Polityka bezpieczeństwa informacji (PBI) – zbiór spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł, procedur i zasad, według których dana organizacja zarządza i udostępnia swoje zasoby informacji.
Istota PBI
Podstawą opracowania polityki bezpieczeństwa informacji dla danej organizacji jest zdefiniowanie rozumienia polityki bezpieczeństwa informacji z punktu widzenia priorytetowych interesów tej organizacji.
W tej definicji istotne jest określenie, jakie zasoby informacyjne oraz jakie aktywa powinny podlegać ochronie i jakie mają one znaczenie dla organizacji. Innymi bowiem zabezpieczeniami objęte zostaną zasoby, których utrata spowodować może krótkotrwałe zakłócenia w pracy organizacji, a innymi te, których utrata spowoduje utratę ciągłości biznesowej i załamanie się głównych procesów biznesowych lub odpowiedzialność karną.
PBI organizacji powinna zawierać ogólne zasady wytwarzania, przechowywania, przetwarzania i przesyłania informacji w kontekście zapewnienia jej bezpieczeństwa oraz organizację i zasady sprawnego zarządzania tym procesem.
Podstawą prawną opracowania PBI są obowiązujące ustawy oraz rozporządzenia dotyczące m.in.:
* ochrony informacji niejawnych,
* podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych,
* krajowego systemu cyberbezpieczeństwa,
* Krajowych Ram Interoperacyjności,
* ochrony danych osobowych,
* ochrony praw autorskich,
* normy ISO 27001,
* standardów krajowych i unijnych.
Funkcje PBI
Polityka bezpieczeństwa informacji spełnia trzy podstawowe funkcje:
* informacyjną: dostarcza pracownikom organizacji komunikat, że jej władze przykładają wagę do kwestii bezpieczeństwa, co przekłada się na podniesienie ogólnego poziomu świadomości i skłania do odpowiedzialnego postępowania,
* prewencyjną: chroni organizację przed zagrożeniami wynikającymi z celowych działań intruzów, jak i przypadkowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników oraz partnerów biznesowych i klientów niecelowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników,
* dostosowawczą: zapewnia zgodność z przepisami prawa lub standardami, których celem jest ochrona informacji i infrastruktury służącej do ich przetwarzania.
Opracowanie PBI
Polityka bezpieczeństwa informacji powinna odnosić się do wszystkich:
* informacji, które zostały sklasyfikowane jako wartościowe i wymagające ochrony,
* członków organizacji mających dostęp do tych informacji,
* systemów przetwarzających chronione informacje,
* miejsc, w których przetwarza się wspomniane informacje,
* partnerów biznesowych mających dostęp do chronionych informacji,
* klientów i sytuacje, gdy mają oni dostęp do informacji i przetwarzających je systemów, które podlegają ochronie.
Celem działań w zakresie ochrony i zapewnienia bezpieczeństwa informacji w danej instytucji jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:
* zagwarantuje zachowanie poufności informacji chronionych,
* zapewni integralność informacji chronionych i jawnych oraz dostępność do nich,
* zagwarantuje wymagany poziom bezpieczeństwa przetwarzanych informacji,
* maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji,
* zapewni poprawne i bezpieczne funkcjonowanie systemów przetwarzania informacji,
* zapewni gotowość do podejmowania działań w sytuacjach kryzysowych.
PBI powinna uwzględniać i być dopasowana do:
* specyfiki funkcjonowania organizacji,
* procesów zachodzących w tej organizacji,
* charakteru organizacji oraz,
* struktury organizacyjnej.
W trakcie opracowywania PBI należy mieć na uwadze fakt, czy dana organizacja będzie w stanie ponieść koszty finansowe i organizacyjne wynikające z wdrożenia tej polityki w życie. Podwyższanie poziomu bezpieczeństwa zazwyczaj odbywa się kosztem wygody, produktywności i efektywności działania. Konieczne jest zapewnienie warunków przestrzegania i respektowania zasad PBI.
Struktura dokumentu PBI
W dokumentach normatywnych związanych z zagadnieniem polityki bezpieczeństwa informacji nie wskazano konkretnego układu, czy też konkretnych treści, które polityka bezpieczeństwa informacji instytucji ma zawierać. W obowiązującej normie krajowej przedstawiono jedynie minimum zawartości dokumentu, zgodnie z którym PBI musi zawierać:
* definicję bezpieczeństwa informacji, jego cele i zakres oraz znaczenie bezpieczeństwa informacji jako mechanizmu współużytkowania informacji,
* oświadczenie o intencji kierownictwa instytucji, potwierdzające cele i zasady bezpieczeństwa informacji w instytucji,
* krótkie wyjaśnienie PBI, zasad, standardów i wymagań dotyczących zgodności, mających szczególne znaczenie dla instytucji,
* definicje ogólnych i szczegółowych obowiązków w zakresie zarządzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa,
* odsyłacze do dokumentacji, stanowiące uzupełnienie PBI.
Dokument PBI powinien być kompletny i w pełni zrozumiały oraz dostępny dla każdego pracownika danej instytucji oraz osób korzystających z jej informatycznych zasobów. Zapis ten powinien również dotyczyć partnerów biznesowych, jeśli również partycypują w korzystaniu z zasobów informatycznych tej instytucji.
Dokument PBI nie może być ona dokumentem zamkniętym, gdyż powinien być ciągle uaktualniany, modyfikowany i dostosowywany do zmieniających się potrzeb danej organizacji.
Dokument PBI stanowi podłoże do tworzenia innych dokumentów, zawierających specyficzne i szczegółowe wymagania dla konkretnych grup informacji, a także określających warunki, jakie muszą spełniać systemy informatyczne i papierowe je przetwarzające, z uwzględnieniem aspektów prawnych ochrony informacji i systemów informatycznych.
Korzyści z wdrożenia PBI
Pierwszą kategorią korzyści płynących z wdrożenia w organizacji polityki bezpieczeństwa informacji jest:
* minimalizacja strat z powodu naruszenia bezpieczeństwa przetwarzanych informacji,
* minimalizacja ryzyka wystąpienia zdarzeń związanych z naruszeniem bezpieczeństwa informacji,
* minimalizacja ryzyka naruszenia ochrony danych osobowych, w tym kar wynikających z przepisów RODO,
* przygotowanie organizacji na potencjalne wystąpienie incydentów związanych z bezpieczeństwem informacji,
* opracowanie scenariuszy działań na wypadek naruszeń bezpieczeństwa
Drugą kategorią korzyści jest:
* podniesienie wiarygodności organizacji w oczach klientów, inwestorów i udziałowców,
* zwiększenie przewagi konkurencyjnej na rynku poprzez kreowanie pozytywnego wizerunku jako firmy dbającej o ochronę praw i interesów partnerów biznesowych i klientów.
Przypisy
Kategoria:Informacja
Kategoria:Bezpieczeństwo
