bezpieczenstwo.jpg

Podstawowe zasady bezpieczeństwa w zakresie użytkowania systemów teleinformatycznych

Można mieć wdrożone przeróżne zabezpieczenia techniczne w Firmie, jednak bez świadomości zagrożeń nie zbuduje się bezpieczeństwa organizacji.

Nawet najbardziej zaawansowane rozwiązania technologiczne nie pozwalają uszczelnić na tyle systemu bezpieczeństwa, w którym ludzie nie musieliby przestrzegać podstawowych zasad i procedur w zakresie użytkowania systemów teleinformatycznych. Wynika to między innymi z tego, że najczęściej użytkownicy nie posiadają wystarczającej wiedzy technicznej, aby rozumieć zagrożenia i aktywnie się przed nimi bronić, czy też nie popełniać podstawowych błędów. Jedynym z wielu sposobów na zbudowanie efektywnej polityki bezpieczeństwa są regularne szkolenia uświadamiające zagrożenia, a także wdrażanie przejrzystych zasad m.in. w zakresie użytkowania systemów teleinformatycznych, z którymi powinien zostać zaznajomiony każdy pracownik i współpracownik, aby również od strony formalnej czuł się odpowiedzialny za cały system.

Poniżej przedstawiono propozycję gotowych do wdrożenia w Firmie „Podstawowych zasad bezpieczeństwa w zakresie użytkowania systemów teleinformatycznych”, które mogą zostać, w miarę potrzeb rozbudowane, czy też zmodyfikowane.

Określone poniżej podstawowe Zasady, mają zapewnić optymalne środki organizacyjne i prawne, uwzględniające rozwój i zmienność działalności Firmy, gwarantujące skuteczną i efektywną realizację zadań statutowych, m.in. poprzez określenie praw i obowiązków użytkowników w obszarze eksploatowanych systemów teleinformatycznych, w tym poczty elektronicznej.

