Polityka Bezpieczeństwa – Czym Jest? Po Co I Czy Warto Ją Mieć?

Czym właściwie jest Polityka Bezpieczeństwa?

Pierwszym krokiem w obmyślaniu usług i mechanizmów bezpieczeństwa w naszym przedsiębiorstwie powinno być sformułowanie polityki bezpieczeństwa. Niestety spotkałem się z tym, że osoby zajmujące się bezpieczeństwem różnie rozumieją ten termin.

Pod pojęciem polityki bezpieczeństwa rozumieć powinniśmy najmniej nieformalny opis pożądanego zachowania systemu.

Natomiast normy z rodziny ISO27000 (pisałem o niej więcej tu) wskażą nam definicję bliską:

Polityka bezpieczeństwa – Zamierzenia i kierunek organizacji w zakresie zachowania dostępności, integralności i poufności informacji formalnie wyrażone przez jej najwyższe kierownictwo.

Natomiast najbardziej trafną definicją z jaką się spotkałem będzie:

Polityka bezpieczeństwa – Dokument określający metody, narzędzia, praktyki i zasady których należy używać i przestrzegać w celu zapewnienia bezpieczeństwa informacji danej organizacji.

Dodatkowo w polityce bezpieczeństwa określony jest sposób, w jaki organizacja powinna zarządzać wrażliwymi danymi, chronić je i przetwarzać.

Nazwa dokumentu polityki bezpieczeństwa nie musi posiadać nazwy zgodnej z ustawą (np. ochrona danych osobowych i informacji niejawnych, zgodność z Ustawą o Krajowym Systemie Cyberbezpieczeństwa lub KRI, wdrożenie SZBI wg norm ISO27001). Swoją treścią powinna obejmować niezbędne informacje. Polityka bezpieczeństwa nie stanowi dokumentu publicznie dostępnego. Jest ona dokumentem wewnętrznym.

Opracowanie polityki bezpieczeństwa i co powinna zawierać

Tworząc politykę bezpieczeństwa, należy pamiętać, że powinna ona być prosta i zrozumiała dla wszystkich użytkowników. Celem tej polityki powinna być ochrona danych przy jednoczesnym zachowaniu prywatności użytkowników. Polityka bezpieczeństwa powinna zawierać następujące zagadnienia:

• odpowiadać celowi istnienia organizacji;
• cele bezpieczeństwa informacji;
• zobowiązanie do spełniania wymagań dotyczących osiągnięcie celów bezpieczeństwa informacji;
• zobowiązanie do ciągłego doskonalenia;

Polityka bezpieczeństwa powinna być dostępna jako udokumentowana i zakomunikowana w organizacji informacja. Czyli kolokwialnie mówiąc każdy pracownik powinien wiedzieć, że istnieje oraz co się w niej znajduje.

Pojawić się może na tym etapie pytanie czym są cele bezpieczeństwa informacji? Najprościej mówiąc są sformalizowane i zaplanowane cele wchodzące w skład planu organizacji . Są one dokładniej opisane w 6.2 w ISO27001

Przykładowymi zagadnieniami opisanymi w polityce bezpieczeństwa dotyczącej bezpieczeństwa systemów znajdą się takie zagadnienia jak:

• dostępność systemu,
• uprawnienia do instalacji oprogramowania w systemie,
• uprawnienia dostępu do danych,
• przywracanie normalnego działania po awarii lub incydencie,
• uprawnienia użytkownika oraz usługi z których może korzystać,

Również powinna zwracać uwagę na aspekty „nietechniczne”, przykładowo:

• wykaz budynków oraz pomieszczeń gdzie będzie odbywał się proces przetwarzania danych osobowych;
• wykaz zbiorów danych a także wskazanie programów które biorą udział w procesie przetwarzania danych;
• informacje dotyczące przepływu danych pomiędzy systemami;
• opis środków organizacyjnych i technicznych które są gwarantem poufności, integralności i rozliczalności przetwarzanych danych;
• opis struktury zgromadzonych danych który wskazuje na powiązania między poszczególnymi polami informacyjnymi;

Wszystko, co nie jest dozwolone, powinno być wyraźnie określone w polityce bezpieczeństwa.

