facebook

System ochrony informacji własnych przedsiębiorstwa Drukuj

Jak powinien funkcjonować system ochrony informacji własnych przedsiębiorstwa?

Wprowadzenie
Zwiń

Globalna konkurencja w działalności gospodarczej powoduje konieczność wdrażania systemowych rozwiązań, które mają przeciwdziałać ujawnianiu istotnych informacji o działaniach strategicznych i operacyjnych firmy. Obecnie ze względu na złożoność i różnorodność występujących w przedsiębiorstwie informacji, najefektywniejszym sposobem wydaje się wprowadzenie całościowego systemu zarządzania i zabezpieczania informacji, który obejmowałby cały zakres działalności przedsiębiorstwa. Kompleksowy system zarządzania bezpieczeństwem informacji wymusza ochronę i kontrolę informacji wychodzących na zewnątrz do kooperantów i kontrahentów, informacji wchodzących do przedsiębiorstwa, a także informacji funkcjonujących w wewnętrznym obiegu firmy. Dlatego też, każde przedsiębiorstwo funkcjonujące w obrocie gospodarczym powinno ustalić i sklasyfikować, jakie informacje są ważne, a jakie nie – nadając im odpowiedni status (jawne, niejawne, tajemnica przedsiębiorstwa).

W przedsiębiorstwach przetwarzane są różne rodzaje informacji, jedne są chronione ze względu na interes firmy, inne ze względu na wymogi przepisów prawa, pozostałe zaś muszą być ujawniane. Obligatoryjną ochroną musi być objęty obieg informacji niejawnych (ustawa o ochronie informacji niejawnych), a także przetwarzanie danych osobowych (ustawa o ochronie danych osobowych), natomiast fakultatywną ochroną mogą być objęte informacje stanowiące tajemnice przedsiębiorstwa. Kluczową sprawą jest tutaj ochrona tzw. tajemnicy przedsiębiorstwa, która jest zdefiniowana w art. 11 ust. 4 Ustawy z 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji (Dz. U. 2003 Nr 153 poz. 1503):

„Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co, do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”.

(Źródło: http://isap.sejm.gov.pl/DetailsServlet?id=WDU20031531503)

Wprowadzenie polityki bezpieczeństwa informacji w przedsiębiorstwie pomaga ochronić zarówno interesy przedsiębiorcy, jak również wypełnić obowiązki ochrony informacji wynikające z przepisów prawa. Ponadto zabezpiecza przed konsekwencjami prawnymi oraz umożliwia w sytuacji naruszenia zasad ich ochrony podjąć działania prawne (cywilne, karne, czy też dyscyplinarne).

Przedsiębiorca dbający o bezpieczeństwo informacji własnych, staje się wiarygodnym i dającym rękojmię zaufania partnerem na konkurencyjnym rynku.

Ponadto przedsiębiorca, który wdrożył systemu bezpieczeństwem informacji, oraz dodatkowo uzupełnił ten system mechanizmem pozyskiwania informacji dla przedsiębiorstwa, ma możliwość przejęcia kontroli nad rynkiem lub jej częścią oraz uzyskuje istotną przewagę rynkową.

Definicje
Rozwiń
Schemat postępowania
Zwiń

Krok 1. Zapotrzebowanie przedsiębiorcy na opracowanie i wdrożenie polityki bezpieczeństwa informacji własnych.

W każdym przedsiębiorstwie działa formalny lub nieformalny system bezpieczeństwa i ochrony informacji – ten nieformalny posiada wiele wad i jest nie skuteczny. Przedsiębiorca, który w ramach prowadzonej działalności gospodarczej zamierza realizować lub realizuje umowy związane z dostępem do informacji niejawnych, danych osobowych jest zobligowany zgodnie z obowiązującymi przepisami do wdrożenia bezpiecznego systemu zarządzania informacją, natomiast wdrożenie systemu bezpieczeństwa informacji własnych przedsiębiorstwa jest fakultatywne. Zapotrzebowanie na wdrożenie polityki bezpieczeństwa informacji własnych przedsiębiorstwa, jest efektem należytej dbałości o bezpieczeństwo posiadanych zasobów informacyjnych, a także obawą o powstanie realnych strat w przypadku ich ujawnienia osobom do tego nieuprawnionym. Dość powszechne jest to, że polityka bezpieczeństwa informacji własnych przedsiębiorstwa jest następstwem zaistnienia zdarzenia związanego z bezpieczeństwem informacji (np. nieuprawnione ujawnienie informacji przedsiębiorstwa konkurencji), czy też przeprowadzonym audytem lub kontrolą. Z oczywistych względów najlepiej jest, kiedy to opracowanie i wdrożenie polityki bezpieczeństwa informacji własnych wynika ze świadomej decyzji kadry zarządzającej przedsiębiorstwem.

Krok 2. Decyzja kierownictwa przedsiębiorstwa

(powołanie zespołu do opracowania polityki bezpieczeństwa, powołanie pełnomocnika Zarządu ds. bezpieczeństwa informacji, doradztwo lub konsultacje z podmiotem zewnętrznym).