  1. Wszyscy pracownicy i współpracownicy Firmy, którzy są użytkownikami systemów teleinformatycznych eksploatowanych przez Firmę bądź należą do personelu informatyczno-technicznego, stosownie do swoich obowiązków i stanowiska, są odpowiedzialni za realizację opisanych w niniejszym dokumencie Zasad. Zarząd Firmy lub osoba przez niego upoważniona może zlecać szczególne zadania w zakresie realizacji podstawowych zasad bezpieczeństwa podmiotom zewnętrznym.
  2. Podjęcie współpracy z podmiotami zewnętrznymi, w tym z uprawnionymi organami administracji rządowej oraz z innymi podmiotami prawa handlowego, jeśli wymagają tego przepisy prawa lub jest to w interesie Firmy, odbywa się na zasadach określonych przez Zarząd Firmy.
  3. Z treścią Zasad zapoznawani są wszyscy ci pracownicy i współpracownicy Firmy, którzy z racji wykonywanych funkcji mają dostęp do systemów teleinformatycznych eksploatowanych przez Firmę.
  4. Niniejszy dokument lub jego wyciąg może być przedstawiany innym instytucjom zewnętrznym w przypadkach wymiany informacji prawnie chronionych oraz w celu prezentacji obowiązujących zasad użytkowania systemów teleinformatycznych Firmy, przy czym zakres Zasad, jaki ma być udostępniony danej instytucji zewnętrznej, w każdym przypadku określa Zarząd Firmy lub osoba przez niego upoważniona.
  5. W przypadku stanu wyższej konieczności dopuszcza się pominięcie Zasad zdefiniowanych w niniejszym dokumencie.
  6. Zasady zdefiniowane w tym dokumencie stosuje się wyłącznie do zasobów teleinformatycznych eksploatowanych przez Firmę.
  7. Niniejsze Zasady w celu zachowania ciągłej przydatności, adekwatności i skuteczności, a także dostosowania jej do aktualnych ryzyk są, w zaplanowanych odstępach czasu nie mniejszych niż co sześć miesięcy, w zależności od zmian środowiska organizacyjnego, warunków biznesowych, prawnych lub środowiska technicznego Firmy, w tym zidentyfikowanych nowych zagrożeń i wystąpienia znaczących zmian, przeglądane i aktualizowane przez osobę wskazaną przez Zarząd Firmy.
  8. Decyzję o przyjęciu Zasad po ich zaktualizowaniu podejmuje Zarząd Firmy.
  9. Pracownicy i współpracownicy Firmy zapoznają się z niniejszymi Zasadami i z każdą nową wersją przyjętą przez Zarząd Firmy, a fakt zapoznania się, zrozumienia i przyjęcia do realizacji zasad sformułowanych w niniejszym dokumencie potwierdzają na piśmie.
  10. Wszyscy pracownicy i współpracownicy Firmy zobowiązani są do ochrony tajemnic prawnie chronionych, co potwierdzają własnoręcznym podpisem złożonym w chwili przyjęcia do pracy lub podjęcia współpracy, lub niezwłocznie po wdrożeniu niniejszych Zasad, w przypadku pracowników już zatrudnionych, czy też współpracowników już zaangażowanych w realizację zadań Firmy.
  11. Pracownicy i współpracownicy Firmy, którzy powinni mieć dostęp do danych wrażliwych (np. danych osobowych) są dopuszczani do nich na zasadach określonych w odpowiednich przepisach prawa.
  12. Ochrona informacyjnych, materialnych i technicznych zasobów Firmy opiera się na restrykcyjnej kontroli dostępu do nich.
  13. W odniesieniu do informacji prawnie chronionych w Firmie obowiązuje:
    • Zasada uprawnień koniecznych, zwana również zasadą wiedzy uzasadnionej, w której każdy użytkownik systemu teleinformatycznego posiada prawa ograniczone wyłącznie do zasobów, które są konieczne do wykonywania legalnych zadań. Zasada ta opiera się na domniemanej odmowie udzielenia dostępu do danych i usług systemu teleinformatycznego, jeśli udzielony dostęp mógłby naruszyć bezpieczeństwo zasobów Firmy prawnie chronionych oraz informacji istotnych z punktu widzenia jej działalności.
    • Zasada rozdziału kompetencji, w której funkcje i zadania w obszarze krytycznych usług systemu teleinformatycznego realizują inne zespoły ludzkie niż w obszarze kontroli przestrzegania niniejszych postanowień i dokumentów z nich wynikających.