Jeśli polityka bezpieczeństwa ma być zgodna z wcześniej wymienioną normą ISO27001 to dodatkowo powinny się znaleźć informacje tj. definicja bezpieczeństwa informacji, definicje ogólnych obowiązków w zakresie zarządzania bezpieczeństwem informacji, podkreślenie intencji kierownictwa, itp.

Czym powinna się charakteryzować dobra polityka bezpieczeństwa?

Polityka bezpieczeństwa powinna być napisana i dostosowana do organizacji. Nie istnieją żadne uniwersalne szablony nadające się do używania „out of the box”. Nie istnieje jeden, dobry dla wszystkich wzór polityki bezpieczeństwa. Istnieje natomiast kilka ogólnych zasad, którymi należy się kierować podczas tworzenia własnej polityki bezpieczeństwa:

• Zwięzła forma – Opasłe polityki robią może wrażenie na osobach nie znających się na temacie bezpieczeństwa, ale z praktycznego punktu widzenia są bezużyteczne. Tworzenie polityki bezpieczeństwa, która zostanie podpisana przez wszystkich pracowników „na sztukę” chociaż jest zachowaniem zgodności w efekcie nie ma większego sensu. Po co nam dokument z którego nie korzystamy i nie przynosi on żadnej realnej wartości dla naszej organizacji. Po co nam polityka, z którą nikt tak naprawdę się nie zapoznał i nie ma ona realnej wartości i wpływu na pracowników?

• Modularność – Wynikową poprzedniej zasady jest taka budowa polityki która sprawi, że każda jej „część” będzie używana w tych działach gdzie ma ona swoje zastosowanie. Główna polityka bezpieczeństwa powinna być dokumentem publikowanym przez kierownictwo organizacji, w którym podkreśla się wagę przykładaną przez organizację do kwestii bezpieczeństwa i zobowiązuje wszystkich pracowników do bezwzględnego przestrzegania postanowień polityki. Powinny się znaleźć w niej odwołania do kolejnych dokumentów stanowiących bardziej szczegółowe zbiory zasad postępowania – np. polityki backupów itp. W głównej polityce bezpieczeństwa powinny zostać wskazane kolejne obszary bezpieczeństwa oraz osoby odpowiedzialne za ich definiowanie i przestrzeganie. Ułatwimy tym zapoznanie się z polityką poszczególnym pracownikom organizacji.

• Prosty język – Należy pamiętać, że z zapisami polityki bezpieczeństwa będą się zapoznawać WSZYSCY pracownicy. W związku z tym polityka powinna być napisana językiem prostym i zrozumiałym dla wszystkich bez względu na ich zasób słownictwa. Polecam zastosować tutaj zasadę KISS (Keep It Simle Stupid).

Podsumowanie

Polityka bezpieczeństwa powinna być podstawowym dokumentem w organizacji. Warto podejść do tworzenia i używania tego dokumentu odpowiedzialnie i poważnie. Zaowocuje to zmianami na poziomie organizacji i wśród pracowników. Oczywiście same stworzenie takiego dokumentu to nie wszystko. Poza pracą u podstaw wśród pracowników kolejnym krokiem koniecznym do wdrożenia skutecznej ochrony jest klasyfikacja informacji pod kątem jej krytyczności i ustanowienie oraz przypisanie wymaganych poziomów ochrony do poszczególnych zasobów informacyjnych. Na tym skupimy się wkrótce na łamach tego bloga.

Przykładowy szablon, który wspomoże Cię w stworzeniu polityki bezpieczeństwa pojawi się wkrótce bezpłatnie dla członków newslettera. Zachęcam do zapisu.