Decyzja o opracowaniu i wdrożeniu polityki bezpieczeństwa informacji własnych jest zadaniem kadry zarządzającej, natomiast stroną wykonawczą - opracowaniem i wdrożeniem, zajmuje się powołany do tego celu specjalny zespół. Dobór pracowników do zespołu powinien uwzględniać znajomość podstawowych elementów bezpieczeństwa przedsiębiorstwa, tj. bezpieczeństwa fizycznego, teleinformatycznego, osobowego, czy też prawnego. Pracownicy wchodzący w skład zespołu, powinni również systematycznie monitorować wszystkie wewnętrzne i zewnętrzne zagrożenia, które pośrednio lub bezpośrednio mogą wpływać na bezpieczeństwo zasobów informacyjnych firmy. Zespołem powinna kierować osoba z najwyższego szczebla zarządzania przedsiębiorstwem, która posiada uprawnienia do zarządzania pracownikami zespołu oraz do zatwierdzenia polityki bezpieczeństwa informacji własnych przedsiębiorstwa. W celu zwiększenia skuteczności nadzoru i kontroli oraz sprawności w zarządzaniu bezpieczeństwem informacji w przedsiębiorstwie – można powołać pełnomocnika zarządu ds. bezpieczeństwa informacji. W praktyce jest to osoba, która pełni funkcję pełnomocnika ds. ochrony informacji niejawnych – pełni nadzór w zakresie ochrony informacji niejawnych, czy też administratora bezpieczeństwa informacji – pełni nadzór w zakresie ochrony danych osobowych.

Krok 3. Szkolenie pracowników przedsiębiorstwa.

Szkolenie pracowników w zakresie wdrażanego systemu bezpieczeństwa informacji jest jednym z najważniejszych jego elementów, bowiem jeżeli pracownicy nie będą przestrzegać zasad i reguł systemu oraz nie będą aktywnie w nim uczestniczyć – po prostu system nie będzie działał. Szkolenie dla pracowników i kadry zarządzającej na początkowym etapie wdrażania systemu bezpieczeństwa informacji własnych ma za zadanie wskazać „inne zagrożenia”; zdiagnozować dodatkowe „obszary wrażliwe”; zidentyfikować „pozostałe” zasoby informacyjne, które wymagają ochrony oraz dostarczyć niezbędna widzę i podnieść świadomość całego personelu firmy. Przedmiotowe szkolenie powinno dotyczyć następujących zagadnień – elementy prawne, definicja tajemnicy przedsiębiorstwa, system ochrony tajemnicy przedsiębiorstwa i jego elementy, podstawowe zagrożenia oraz informacje dot. szpiegostwa gospodarczego. Przeprowadzone szkolenie na tym etapie, powinno pozytywnie wpłynąć na skuteczność wdrażanych procedur w zakresie bezpieczeństwa informacji własnych w przedsiębiorstwie.

Krok 4. Proces opracowania polityki bezpieczeństwa informacji własnych przedsiębiorstwa.

Po dokonanej analizie zasobów informacyjnych w przedsiębiorstwie i utworzeniu jego wykazu (np. serwer z danymi o klientach, baza danych kadrowo-finansowa, czy też dokumenty w archiwum), należy określić poziom zabezpieczeń fizycznych, teleinformatycznych oraz osobowych. Przy opracowywaniu poszczególnych zabezpieczeń, należy również określić sposób i tryb dostępu do poszczególnych zasobów informacyjnych przez osoby uprawnione. Kolejnym krokiem będzie analiza ryzyka przetwarzanych informacji przeprowadzona poprzez audyt i testy bezpieczeństwa systemów, w których informacje są przetwarzane. Dzięki temu możliwe będzie zidentyfikowanie zagrożeń i potrzeb w zakresie bezpieczeństwa informacji oraz określenie tych elementów, w których ryzyko jest największe. Pozwoli to w trakcie dalszych prac na zaproponowanie zabezpieczeń chroniących najbardziej zagrożone procesy informacyjne. Na bazie wyników analizy ryzyka budowany system zabezpieczeń, musi być dostosowany do specyfiki przedsiębiorstwa, kategorii i wartości informacji, a także zaplanowanych na ten cel środków finansowych (adekwatnych/proporcjonalnych). Wszystkie wnioski i rekomendacje z przeprowadzonych czynności, muszą stanowić podstawę do opracowania zaleceń i procedur oraz jasno sprecyzowanych zadań, których celem jest zabezpieczenie przedsiębiorstwa przed nieuprawnionym ujawnieniem informacji. Dlatego też, dokument ten powinien zawierać zalecenia dotyczące nie tylko systemów informatycznych i ich zabezpieczenia, ale także kwestie wytwarzania i obiegu dokumentów (wewnątrz i na zewnątrz firmy), klasyfikację poziomów dostępu do informacji oraz zasady dostępu do pomieszczeń, w których te informacje są przetwarzane i przechowywane. Ponadto, dokument ten powinien być napisany w zrozumiały i prosty sposób, aby każda osoba zobowiązana do jego przestrzegania była w stanie zrozumieć i realizować jego założenia. Konieczne jest również, określenie osoby lub osób odpowiedzialnych za nadzorowanie wszystkich lub poszczególnych procedur/zasad, a także stałe nadzorowanie i monitorowanie skuteczności wprowadzonych rozwiązań.