    • Zasada indywidualnej odpowiedzialności, w której za utrzymanie właściwego poziomu bezpieczeństwa i użytkowania systemu teleinformatycznego Firmy odpowiadają, zgodnie z zakresem swoich obowiązków i uprawnień, konkretne osoby, które mają świadomość tej odpowiedzialności. Zasada ta nie zwalnia pozostałych pracowników z odpowiedzialności i dbałości o bezpieczeństwo.
    • Zasada uzasadnionej obecności, w której prawo przebywania w określonych pomieszczeniach Firmy mają wyłącznie osoby, które są do tego upoważnione.
    • Zasada zdrowego rozsądku, w której nie ma systemów absolutnie bezpiecznych, dlatego zabezpieczenie wszystkiego i wszędzie nie jest działaniem racjonalnym, a co więcej może w efekcie sparaliżować funkcjonowanie Firmy.
    • Zasada stałej gotowości, w której w sposób ciągły, odpowiednio do warunków realizacji procesów biznesowych w Firmie, utrzymuje się aktualny system bezpieczeństwa dla użytkowanych systemów teleinformatycznych.
    • Zasada naturalnego styku z użytkownikiem, w której procedury zapewniające bezpieczeństwo użytkowania systemu teleinformatycznego Firmy, niezależnie od ich natury, nie powinny prowadzić do drastycznego utrudnienia realizacji legalnych zadań.
    • Zasada najsłabszego ogniwa, w której w pracach nad doskonaleniem systemu bezpieczeństwa teleinformatycznego Firmy trzeba mieć świadomość, że jakość jego bezpieczeństwa wyznacza najsłabszy jego element.
    • Zasada ochrony niezbędnej, w której minimalny poziom ochrony zasobów Firmy wynika z obowiązujących aktów prawnych powstałych poza Firmą, lecz obowiązujących w Firmie.
  14. Dostęp użytkowników do systemów teleinformatycznych Firmy jest możliwy po uzyskaniu formalnych uprawnień od Zarządu Firmy lub osoby przez niego upoważnionej.
  15. Przetwarzanie danych w systemach teleinformatycznych Firmy jest dozwolone pod warunkiem zapewnienia ochrony przed ujawnieniem, utratą i nieuprawnioną modyfikacją ze strony osób nieuprawnionych.
  16. Każdego pracownika i współpracownika Firmy obowiązuje bezwzględny przymus alarmowania o zagrożeniach i zdarzeniach związanych z bezpieczeństwem systemów teleinformatycznych Firmy.
  17. Każdego pracownika i współpracownika Firmy obowiązuje bezwzględny przymus alarmowania o zaobserwowanych lub podejrzewanych słabościach bezpieczeństwa systemów teleinformatycznych Firmy.
  18. Odpowiedzialność za bezpieczeństwo systemów teleinformatycznych spoczywa na każdym pracowniku i współpracowniku Firmy, odpowiednio do posiadanych kompetencji i nadanych uprawnień.
  19. W stosunku do dokumentów i elektronicznych nośników informacji, w celu zredukowania możliwości nieuprawnionego dostępu, utraty bądź uszkodzenia informacji poza normalnymi godzinami pracy, stosuje się jasne zasady „polityki biurkowej”.
  20. Dokumenty oraz techniczne nośniki informacji są przechowywane w szafach, gdy nie są wykorzystywane – zwłaszcza poza normalnymi godzinami pracy.
  21. Dokumenty oraz elektroniczne nośniki informacji zawierające szczególnie istotne dla Firmy dane i informacje są przechowywane w ognioodpornej szafie, gdy nie są potrzebne, a zwłaszcza gdy biuro jest puste.
  22. Komputery (również osobiste) i terminale komputerowe są zabezpieczone blokadą (klucz), hasłami i innymi dostępnymi zabezpieczeniami, gdy nie są wykorzystywane.
  23. Urządzenia, dane i oprogramowanie nie są wynoszone na zewnątrz przez pracowników i współpracowników bez udokumentowanej zgody Zarządu Firmy lub osoby przez niego upoważnionej.
  24. Użytkownicy mają świadomość swej odpowiedzialności za wdrożenie efektywnej kontroli dostępu do systemów teleinformatycznych, szczególnie w zakresie korzystania z haseł i zapewnienia bezpieczeństwa wykorzystywanego sprzętu i oprogramowania, w tym smartfonów.
  25. Użytkownicy systemów teleinformatycznych Firmy stosują następujące zasady:
    • Kończą aktywną sesję na koniec pracy, w tym wyłączają komputer.
    • Nie używają żadnego sprzętu komputerowego i urządzeń peryferyjnych bez pozwolenia.
