Można mieć wdrożone przeróżne zabezpieczenia techniczne w Firmie, jednak bez świadomości zagrożeń nie zbuduje się bezpieczeństwa organizacji.
Nawet najbardziej zaawansowane rozwiązania technologiczne nie pozwalają uszczelnić na tyle systemu bezpieczeństwa, w którym ludzie nie musieliby przestrzegać podstawowych zasad i procedur w zakresie użytkowania systemów teleinformatycznych. Wynika to między innymi z tego, że najczęściej użytkownicy nie posiadają wystarczającej wiedzy technicznej, aby rozumieć zagrożenia i aktywnie się przed nimi bronić, czy też nie popełniać podstawowych błędów. Jedynym z wielu sposobów na zbudowanie efektywnej polityki bezpieczeństwa są regularne szkolenia uświadamiające zagrożenia, a także wdrażanie przejrzystych zasad m.in. w zakresie użytkowania systemów teleinformatycznych, z którymi powinien zostać zaznajomiony każdy pracownik i współpracownik, aby również od strony formalnej czuł się odpowiedzialny za cały system.
Poniżej przedstawiono propozycję gotowych do wdrożenia w Firmie „Podstawowych zasad bezpieczeństwa w zakresie użytkowania systemów teleinformatycznych”, które mogą zostać, w miarę potrzeb rozbudowane, czy też zmodyfikowane.
Określone poniżej podstawowe Zasady, mają zapewnić optymalne środki organizacyjne i prawne, uwzględniające rozwój i zmienność działalności Firmy, gwarantujące skuteczną i efektywną realizację zadań statutowych, m.in. poprzez określenie praw i obowiązków użytkowników w obszarze eksploatowanych systemów teleinformatycznych, w tym poczty elektronicznej.
- Wszyscy pracownicy i współpracownicy Firmy, którzy są użytkownikami systemów teleinformatycznych eksploatowanych przez Firmę bądź należą do personelu informatyczno-technicznego, stosownie do swoich obowiązków i stanowiska, są odpowiedzialni za realizację opisanych w niniejszym dokumencie Zasad. Zarząd Firmy lub osoba przez niego upoważniona może zlecać szczególne zadania w zakresie realizacji podstawowych zasad bezpieczeństwa podmiotom zewnętrznym.
- Podjęcie współpracy z podmiotami zewnętrznymi, w tym z uprawnionymi organami administracji rządowej oraz z innymi podmiotami prawa handlowego, jeśli wymagają tego przepisy prawa lub jest to w interesie Firmy, odbywa się na zasadach określonych przez Zarząd Firmy.
- Z treścią Zasad zapoznawani są wszyscy ci pracownicy i współpracownicy Firmy, którzy z racji wykonywanych funkcji mają dostęp do systemów teleinformatycznych eksploatowanych przez Firmę.
- Niniejszy dokument lub jego wyciąg może być przedstawiany innym instytucjom zewnętrznym w przypadkach wymiany informacji prawnie chronionych oraz w celu prezentacji obowiązujących zasad użytkowania systemów teleinformatycznych Firmy, przy czym zakres Zasad, jaki ma być udostępniony danej instytucji zewnętrznej, w każdym przypadku określa Zarząd Firmy lub osoba przez niego upoważniona.
- W przypadku stanu wyższej konieczności dopuszcza się pominięcie Zasad zdefiniowanych w niniejszym dokumencie.
- Zasady zdefiniowane w tym dokumencie stosuje się wyłącznie do zasobów teleinformatycznych eksploatowanych przez Firmę.
- Niniejsze Zasady w celu zachowania ciągłej przydatności, adekwatności i skuteczności, a także dostosowania jej do aktualnych ryzyk są, w zaplanowanych odstępach czasu nie mniejszych niż co sześć miesięcy, w zależności od zmian środowiska organizacyjnego, warunków biznesowych, prawnych lub środowiska technicznego Firmy, w tym zidentyfikowanych nowych zagrożeń i wystąpienia znaczących zmian, przeglądane i aktualizowane przez osobę wskazaną przez Zarząd Firmy.
- Decyzję o przyjęciu Zasad po ich zaktualizowaniu podejmuje Zarząd Firmy.
- Pracownicy i współpracownicy Firmy zapoznają się z niniejszymi Zasadami i z każdą nową wersją przyjętą przez Zarząd Firmy, a fakt zapoznania się, zrozumienia i przyjęcia do realizacji zasad sformułowanych w niniejszym dokumencie potwierdzają na piśmie.
- Wszyscy pracownicy i współpracownicy Firmy zobowiązani są do ochrony tajemnic prawnie chronionych, co potwierdzają własnoręcznym podpisem złożonym w chwili przyjęcia do pracy lub podjęcia współpracy, lub niezwłocznie po wdrożeniu niniejszych Zasad, w przypadku pracowników już zatrudnionych, czy też współpracowników już zaangażowanych w realizację zadań Firmy.
- Pracownicy i współpracownicy Firmy, którzy powinni mieć dostęp do danych wrażliwych (np. danych osobowych) są dopuszczani do nich na zasadach określonych w odpowiednich przepisach prawa.