Krok 5. Proces wdrażania polityki bezpieczeństwa informacji własnych przedsiębiorstwa.

Wdrożenie skutecznej polityki bezpieczeństwa informacji własnych przedsiębiorstwa wymaga całościowego spojrzenia na bezpieczeństwo przedsiębiorstwa. Bardzo ważnym elementem jest sam moment rozpoczęcia wdrażania polityki bezpieczeństwa informacji, bowiem prawie zawsze związany jest z nakładaniem na pracowników wielu dodatkowych zadań. Dlatego też, dobrym i skutecznym rozwiązaniem jest stopniowe wdrażanie polityki bezpieczeństwa informacji wraz ze stopniowym podnoszeniem świadomości pracowników w zakresie bezpieczeństwa fizycznego, teleinformatycznego i osobowego. W czasie wdrażania polityki bezpieczeństwa informacji należy wdrożyć wszystkie rodzaje zabezpieczeń w obszarze bezpieczeństwa osobowego (np. wprowadzić umowy o zachowaniu poufności i o tajemnicy przedsiębiorstwa, profesjonalną rekrutację pracowników, monitorowanie pracy poszczególnych pracowników, opracowanie umów i procedur dot. negocjacji z kontrahentami, itp.), teleinformatycznego (instalację właściwego sprzętu i dedykowanego oprogramowania, wprowadzić procedury wnoszenia i wynoszenia sprzętu służbowego/prywatnego, procedury instalowania oprogramowania systemowego/antywirusowego oraz użytkowego/kryptograficznego, procedury tworzenia kopii zapasowych, procedury naprawy/eksploatacji/wymiany/niszczenia sprzętu informatycznego, procedury nadawania i odbierania uprawnień dla użytkowników systemu, procedury postępowania w przypadku awarii/ataku/innego incydentu bezpieczeństwa), fizycznego (np. wprowadzić strefy ochronne) oraz inne (np. procedury wytwarzania, rejestrowania, niszczenia, oznaczania oraz archiwizacji dokumentów zawierających tajemnicę przedsiębiorstwa) . Kolejnym ważnym krokiem jest przeprowadzenie szkolenia dla pracowników firmy, którego głównym celem jest zapoznanie z opracowaną „Polityką bezpieczeństwa informacji własnych”, oraz wprowadzenie „kultury ochrony” informacji i „uruchomienia działania” systemu bezpieczeństwa. Ważne jest to, aby szkolenie udokumentować – listą obecności oraz pisemnym oświadczeniem (kopia dokumentów powinna zostać przekazana do akt personalnych). Ponadto istotnym elementem procesu wdrożenia polityki jest to, aby stanowiła ona jedną całość lub uzupełnienie innych polityk bezpieczeństwa, np. w obszarze ochrony danych osobowych (z polityką bezpieczeństwa oraz instrukcją zarządzania systemem informatycznym do przetwarzania danych osobowych), czy też ochrony informacji niejawnych (z planem ochrony, dokumentem szczegółowych wymagań bezpieczeństwa oraz procedurą bezpiecznej eksploatacji systemu teleinformatycznego). Na zakończenie procesu wdrażania, powołany zespół powinien opracować sprawozdanie kończące cały cykl opracowania i wdrażania polityki bezpieczeństwa informacji własnych przedsiębiorstwa.

Krok 6. Kontrolna i monitorowanie wdrożonego systemu ochrony informacji własnych w przedsiębiorstwie.

Niezwykle istotnym elementem zarządzania systemem bezpieczeństwa informacji jest systematyczna kontrola i monitorowanie skuteczności wprowadzonych procedur oraz zasad postępowania z informacją w firmie. Kontrole powinny być prowadzone od czasu rozpoczęcia prac wdrożeniowych, ich zakończenia, a także przez cały czas funkcjonowania/eksploatacji systemu bezpieczeństwa informacji własnych w przedsiębiorstwie. Ponadto, należy prowadzić stały monitoring wprowadzonych zabezpieczeń oraz procedur, pod kątem ich skuteczności na pojawiające się zagrożenia wewnętrze i zewnętrze, a także pod kątem ich skuteczności w zakresie egzekwowania odpowiedzialności od pracowników za wszelkie naruszenia - w sferze odpowiedzialności dyscyplinarnej, karnej, czy też cywilnej. Wszelkie odstępstwa, czy też naruszenia w zakresie bezpieczeństwa informacji powinny stanowić podstawę do modyfikowania lub uzupełnienia wprowadzonych zabezpieczeń (osobowych, fizycznych i teleinformatycznych) oraz procedur uregulowanych w „Polityce bezpieczeństwa informacji”. W celu sprawdzenia skuteczności wdrożonego systemu, warto rozważyć zlecenie podmiotowi zewnętrznemu przeprowadzenie kompleksowego audytu bezpieczeństwa informacji w przedsiębiorstwie.

Autor
Rozwiń
Załączniki
Rozwiń