    • Nie próbują sięgać do informacji, do której nie są uprawnieni. W razie wątpliwości - pytają.
    • Nie zmieniają żadnych informacji w systemie, chyba, że wiedzą, że są uprawnieni.
    • Nie używają komputera do swoich prywatnych celów.
    • Nie zostawiają komputera, na którym pracują „bez opieki”; po wykonaniu zadania - wylogowują się. Wylogowują się także, kiedy wzywa ich przełożony.
    • Wiedzą, co zrobić w przypadku wykrycia wirusa w systemie lub innych nieprawidłowości w funkcjonowaniu systemu teleinformatycznego, a jeśli coś nie jest jasne - każą się przeszkolić.
    • Pamiętają, że ich hasła oraz identyfikatory są to informacje wrażliwe. Nikomu ich nie ujawniają. Nie zapisują ich - nawet w postaci zakamuflowanej. Wybierają silne, niebanalne hasła. Nie pozwalają nikomu korzystać ze swojego hasła, nawet pod swoim nadzorem - jeśli ktokolwiek potrzebuje dostępu do systemu niech uda się do Administratora Systemu (osoba wyznaczona przez Zarząd Firmy).
    • Sami nie używają nie swojego hasła lub innego urządzenia przeznaczonego do identyfikacji użytkownika.
    • Pamiętają, że w systemie funkcjonuje ograniczenie czasu i terminali na konta logowania.
    • Wiedzą, że każde zablokowanie ich konta muszą niezwłocznie zgłosić i wyjaśnić na piśmie.
    • Pamiętają, że każdy chroniony przedmiot ma właściciela – i że są odpowiedzialni za bezpieczeństwo informacyjne na swoim stanowisku pracy.
    • Pamiętają, aby Administrator Systemu zablokował Twoje konto na czas Twojej nieobecności (np. urlopu, wyjazdu służbowego).
    • Stosują zasady BHP i ppoż, ponieważ zdają sobie sprawę, że system może ulec zniszczeniu także w wyniku pożaru czy zalania.
    • Przechowują nośniki informacji w bezpiecznym miejscu.
    • Uważają na wydruki - są równie cenne jak dane na nośnikach. Przechowują je w bezpiecznym miejscu i usuwają wyłącznie przy pomocy niszczarki.
    • Nie używają oprogramowania niedopuszczonego do użytku przez Zarząd Firmy lub osobę przez niego upoważnioną.
    • Wszystkie problemy z funkcjonowaniem systemu komputerowego zgłaszają niezwłocznie Administratorowi Systemu. Nie rozwiązują problemów z funkcjonowaniem systemu na własną rękę. Nie zmieniają samodzielnie jakiejkolwiek konfiguracji systemu - nic nie instalują i niczego nie usuwają.
    • Pamiętają, że są odpowiedzialni za każdą operację w systemie wykonaną przy użyciu ich identyfikatora i hasła. Wiedzą, że za wszystkie nieprawidłowości mogą zostać pociągnięci do odpowiedzialności zarówno cywilnej, jak i karnej.
  26. Administrator Systemu, co najmniej raz na pół roku, dokonuje sprawdzenia, czy są przestrzegane przez użytkowników zasady, o których mowa w niniejszym dokumencie.
  27. Każdy użytkownik jest zobowiązany przestrzegać praw w zakresie wykorzystywania kopii licencjonowanego oprogramowania i w pełni odpowiada za zainstalowane oprogramowanie na komputerze/ laptopie/ smartfonie wykorzystywanym do realizowania zadań Firmy.
  28. Kopiowanie prawnie zastrzeżonego oprogramowania lub oprogramowania opracowanego dla Firmy dla jakichkolwiek celów, nie posiadających autoryzacji, jest zabronione.
  29. Korzystanie z programów pozwalających na obejście środków bezpieczeństwa, w tym kontroli systemu i aplikacji jest zabronione.
  30. Cały sprzęt komputerowy i peryferyjny Firmy, w tym smartfony może być wykorzystywany wyłącznie dla celów statutowych Firmy.
  31. Każdy pracownik i współpracownik Firmy ma bezwzględny obowiązek zmiany hasła gdy zachodzi podejrzenie, że mogło zostać ujawnione.

Przeczytaj również: Prawo do kopiowania oprogramowania, Podstawowe wymagania w zakresie ochrony, Kontrola dostępu do zasobów, Kontrola dostępu do systemu z sieci, Polityka haseł, Wytyczne dla Użytkownika Systemu Informatycznego

 

Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.

 

Kontakt

Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

UWAGA! Ten serwis używa cookies i podobnych technologii.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zrozumiałem