskich^[2],
normy ISO 27001^[4],
standardów krajowych i unijnych.

Funkcje PBI

Polityka bezpieczeństwa informacji spełnia trzy podstawowe funkcje:

informacyjną: dostarcza pracownikom organizacji komunikat, że jej władze przykładają wagę do kwestii bezpieczeństwa, co przekłada się na podniesienie ogólnego poziomu świadomości i skłania do odpowiedzialnego postępowania,
prewencyjną: chroni organizację przed zagrożeniami wynikającymi z celowych działań intruzów, jak i przypadkowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników oraz partnerów biznesowych i klientów niecelowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników,
dostosowawczą: zapewnia zgodność z przepisami prawa lub standardami, których celem jest ochrona informacji i infrastruktury służącej do ich przetwarzania.

Opracowanie PBI

Polityka bezpieczeństwa informacji powinna odnosić się do wszystkich:

informacji, które zostały sklasyfikowane jako wartościowe i wymagające ochrony,
członków organizacji mających dostęp do tych informacji,
systemów przetwarzających chronione informacje,
miejsc, w których przetwarza się wspomniane informacje,
partnerów biznesowych mających dostęp do chronionych informacji,
klientów i sytuacje, gdy mają oni dostęp do informacji i przetwarzających je systemów, które podlegają ochronie^[5].

Celem działań w zakresie ochrony i zapewnienia bezpieczeństwa informacji w danej instytucji jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:

zagwarantuje zachowanie poufności informacji chronionych,
zapewni integralność informacji chronionych i jawnych oraz dostępność do nich,
zagwarantuje wymagany poziom bezpieczeństwa przetwarzanych informacji,
maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji,
zapewni poprawne i bezpieczne funkcjonowanie systemów przetwarzania informacji,
zapewni gotowość do podejmowania działań w sytuacjach kryzysowych^[2].

PBI powinna uwzględniać i być dopasowana do:

specyfiki funkcjonowania organizacji,
procesów zachodzących w tej organizacji,
charakteru organizacji oraz,
struktury organizacyjnej^[2].

W trakcie opracowywania PBI należy mieć na uwadze fakt, czy dana organizacja będzie w stanie ponieść koszty finansowe i organizacyjne wynikające z wdrożenia tej polityki w życie. Podwyższanie poziomu bezpieczeństwa zazwyczaj odbywa się kosztem wygody, produktywności i efektywności działania. Konieczne jest zapewnienie warunków przestrzegania i respektowania zasad PBI^[6].

Struktura dokumentu PBI

W dokumentach normatywnych związanych z zagadnieniem polityki bezpieczeństwa informacji nie wskazano konkretnego układu, czy też konkretnych treści, które polityka bezpieczeństwa informacji instytucji ma zawierać. W obowiązującej normie krajowej przedstawiono jedynie minimum zawartości dokumentu, zgodnie z którym PBI musi zawierać:

definicję bezpieczeństwa informacji, jego cele i zakres oraz znaczenie bezpieczeństwa informacji jako mechanizmu współużytkowania informacji,
oświadczenie o intencji kierownictwa instytucji, potwierdzające cele i zasady bezpieczeństwa informacji w instytucji,
krótkie wyjaśnienie PBI, zasad, standardów i wymagań dotyczących zgodności, mających szczególne znaczenie dla instytucji,
definicje ogólnych i szczegółowych obowiązków w zakresie zarządzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa,
odsyłacze do dokumentacji, stanowiące uzupełnienie PBI^[2].

Dokument PBI powinien być kompletny i w pełni zrozumiały oraz dostępny dla każdego pracownika danej instytucji oraz osób korzystających z jej informatycznych zasobów. Zapis ten powinien również dotyczyć partnerów biznesowych, jeśli również partycypują w korzystaniu z zasobów informatycznych tej instytucji^[6].

Dokument PBI nie może być ona dokumentem zamkniętym, gdyż powinien być ciągle uaktualniany, modyfikowany i dostosowywany do zmieniających się potrzeb danej organizacji.

Dokument PBI stanowi podłoże do tworzenia innych dokumentów, zawierających specyficzne i szczegółowe wymagania dla konkretnych grup informacji, a także określających warunki, jakie muszą spełniać systemy informatyczne i papierowe je przetwarzające, z uwzględnieniem aspektów prawnych ochrony informacji i systemów informatycznych^[2].

Korzyści z wdrożenia PBI

Pierwszą kategorią korzyści płynących z wdrożenia w organizacji polityki bezpieczeństwa informacji jest:

minimalizacja strat z powodu naruszenia bezpieczeństwa przetwarzanych informacji,
minimalizacja ryzyka wystąpienia zdarzeń związanych z naruszeniem bezpieczeństwa informacji,
minimalizacja ryzyka naruszenia ochrony danych osobowych, w tym kar wynikających z przepisów RODO,
przygotowanie organizacji na potencjalne wystąpienie incydentów związanych z bezpieczeństwem informacji,
opracowanie scenariuszy działań na wypadek naruszeń bezpieczeństwa^[7]

Drugą kategorią korzyści jest:

podniesienie wiarygodności organizacji w oczach klientów, inwestorów i udziałowców,
zwiększenie przewagi konkurencyjnej na rynku poprzez kreowanie pozytywnego wizerunku jako firmy dbającej o ochronę praw i interesów partnerów biznesowych i klientów^[7].

Przypisy

↑ Polityka bezpieczeństwa informacji – Encyklopedia Zarządzania, mfiles.pl [dostęp 2020-04-13] (pol.).
↑ ^a ^b ^c ^d ^e ^f ^g ^h M.M. Kowalewski M.M., A.A. Ołtarzewska A.A., Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności - Państwowego Instytutu Badawczego .
↑ MarcinM. Staniszewski MarcinM., RODO Poradnik - Wytyczne Krok Po Kroku - RPMS Poznań, Kancelaria RPMS, 10 października 2018 [dostęp 2022-01-20] (pol.).
↑ ^a ^b Opensecurity: szablon polityki bezpieczeństwa informacji .
↑ DawidD. Mrowiec DawidD., Polityka bezpieczeństwa – Czym jest i co decyduje o jej skuteczności, „B-secure”, 9 września 2018 .
↑ ^a ^b MarcinM. Bieńkowski MarcinM., Jak zdefiniować firmową politykę bezpieczeństwa, „ComputerWorld”, 14 lutego 2019 .
↑ ^a ^b Wdrożenie polityki bezpieczeństwa informacji .

[Encyklopedia-1] Polityka bezpieczeństwa informacji – Encyklopedia Zarządzania, mfiles.pl [dostęp 2020-04-13] (pol.).

[Instytut-2] ↑ ^a ^b ^c ^d ^e ^f ^g ^h M.M. Kowalewski M.M., A.A. Ołtarzewska A.A., Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności - Państwowego Instytutu Badawczego .

[3] MarcinM. Staniszewski MarcinM., RODO Poradnik - Wytyczne Krok Po Kroku - RPMS Poznań, Kancelaria RPMS, 10 października 2018 [dostęp 2022-01-20] (pol.).

[open-4] Opensecurity: szablon polityki bezpieczeństwa informacji .

[Bsecure-5] DawidD. Mrowiec DawidD., Polityka bezpieczeństwa – Czym jest i co decyduje o jej skuteczności, „B-secure”, 9 września 2018 .

[CW-6] MarcinM. Bieńkowski MarcinM., Jak zdefiniować firmową politykę bezpieczeństwa, „ComputerWorld”, 14 lutego 2019 .

[eskom-7] Wdrożenie polityki bezpieczeństwa informacji .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Navigation

Nawigacja

Portale tematyczne