bezpieczenstwo.jpg

Podstawowe wymagania w zakresie ochrony

Zabezpieczenia organizacyjne jako element Polityki Bezpieczeństwa

Postanowiłem trochę napisać o podstawach w zakresie zabezpieczeń organizacyjnych. Na pierwszy rzut mały wywód na temat podstawowych wymagań w zakresie ochrony, czyli pewnych tez, które powinny znaleźć swoje odzwierciedlenie w politykach bezpieczeństwa, regulaminach użytkowania systemu informatycznego, procedurach eksploatacyjnych oraz innych podobnych dokumentach regulujących sposób zarządzania systemem bezpieczeństwa w określonej firmie.

Wszyscy pracownicy Spółki zobowiązani są do ochrony tajemnic prawnie chronionych, co potwierdzają własnoręcznym podpisem złożonym w chwili przyjęcia do pracy lub niezwłocznie po wdrożeniu Polityki/ Regulaminu/ Procedury, w przypadku pracowników już zatrudnionych.

Pracownicy Spółki, którzy powinni mieć dostęp do danych wrażliwych (np. danych osobowych) są dopuszczani do nich na zasadach określonych w odpowiednich przepisach.

Środki i metody ochrony materialnych i technicznych zasobów Spółki są używane stosownie do zagrożeń i potrzeb, a w przypadku zasobów informacyjnych dodatkowo odpowiednio do:

  • medium, na którym są zapisywane,

  • systemów informatycznych, które je przetwarzają,

  • metod jakimi są przesyłane, tj. poczta elektroniczna, inne formy transmisji danych itd.

Ochrona informacyjnych, materialnych i technicznych zasobów Spółki opiera się na restrykcyjnej kontroli dostępu do niej.

W odniesieniu do informacji prawnie chronionych w Spółkce obowiązuje:

  • Zasada uprawnień koniecznych, zwana również zasadą wiedzy uzasadnionej, w której każdy użytkownik systemu informatycznego posiada prawa ograniczone wyłącznie do zasobów, które są konieczne do wykonywania legalnych zadań. Zasada ta opera się na domniemanej odmowie udzielenia dostępu do danych i usług systemu informatycznego, jeśli udzielony dostęp mógłby naruszyć bezpieczeństwo zasobów Spółki prawnie chronionych oraz informacji istotnych z punktu widzenia działalności Spółki.

  • Zasada rozdziału kompetencji, w której funkcje i zadania w obszarze krytycznych usług systemu informatycznego realizują inne zespoły ludzkie niż w obszarze kontroli przestrzegania postanowień Polityki/ Regulaminu/ Procedury i dokumentów z niego wynikających.

  • Zasada indywidualnej odpowiedzialności, w którejza utrzymanie właściwego poziomu bezpieczeństwa i użytkowania systemu informatycznego Spółki odpowiadają, zgodnie z zakresem swoich obowiązków i uprawnień, konkretne osoby, które mają świadomość tej odpowiedzialności.

  • Zasada uzasadnionej obecności, w której prawo przebywania w określonych pomieszczeniach Spółki mają wyłącznie osoby, które są do tego upoważnione.

  • Zasada zdrowego rozsądku, w której nie ma systemów absolutnie bezpiecznych, dlatego zabezpieczenie wszystkiego i wszędzie nie jest działaniem racjonalnym, a co więcej może w efekcie sparaliżować funkcjonowanie Spółki.

  • Zasada stałej gotowości, w której w sposób ciągły, odpowiednio do warunków realizacji procesów biznesowych w Spółki, utrzymuje się aktualny system bezpieczeństwa dla użytkowanych systemów informatycznych.

  • Zasada naturalnego styku z użytkownikiem, w której procedury zapewniające bezpieczeństwo użytkowania systemu informatycznego Spółki, niezależnie od ich natury, nie powinny prowadzić do drastycznego utrudnienia realizacji legalnych zadań.

  • Zasada najsłabszego ogniwa, w której w pracach nad doskonaleniem systemu bezpieczeństwa systemu informatycznego Spółki trzeba mieć świadomość, że jakość jego bezpieczeństwa wyznacza najsłabszy jego element.

  • Zasada ochrony niezbędnej, w której minimalny poziom ochrony zasobów Spółki wynika z obowiązujących aktów prawnych powstałych poza Spółką, lecz obowiązujących w Spółki

Wszyscy pracownicy Spółki oraz inne osoby upoważnione do dostępu do systemu informatycznego Spółki są okresowo szkoleni przez upoważnioną osobę.

Poziomy uprawnień do poszczególnych elementów systemu informatycznego są zdefiniowane i udokumentowane przez osobę upoważnioną.

Systemy zabezpieczeń są regularnie kontrolowane przez osobę upoważnioną.

Absolutnie ww. zagadnienia nie wyczerpują tematu, są jedynie wybranymi środkami ochrony, które powinny zostać wdrożone. 


W miarę wolnego czasu będę publikował więcej tego typu materiałów, które będzie można znaleźć w kategorii "Bezpieczeństwo" lub innej z tego samego obszaru.


Wszelkie prawa zastrzeżone. Kopiowanie, powielanie i wykorzystywanie części lub całości materiałów zawartych na tej stronie w formie elektronicznej lub jakiejkolwiek innej bez zgody autora zabronione.

Kontakt

Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

UWAGA! Ten serwis używa cookies i podobnych technologii.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zrozumiałem