Zabezpieczenia organizacyjne jako element Polityki Bezpieczeństwa
Postanowiłem trochę napisać o podstawach w zakresie zabezpieczeń organizacyjnych. Na pierwszy rzut mały wywód na temat podstawowych wymagań w zakresie ochrony, czyli pewnych tez, które powinny znaleźć swoje odzwierciedlenie w politykach bezpieczeństwa, regulaminach użytkowania systemu informatycznego, procedurach eksploatacyjnych oraz innych podobnych dokumentach regulujących sposób zarządzania systemem bezpieczeństwa w określonej firmie.
Wszyscy pracownicy Spółki zobowiązani są do ochrony tajemnic prawnie chronionych, co potwierdzają własnoręcznym podpisem złożonym w chwili przyjęcia do pracy lub niezwłocznie po wdrożeniu Polityki/ Regulaminu/ Procedury, w przypadku pracowników już zatrudnionych.
Pracownicy Spółki, którzy powinni mieć dostęp do danych wrażliwych (np. danych osobowych) są dopuszczani do nich na zasadach określonych w odpowiednich przepisach.
Środki i metody ochrony materialnych i technicznych zasobów Spółki są używane stosownie do zagrożeń i potrzeb, a w przypadku zasobów informacyjnych dodatkowo odpowiednio do:
-
medium, na którym są zapisywane,
-
systemów informatycznych, które je przetwarzają,
-
metod jakimi są przesyłane, tj. poczta elektroniczna, inne formy transmisji danych itd.
Ochrona informacyjnych, materialnych i technicznych zasobów Spółki opiera się na restrykcyjnej kontroli dostępu do niej.
W odniesieniu do informacji prawnie chronionych w Spółkce obowiązuje:
-
Zasada uprawnień koniecznych, zwana również zasadą wiedzy uzasadnionej, w której każdy użytkownik systemu informatycznego posiada prawa ograniczone wyłącznie do zasobów, które są konieczne do wykonywania legalnych zadań. Zasada ta opera się na domniemanej odmowie udzielenia dostępu do danych i usług systemu informatycznego, jeśli udzielony dostęp mógłby naruszyć bezpieczeństwo zasobów Spółki prawnie chronionych oraz informacji istotnych z punktu widzenia działalności Spółki.
-
Zasada rozdziału kompetencji, w której funkcje i zadania w obszarze krytycznych usług systemu informatycznego realizują inne zespoły ludzkie niż w obszarze kontroli przestrzegania postanowień Polityki/ Regulaminu/ Procedury i dokumentów z niego wynikających.
-
Zasada indywidualnej odpowiedzialności, w którejza utrzymanie właściwego poziomu bezpieczeństwa i użytkowania systemu informatycznego Spółki odpowiadają, zgodnie z zakresem swoich obowiązków i uprawnień, konkretne osoby, które mają świadomość tej odpowiedzialności.
-
Zasada uzasadnionej obecności, w której prawo przebywania w określonych pomieszczeniach Spółki mają wyłącznie osoby, które są do tego upoważnione.
-
Zasada zdrowego rozsądku, w której nie ma systemów absolutnie bezpiecznych, dlatego zabezpieczenie wszystkiego i wszędzie nie jest działaniem racjonalnym, a co więcej może w efekcie sparaliżować funkcjonowanie Spółki.
-
Zasada stałej gotowości, w której w sposób ciągły, odpowiednio do warunków realizacji procesów biznesowych w Spółki, utrzymuje się aktualny system bezpieczeństwa dla użytkowanych systemów informatycznych.
-
Zasada naturalnego styku z użytkownikiem, w której procedury zapewniające bezpieczeństwo użytkowania systemu informatycznego Spółki, niezależnie od ich natury, nie powinny prowadzić do drastycznego utrudnienia realizacji legalnych zadań.
-
Zasada najsłabszego ogniwa, w której w pracach nad doskonaleniem systemu bezpieczeństwa systemu informatycznego Spółki trzeba mieć świadomość, że jakość jego bezpieczeństwa wyznacza najsłabszy jego element.
-
Zasada ochrony niezbędnej, w której minimalny poziom ochrony zasobów Spółki wynika z obowiązujących aktów prawnych powstałych poza Spółką, lecz obowiązujących w Spółki
Wszyscy pracownicy Spółki oraz inne osoby upoważnione do dostępu do systemu informatycznego Spółki są okresowo szkoleni przez upoważnioną osobę.
Poziomy uprawnień do poszczególnych elementów systemu informatycznego są zdefiniowane i udokumentowane przez osobę upoważnioną.
Systemy zabezpieczeń są regularnie kontrolowane przez osobę upoważnioną.
Absolutnie ww. zagadnienia nie wyczerpują tematu, są jedynie wybranymi środkami ochrony, które powinny zostać wdrożone.
W miarę wolnego czasu będę publikował więcej tego typu materiałów, które będzie można znaleźć w kategorii Bezpieczeństwo lub innej z tego samego obszaru.
Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.