- Ochrona informacyjnych, materialnych i technicznych zasobów Firmy opiera się na restrykcyjnej kontroli dostępu do nich.
- W odniesieniu do informacji prawnie chronionych w Firmie obowiązuje:
- Zasada uprawnień koniecznych, zwana również zasadą wiedzy uzasadnionej, w której każdy użytkownik systemu teleinformatycznego posiada prawa ograniczone wyłącznie do zasobów, które są konieczne do wykonywania legalnych zadań. Zasada ta opiera się na domniemanej odmowie udzielenia dostępu do danych i usług systemu teleinformatycznego, jeśli udzielony dostęp mógłby naruszyć bezpieczeństwo zasobów Firmy prawnie chronionych oraz informacji istotnych z punktu widzenia jej działalności.
- Zasada rozdziału kompetencji, w której funkcje i zadania w obszarze krytycznych usług systemu teleinformatycznego realizują inne zespoły ludzkie niż w obszarze kontroli przestrzegania niniejszych postanowień i dokumentów z nich wynikających.
- Zasada indywidualnej odpowiedzialności, w której za utrzymanie właściwego poziomu bezpieczeństwa i użytkowania systemu teleinformatycznego Firmy odpowiadają, zgodnie z zakresem swoich obowiązków i uprawnień, konkretne osoby, które mają świadomość tej odpowiedzialności. Zasada ta nie zwalnia pozostałych pracowników z odpowiedzialności i dbałości o bezpieczeństwo.
- Zasada uzasadnionej obecności, w której prawo przebywania w określonych pomieszczeniach Firmy mają wyłącznie osoby, które są do tego upoważnione.
- Zasada zdrowego rozsądku, w której nie ma systemów absolutnie bezpiecznych, dlatego zabezpieczenie wszystkiego i wszędzie nie jest działaniem racjonalnym, a co więcej może w efekcie sparaliżować funkcjonowanie Firmy.
- Zasada stałej gotowości, w której w sposób ciągły, odpowiednio do warunków realizacji procesów biznesowych w Firmie, utrzymuje się aktualny system bezpieczeństwa dla użytkowanych systemów teleinformatycznych.
- Zasada naturalnego styku z użytkownikiem, w której procedury zapewniające bezpieczeństwo użytkowania systemu teleinformatycznego Firmy, niezależnie od ich natury, nie powinny prowadzić do drastycznego utrudnienia realizacji legalnych zadań.
- Zasada najsłabszego ogniwa, w której w pracach nad doskonaleniem systemu bezpieczeństwa teleinformatycznego Firmy trzeba mieć świadomość, że jakość jego bezpieczeństwa wyznacza najsłabszy jego element.
- Zasada ochrony niezbędnej, w której minimalny poziom ochrony zasobów Firmy wynika z obowiązujących aktów prawnych powstałych poza Firmą, lecz obowiązujących w Firmie.
- Dostęp użytkowników do systemów teleinformatycznych Firmy jest możliwy po uzyskaniu formalnych uprawnień od Zarządu Firmy lub osoby przez niego upoważnionej.
- Przetwarzanie danych w systemach teleinformatycznych Firmy jest dozwolone pod warunkiem zapewnienia ochrony przed ujawnieniem, utratą i nieuprawnioną modyfikacją ze strony osób nieuprawnionych.
- Każdego pracownika i współpracownika Firmy obowiązuje bezwzględny przymus alarmowania o zagrożeniach i zdarzeniach związanych z bezpieczeństwem systemów teleinformatycznych Firmy.
- Każdego pracownika i współpracownika Firmy obowiązuje bezwzględny przymus alarmowania o zaobserwowanych lub podejrzewanych słabościach bezpieczeństwa systemów teleinformatycznych Firmy.
- Odpowiedzialność za bezpieczeństwo systemów teleinformatycznych spoczywa na każdym pracowniku i współpracowniku Firmy, odpowiednio do posiadanych kompetencji i nadanych uprawnień.
- W stosunku do dokumentów i elektronicznych nośników informacji, w celu zredukowania możliwości nieuprawnionego dostępu, utraty bądź uszkodzenia informacji poza normalnymi godzinami pracy, stosuje się jasne zasady „polityki biurkowej”.
- Dokumenty oraz techniczne nośniki informacji są przechowywane w szafach, gdy nie są wykorzystywane – zwłaszcza poza normalnymi godzinami pracy.
- Dokumenty oraz elektroniczne nośniki informacji zawierające szczególnie istotne dla Firmy dane i informacje są przechowywane w ognioodpornej szafie, gdy nie są potrzebne, a zwłaszcza gdy biuro jest puste.
- Komputery (również osobiste) i terminale komputerowe są zabezpieczone blokadą (klucz), hasłami i innymi dostępnymi zabezpieczeniami, gdy nie są wykorzystywane.
- Urządzenia, dane i oprogramowanie nie są wynoszone na zewnątrz przez pracowników i współpracowników bez udokumentowanej zgody Zarządu Firmy lub osoby przez niego upoważnionej.
