Polityka bezpieczeństwa

Ryzyko uzyskania nieautoryzowanego dostępu do informacji i możliwość wycieku na zewnątrz cennych danych wymusza na firmach opracowanie kompleksowego systemu bezpieczeństwa. Tylko stworzenie spójnego, kompleksowego systemu ochrony gwarantuje firmie poczucie, że jej dane są zabezpieczone w sposób prawidłowy.

Podstawą każdego systemu bezpieczeństwa jest dokument opisujący cele i zasady bezpieczeństwa informacji. Dokument ten zwany polityką bezpieczeństwa opisuje sposób klasyfikacji informacji, zasady i procedury dostępu do środowiska przetwarzania danych oraz metody zarządzania infrastrukturą bezpieczeństwa.

Polityka powinna zawierać wskazanie możliwych sposobów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).

Polityka bezpieczeństwa pozwala chronić informacje zgodnie z wymogami obowiązującego prawa.

Metodologia

Podczas tworzenia polityki bezpieczeństwa zespół specjalistów pracuje według norm organizacji ISACA oraz zaleceń normy ISO/IEC 27002. Obydwa źródła uznawane są za podstawowe dokumenty dotyczące opracowywania i implementacji polityki bezpieczeństwa.

Proces tworzenia polityki bezpieczeństwa przebiega w następujących etapach:

  • analiza wymagań oraz działalności prowadzonej przez klienta
  • stworzenie profilu klienta oraz harmonogramu prac
  • definicja polityki bezpieczeństwa
  • wdrożenie
  • szkolenia dla personelu oraz kadry zarządzającej
  • cykliczne przeglądy i uaktualnienia

Analiza

Pierwszym krokiem podczas tworzenia polityki bezpieczeństwa jest szczegółowa analiza działalności firmy. Analizie poddawane są  następujące obszary działalności klienta:

  • środowisko przetwarzania informacji
  • procesy biznesowe
  • schemat organizacyjny
  • dostęp do systemów IT oraz danych i informacji
  • nadzór nad zmianami
  • stosowane zabezpieczenia
  • poziom ryzyka i zagrożenia
  • aspekty prawne
  • ochrona fizyczna

Po zakończeniu analizy i stworzeniu profilu klienta, zespół przystępuje do prac nad treścią dokumentu. w wyniku której zostanie opracowana polityka bezpieczeństwa ściśle dostosowana do profilu działania klienta, zgodna z prawem, zaleceniami bezpieczeństwa i normami obowiązującymi w danym kraju. Następnym etapem jest jej wdrożenie oraz przeprowadzenie szkoleń dla pracowników i kadry zarządzającej.

Etap ostatni - cykliczne przeglądy i uaktualnienia realizowane są przez zespół powołany wśród pracowników firmy, dla której polityka została stworzona.