Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji (PBI) – zbiór spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł, procedur i zasad, według których dana organizacja zarządza i udostępnia swoje zasoby informacji^[1][2].

Istota PBI

Podstawą opracowania polityki bezpieczeństwa informacji dla danej organizacji jest zdefiniowanie rozumienia polityki bezpieczeństwa informacji z punktu widzenia priorytetowych interesów tej organizacji.

W tej definicji istotne jest określenie, jakie zasoby informacyjne oraz jakie aktywa powinny podlegać ochronie i jakie mają one znaczenie dla organizacji. Innymi bowiem zabezpieczeniami objęte zostaną zasoby, których utrata spowodować może krótkotrwałe zakłócenia w pracy organizacji, a innymi te, których utrata spowoduje utratę ciągłości biznesowej i załamanie się głównych procesów biznesowych lub odpowiedzialność karną^[3].

PBI organizacji powinna zawierać ogólne zasady wytwarzania, przechowywania, przetwarzania i przesyłania informacji w kontekście zapewnienia jej bezpieczeństwa oraz organizację i zasady sprawnego zarządzania tym procesem^[2].

Podstawą prawną opracowania PBI są obowiązujące ustawy oraz rozporządzenia dotyczące m.in.^[2]:

• ochrony informacji niejawnych,
• podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych,
• krajowego systemu cyberbezpieczeństwa,
• Krajowych Ram Interoperacyjności,
• ochrony danych osobowych,
• ochrony praw autorskich^[2],
• normy ISO 27001^[3],
• standardów krajowych i unijnych.

Funkcje PBI

Polityka bezpieczeństwa informacji spełnia trzy podstawowe funkcje:

• informacyjną: dostarcza pracownikom organizacji komunikat, że jej władze przykładają wagę do kwestii bezpieczeństwa, co przekłada się na podniesienie ogólnego poziomu świadomości i skłania do odpowiedzialnego postępowania,
• prewencyjną: chroni organizację przed zagrożeniami wynikającymi z celowych działań intruzów, jak i przypadkowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników oraz partnerów biznesowych i klientów niecelowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników,
• dostosowawczą: zapewnia zgodność z przepisami prawa lub standardami, których celem jest ochrona informacji i infrastruktury służącej do ich przetwarzania.

Opracowanie PBI

Polityka bezpieczeństwa informacji powinna odnosić się do wszystkich:

• informacji, które zostały sklasyfikowane jako wartościowe i wymagające ochrony,
• członków organizacji mających dostęp do tych informacji,
• systemów przetwarzających chronione informacje,
• miejsc, w których przetwarza się wspomniane informacje,
• partnerów biznesowych mających dostęp do chronionych informacji,
• klientów i sytuacje, gdy mają oni dostęp do informacji i przetwarzających je systemów, które podlegają ochronie^[4].

Celem działań w zakresie ochrony i zapewnienia bezpieczeństwa informacji w danej instytucji jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:

• zagwarantuje zachowanie poufności informacji chronionych,
• zapewni integralność informacji chronionych i jawnych oraz dostępność do nich,
• zagwarantuje wymagany poziom bezpieczeństwa przetwarzanych informacji,
• maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji,
• zapewni poprawne i bezpieczne funkcjonowanie systemów przetwarzania informacji,
• zapewni gotowość do podejmowania działań w sytuacjach kryzysowych^[2].

PBI powinna uwzględniać i być dopasowana do:

• specyfiki funkcjonowania organizacji,
• procesów zachodzących w tej organizacji,
• charakteru organizacji oraz,
• struktury organizacyjnej^[2].

W trakcie opracowywania PBI należy mieć na uwadze fakt, czy dana organizacja będzie w stanie ponieść koszty finansowe i organizacyjne wynikające z wdrożenia tej polityki w życie. Podwyższanie poziomu bezpieczeństwa zazwyczaj odbywa się kosztem wygody, produktywności i efektywności działania. Konieczne jest zapewnienie warunków przestrzegania i respektowania zasad PBI^[5].