- Użytkownicy mają świadomość swej odpowiedzialności za wdrożenie efektywnej kontroli dostępu do systemów teleinformatycznych, szczególnie w zakresie korzystania z haseł i zapewnienia bezpieczeństwa wykorzystywanego sprzętu i oprogramowania, w tym smartfonów.
- Użytkownicy systemów teleinformatycznych Firmy stosują następujące zasady:
- Kończą aktywną sesję na koniec pracy, w tym wyłączają komputer.
- Nie używają żadnego sprzętu komputerowego i urządzeń peryferyjnych bez pozwolenia.
- Nie próbują sięgać do informacji, do której nie są uprawnieni. W razie wątpliwości - pytają.
- Nie zmieniają żadnych informacji w systemie, chyba, że wiedzą, że są uprawnieni.
- Nie używają komputera do swoich prywatnych celów.
- Nie zostawiają komputera, na którym pracują „bez opieki”; po wykonaniu zadania - wylogowują się. Wylogowują się także, kiedy wzywa ich przełożony.
- Wiedzą, co zrobić w przypadku wykrycia wirusa w systemie lub innych nieprawidłowości w funkcjonowaniu systemu teleinformatycznego, a jeśli coś nie jest jasne - każą się przeszkolić.
- Pamiętają, że ich hasła oraz identyfikatory są to informacje wrażliwe. Nikomu ich nie ujawniają. Nie zapisują ich - nawet w postaci zakamuflowanej. Wybierają silne, niebanalne hasła. Nie pozwalają nikomu korzystać ze swojego hasła, nawet pod swoim nadzorem - jeśli ktokolwiek potrzebuje dostępu do systemu niech uda się do Administratora Systemu (osoba wyznaczona przez Zarząd Firmy).
- Sami nie używają nie swojego hasła lub innego urządzenia przeznaczonego do identyfikacji użytkownika.
- Pamiętają, że w systemie funkcjonuje ograniczenie czasu i terminali na konta logowania.
- Wiedzą, że każde zablokowanie ich konta muszą niezwłocznie zgłosić i wyjaśnić na piśmie.
- Pamiętają, że każdy chroniony przedmiot ma właściciela – i że są odpowiedzialni za bezpieczeństwo informacyjne na swoim stanowisku pracy.
- Pamiętają, aby Administrator Systemu zablokował Twoje konto na czas Twojej nieobecności (np. urlopu, wyjazdu służbowego).
- Stosują zasady BHP i ppoż, ponieważ zdają sobie sprawę, że system może ulec zniszczeniu także w wyniku pożaru czy zalania.
- Przechowują nośniki informacji w bezpiecznym miejscu.
- Uważają na wydruki - są równie cenne jak dane na nośnikach. Przechowują je w bezpiecznym miejscu i usuwają wyłącznie przy pomocy niszczarki.
- Nie używają oprogramowania niedopuszczonego do użytku przez Zarząd Firmy lub osobę przez niego upoważnioną.
- Wszystkie problemy z funkcjonowaniem systemu komputerowego zgłaszają niezwłocznie Administratorowi Systemu. Nie rozwiązują problemów z funkcjonowaniem systemu na własną rękę. Nie zmieniają samodzielnie jakiejkolwiek konfiguracji systemu - nic nie instalują i niczego nie usuwają.
- Pamiętają, że są odpowiedzialni za każdą operację w systemie wykonaną przy użyciu ich identyfikatora i hasła. Wiedzą, że za wszystkie nieprawidłowości mogą zostać pociągnięci do odpowiedzialności zarówno cywilnej, jak i karnej.
- Administrator Systemu, co najmniej raz na pół roku, dokonuje sprawdzenia, czy są przestrzegane przez użytkowników zasady, o których mowa w niniejszym dokumencie.
- Każdy użytkownik jest zobowiązany przestrzegać praw w zakresie wykorzystywania kopii licencjonowanego oprogramowania i w pełni odpowiada za zainstalowane oprogramowanie na komputerze/ laptopie/ smartfonie wykorzystywanym do realizowania zadań Firmy.
- Kopiowanie prawnie zastrzeżonego oprogramowania lub oprogramowania opracowanego dla Firmy dla jakichkolwiek celów, nie posiadających autoryzacji, jest zabronione.
- Korzystanie z programów pozwalających na obejście środków bezpieczeństwa, w tym kontroli systemu i aplikacji jest zabronione.
- Cały sprzęt komputerowy i peryferyjny Firmy, w tym smartfony może być wykorzystywany wyłącznie dla celów statutowych Firmy.
- Każdy pracownik i współpracownik Firmy ma bezwzględny obowiązek zmiany hasła gdy zachodzi podejrzenie, że mogło zostać ujawnione.
Przeczytaj również: Prawo do kopiowania oprogramowania, Podstawowe wymagania w zakresie ochrony, Kontrola dostępu do zasobów, Kontrola dostępu do systemu z sieci, Polityka haseł, Wytyczne dla Użytkownika Systemu Informatycznego
Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.