Podstawowe wymagania w zakresie ochrony

Zabezpieczenia organizacyjne jako element Polityki Bezpieczeństwa

Postanowiłem trochę napisać o podstawach w zakresie zabezpieczeń organizacyjnych. Na pierwszy rzut mały wywód na temat podstawowych wymagań w zakresie ochrony, czyli pewnych tez, które powinny znaleźć swoje odzwierciedlenie w politykach bezpieczeństwa, regulaminach użytkowania systemu informatycznego, procedurach eksploatacyjnych oraz innych podobnych dokumentach regulujących sposób zarządzania systemem bezpieczeństwa w określonej firmie.

Wszyscy pracownicy Spółki zobowiązani są do ochrony tajemnic prawnie chronionych, co potwierdzają własnoręcznym podpisem złożonym w chwili przyjęcia do pracy lub niezwłocznie po wdrożeniu Polityki/ Regulaminu/ Procedury, w przypadku pracowników już zatrudnionych.

Pracownicy Spółki, którzy powinni mieć dostęp do danych wrażliwych (np. danych osobowych) są dopuszczani do nich na zasadach określonych w odpowiednich przepisach.

Środki i metody ochrony materialnych i technicznych zasobów Spółki są używane stosownie do zagrożeń i potrzeb, a w przypadku zasobów informacyjnych dodatkowo odpowiednio do:

  • medium, na którym są zapisywane,

  • systemów informatycznych, które je przetwarzają,

  • metod jakimi są przesyłane, tj. poczta elektroniczna, inne formy transmisji danych itd.

Ochrona informacyjnych, materialnych i technicznych zasobów Spółki opiera się na restrykcyjnej kontroli dostępu do niej.

W odniesieniu do informacji prawnie chronionych w Spółkce obowiązuje:

  • Zasada uprawnień koniecznych, zwana również zasadą wiedzy uzasadnionej, w której każdy użytkownik systemu informatycznego posiada prawa ograniczone wyłącznie do zasobów, które są konieczne do wykonywania legalnych zadań. Zasada ta opera się na domniemanej odmowie udzielenia dostępu do danych i usług systemu informatycznego, jeśli udzielony dostęp mógłby naruszyć bezpieczeństwo zasobów Spółki prawnie chronionych oraz informacji istotnych z punktu widzenia działalności Spółki.

  • Zasada rozdziału kompetencji, w której funkcje i zadania w obszarze krytycznych usług systemu informatycznego realizują inne zespoły ludzkie niż w obszarze kontroli przestrzegania postanowień Polityki/ Regulaminu/ Procedury i dokumentów z niego wynikających.

  • Zasada indywidualnej odpowiedzialności, w którejza utrzymanie właściwego poziomu bezpieczeństwa i użytkowania systemu informatycznego Spółki odpowiadają, zgodnie z zakresem swoich obowiązków i uprawnień, konkretne osoby, które mają świadomość tej odpowiedzialności.

  • Zasada uzasadnionej obecności, w której prawo przebywania w określonych pomieszczeniach Spółki mają wyłącznie osoby, które są do tego upoważnione.

  • Zasada zdrowego rozsądku, w której nie ma systemów absolutnie bezpiecznych, dlatego zabezpieczenie wszystkiego i wszędzie nie jest działaniem racjonalnym, a co więcej może w efekcie sparaliżować funkcjonowanie Spółki.

  • Zasada stałej gotowości, w której w sposób ciągły, odpowiednio do warunków realizacji procesów biznesowych w Spółki, utrzymuje się aktualny system bezpieczeństwa dla użytkowanych systemów informatycznych.

  • Zasada naturalnego styku z użytkownikiem, w której procedury zapewniające bezpieczeństwo użytkowania systemu informatycznego Spółki, niezależnie od ich natury, nie powinny prowadzić do drastycznego utrudnienia realizacji legalnych zadań.

  • Zasada najsłabszego ogniwa, w której w pracach nad doskonaleniem systemu bezpieczeństwa systemu informatycznego Spółki trzeba mieć świadomość, że jakość jego bezpieczeństwa wyznacza najsłabszy jego element.

  • Zasada ochrony niezbędnej, w której minimalny poziom ochrony zasobów Spółki wynika z obowiązujących aktów prawnych powstałych poza Spółką, lecz obowiązujących w Spółki

Wszyscy pracownicy Spółki oraz inne osoby upoważnione do dostępu do systemu informatycznego Spółki są okresowo szkoleni przez upoważnioną osobę.

Poziomy uprawnień do poszczególnych elementów systemu informatycznego są zdefiniowane i udokumentowane przez osobę upoważnioną.

Systemy zabezpieczeń są regularnie kontrolowane przez osobę upoważnioną.

Absolutnie ww. zagadnienia nie wyczerpują tematu, są jedynie wybranymi środkami ochrony, które powinny zostać wdrożone. 


W miarę wolnego czasu będę publikował więcej tego typu materiałów, które będzie można znaleźć w kategorii Bezpieczeństwo lub innej z tego samego obszaru.

Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.

logo.png
Utwory z tej strony są dostępne na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.
© 2012-2024 machnacz.eu. Powerd by ITbrain.

Kontakt

info@machnacz.eu

Search