Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



31.08.2020

Konferencja PIKE 2020 „Nowy...

Polska Izba Komunikacji Elektronicznej wraz z Polską Fundacją Wspierania Rozwoju...
31.08.2020

Sprawna migracja

Oracle Cloud VMware Solution
31.08.2020

Aktywne cybergangi

Grupa Lazarus
31.08.2020

Coraz groźniej

Ransomware
31.08.2020

Analityka w chmurze

SAS Viya 4
31.08.2020

Fujitsu

Fujitsu zaprezentowało odświeżone portfolio biurowych komputerów stacjonarnych Esprimo...
31.08.2020

Monitory dla biura

EIZO FlexScan
27.08.2020

ABBYY FineReader Server –...

Obecna sytuacja na świecie spowodowała, że musieliśmy się odnaleźć w nowych realiach...
27.08.2020

E-commerce ratuje gospodarkę

W tym roku rodzimy handel elektroniczny odnotowuje najwyższy – od kilkunastu lat –...

Polityki bezpieczeństwa w dziale IT

Data publikacji: 06-07-2016 Autor: Piotr Wojciechowski

Żadna organizacja czy przedsiębiorstwo nie mogą funkcjonować bez jasno spisanych reguł działania, korzystania z zasobów czy postępowania w sytuacjach kryzysowych. Brak polityk i procedur zwiększa ryzyko popełnienia błędów przez pracowników, wycieku wrażliwych informacji oraz utrudnia nadzór i ochronę zasobów firmowych. Dlatego firmy wraz z rozwojem tworzą szereg dokumentów zwanych politykami bezpieczeństwa.

Pojęcie polityki bezpieczeństwa jest bardzo szerokie. W sieci znajdziemy wiele różnych definicji, które różnić będą się od siebie w zależności od tego, co autor uważał za główne zadanie opisywanych reguł. Dlatego zamiast pisać definicję, przyjrzyjmy się, po co polityki definiujemy, do czego je wykorzystamy i jakie przykładowe dokumenty powinien stworzyć dział IT, mimo że nie będą one opisywały jedynie aspektów technicznych korzystania z sieci czy systemów.

Pierwszym zadaniem stojącym przed nami jest określenie, w jaki sposób zostaną zapisane polityki bezpieczeństwa oraz ochronę jakich zasobów będą opisywać. Dokumenty wchodzące w ich skład muszą być zbiorem spójnych, precyzyjnych reguł i procedur opisujących procesy zarządzania zasobami, ich przechowywania, przetwarzania i udostępniania. Chronione zasoby muszą w nich być jednoznacznie zdefiniowane i w razie potrzeby opisane – jeżeli ochronie podlegają dane osobowe naszych klientów, należy szczegółowo określić takie aspekty jak: opis zbieranych informacji, mechanizmy wprowadzania, aktualizacji i ich odczytywania, techniczne sposoby przechowywania bazy, a także usuwania rekordów czy niszczenia kopii zapasowych. Dlatego też polityki bezpieczeństwa nie ograniczają się jedynie do sieci komputerowej czy szerzej pojętej infrastruktury IT, lecz obejmują swoim zasięgiem także aplikacje, fizyczny dostęp do nośników oraz proces nadzoru nad pracownikami mającymi dostęp do chronionych danych oraz procedury ich weryfikacji osobowej przed zatrudnieniem. Pamiętajmy, że obowiązujące polityki bezpieczeństwa nie mogą stać w sprzeczności z lokalnym prawem, nawet jeżeli ich spisanie nie jest podyktowane prawną koniecznością. Nie mogą na przykład narzucać osobom realizującym zapisy polityki działań niezgodnych z prawem lub mogących narazić je na odpowiedzialność cywilną lub karną.

> JAK STWORZYĆ POLITYKĘ BEZPIECZEŃSTWA

Tworzenie polityk bezpieczeństwa przypomina nieco pieczenie makowca. Wszyscy wiemy, jak on wygląda, znamy proces jego przygotowywania, wiemy, jakich składników użyć, a także wszyscy chcemy, by ciasto wyszło smaczne i nikt się nim nie zatruł. Każdy jednak dostosowuje sposób pieczenia do własnej kuchni i umiejętności, może też użyć składników różniących się jakością, odmianą czy pochodzeniem, inaczej formować ciasto i masę, w efekcie czego każdy makowiec jest nieco inny, choć oddaje specyfikę kuchni kucharza. Podobnie jest z politykami bezpieczeństwa – choć wiemy, z czego mają się składać, jakich komponentów użyć i jak je złożyć w całość, to finalne dokumenty odzwierciedlają charakter i strukturę firmy, chronionych zasobów czy wymagań biznesowych. Dlatego każda polityka bezpieczeństwa jest inna i dostosowana do specyficznych wymagań środowiska, w którym będzie wdrożona. Wszystkie jednak powinny zawierać kilka kluczowych komponentów i opierać się na tych samych podstawowych zasadach.

Pamiętajmy, że polityki bezpieczeństwa muszą odpowiednio definiować cele bezpieczeństwa przedsiębiorstwa i minimalizować ryzyko codziennego prowadzenia biznesu. W dokumentach muszą być jasno określone mechanizmy zabezpieczenia przedsiębiorstwa przed naruszeniami, wyłudzeniami, atakami osób trzecich czy procedury postępowania w razie incydentów. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"