Struktura dokumentu PBI

W dokumentach normatywnych związanych z zagadnieniem polityki bezpieczeństwa informacji nie wskazano konkretnego układu, czy też konkretnych treści, które polityka bezpieczeństwa informacji instytucji ma zawierać. W obowiązującej normie krajowej przedstawiono jedynie minimum zawartości dokumentu, zgodnie z którym PBI musi zawierać:

• definicję bezpieczeństwa informacji, jego cele i zakres oraz znaczenie bezpieczeństwa informacji jako mechanizmu współużytkowania informacji,
• oświadczenie o intencji kierownictwa instytucji, potwierdzające cele i zasady bezpieczeństwa informacji w instytucji,
• krótkie wyjaśnienie PBI, zasad, standardów i wymagań dotyczących zgodności, mających szczególne znaczenie dla instytucji,
• definicje ogólnych i szczegółowych obowiązków w zakresie zarządzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa,
• odsyłacze do dokumentacji, stanowiące uzupełnienie PBI^[2].

Dokument PBI powinien być kompletny i w pełni zrozumiały oraz dostępny dla każdego pracownika danej instytucji oraz osób korzystających z jej informatycznych zasobów. Zapis ten powinien również dotyczyć partnerów biznesowych, jeśli również partycypują w korzystaniu z zasobów informatycznych tej instytucji^[5].

Dokument PBI nie może być ona dokumentem zamkniętym, gdyż powinien być ciągle uaktualniany, modyfikowany i dostosowywany do zmieniających się potrzeb danej organizacji.

Dokument PBI stanowi podłoże do tworzenia innych dokumentów, zawierających specyficzne i szczegółowe wymagania dla konkretnych grup informacji, a także określających warunki, jakie muszą spełniać systemy informatyczne i papierowe je przetwarzające, z uwzględnieniem aspektów prawnych ochrony informacji i systemów informatycznych^[2].

Korzyści z wdrożenia PBI

Pierwszą kategorią korzyści płynących z wdrożenia w organizacji polityki bezpieczeństwa informacji jest:

• minimalizacja strat z powodu naruszenia bezpieczeństwa przetwarzanych informacji,
• minimalizacja ryzyka wystąpienia zdarzeń związanych z naruszeniem bezpieczeństwa informacji,
• minimalizacja ryzyka naruszenia ochrony danych osobowych, w tym kar wynikających z przepisów RODO,
• przygotowanie organizacji na potencjalne wystąpienie incydentów związanych z bezpieczeństwem informacji,
• opracowanie scenariuszy działań na wypadek naruszeń bezpieczeństwa^[6]

Drugą kategorią korzyści jest:

• podniesienie wiarygodności organizacji w oczach klientów, inwestorów i udziałowców,
• zwiększenie przewagi konkurencyjnej na rynku poprzez kreowanie pozytywnego wizerunku jako firmy dbającej o ochronę praw i interesów partnerów biznesowych i klientów^[6].

Przypisy

1. Polityka bezpieczeństwa informacji – Encyklopedia Zarządzania [online], mfiles.pl [dostęp 2020-04-13] (pol.).
2. M.M. Kowalewski M.M., A.A. Ołtarzewska A.A., Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności – Państwowego Instytutu Badawczego. Brak numerów stron w książce
3. Opensecurity: szablon polityki bezpieczeństwa informacji [online].
4. DawidD. Mrowiec DawidD., Polityka bezpieczeństwa – Czym jest i co decyduje o jej skuteczności, „B-secure”, 9 września 2018.
5. MarcinM. Bieńkowski MarcinM., Jak zdefiniować firmową politykę bezpieczeństwa, „ComputerWorld”, 14 lutego 2019.
6. Wdrożenie polityki bezpieczeństwa informacji [online].