Konieczność i obowiązek wdrożenia Polityki Bezpieczeństwa Informacji w organizacji

Maciej Byczkowski - Prezes Zarządu ENSI,
audytor bezpieczeństwa systemów informatycznych, współtwórca metodyki TISM.
Od ponad pięciu lat zajmuje się wdrażaniem Polityki Bezpieczeństwa Informacji w różnych organizacjach w Polsce.


Wstęp

 

Bezpieczeństwo informacji jest nie tylko normą i koniecznością, ale także obowiązkiem dla firm i organizacji w Polsce. Wymogi prawa nakładają na Zarządy organizacji obowiązek podjęcia szeregu działań o charakterze organizacyjnym i technicznym w zakresie ochrony przetwarzanych informacji.

Ochrona informacji jest tematem złożonym, a powodzenie jej realizacji zależy od umiejętnego zarządzania bezpieczeństwem poszczególnych rodzajów informacji, poziomu świadomości pracowników dopuszczonych do przetwarzania informacji oraz odpowiednio dobranych rozwiązań technicznych.
W organizacjach są przetwarzane różne rodzaje informacji, jedne są chronione ze względu na interes firmy, inne ze względu na wymogi przepisów prawa, pozostałe zaś są bądź muszą być ujawniane.
Niniejszy artykuł jest wprowadzeniem do tematyki opracowywania spójnej Polityki Bezpieczeństwa Informacji tak, aby różne grupy informacji przetwarzane w danej organizacji były chronione zgodnie z jej interesem oraz literą prawa.
Jest to pierwszy z cyklu artykułów, mających na celu przedstawienie metod efektywnego zarządzania bezpieczeństwem informacji w różnych organizacjach.

Jakie informacje firma musi chronić?


Najważniejsze dla organizacji, z punktu jej interesu, są oczywiście informacje stanowiące jej tajemnice, i to Zarząd musi je sam wskazać i pojąć działanie w celu ich ochrony. Inne informacje, których przetwarzanie w organizacji wynika z przepisów prawa, są wskazywane przez odpowiednie akty prawne i to z nich wynikają wymogi dla ochrony tych informacji.
Zatem konieczność wdrożenia polityki bezpieczeństwa informacji wynika z dwóch aspektów: biznesowego i prawnego.
Aspekt biznesowy to dbałość o interesy firmy, a przede wszystkim ochrona jej tajemnic. Kluczową sprawą jest tutaj ochrona tzw. tajemnicy przedsiębiorstwa, zdefiniowanej w Ustawie z 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji (Dz.U., Nr 47, poz.211, zwanej dalej uznik):

Art. 11 ust. 4 Ustawy o zwalczaniu nieuczciwej konkurencji
Przez Tajemnicę przedsiębiorstwa rozumie się: Nie ujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe lub organizacyjne przedsiębiorstwa, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.

Z powyższego zapisu wynika, że aby chronić tajemnice przedsiębiorstwa, trzeba je najpierw dokładnie określić, a następnie podjąć działanie w celu ich zabezpieczenia - czyli wdrożyć Politykę Bezpieczeństwa Informacji. Polityka to opracowanie zasad zarządzania, procedur i instrukcji ochrony informacji, wyznaczenie osób odpowiedzialnych za bezpieczeństwo tych informacji, szkolenia osób dopuszczonych do przetwarzania tych informacji, jak również zabezpieczenie systemów przetwarzania ww. informacji (papierowych czy informatycznych).
Czym może skutkować brak takich działań?
Mianowicie tym, że nie można będzie skorzystać z zapisów uznik w sytuacji, gdy tajemnice firmowe zostaną ujawnione lub wykorzystane w sposób zagrażający interesom firmy. Jeśli Zarząd firmy nie określi i nie poinformuje, które informację są ważne dla firmy i stanowią tajemnicę przedsiębiorstwa, osoby dopuszczone do nich nie wiedząc o tym fakcie, nie będą ich chronić. W rezultacie może dojść do sytuacji, że cenne informacje zostaną ujawnione np. konkurencji. Poszkodowana firma oczywiście od razu będzie chciała oskarżyć konkurencję i osoby, które informacje ujawniły o działania sprzeczne z prawem. Prawnicy firmowi przygotują stosowne pisma mówiące o popełnieniu czynu nieuczciwej konkurencji i będą domagać się pociągnięcia sprawców do odpowiedzialności cywilnej i karnej, powołując się na poniższe zapisy z uznik:

Art. 11 ust.1 Ustawy o zwalczaniu nieuczciwej konkurencji
Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża istotnym interesom przedsiębiorcy

Art. 18 Ustawy o zwalczaniu nieuczciwej konkurencji
W razie dokonania czynu nieuczciwej konkurencji przedsiębiorca, którego interes został zagrożony lub naruszony, może żądać:

  • zaniechania niedozwolonych działań,

  • usunięcia skutków niedozwolonych działań,

  • złożenia oświadczenia o odpowiedniej treści,

  • naprawienia wyrządzonej szkody,

  • wydania bezpodstawnie uzyskanych korzyści.

Art. 23 Ustawy o zwalczaniu nieuczciwej konkurencji
Kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

W odpowiedzi osoba, która "sprzedała" informacje konkurencji, stwierdzi, iż nie wiedziała o tym, że ujawnione informacje stanowiły tajemnicę przedsiębiorstwa, bo takowa w firmie nie była określona i nikt nie zobowiązał jej do ochrony tych informacji.
Sprawa z pozoru oczywista, stanie się trudna do wygrania. Kto w takiej sytuacji zawinił i jakie mogą być tego konsekwencje?
Oczywiście Zarząd, ponieważ nie określił tajemnic przedsiębiorstwa i nie podjął stosownych działań w celu ich ochrony.
Zatem rodzi się prosty wniosek: jeżeli Zarząd firmy nie określi tajemnicy przedsiębiorstwa i nie będzie jej chronić nie dba o interesy swojej firmy! W konsekwencji może być to powód do jego odwołania.

Aspekt prawny konieczności wdrożenia Polityki Bezpieczeństwa Informacji wiąże się z konkretnymi wymaganiami w celu ochrony danego rodzaju informacji, a zarazem z poniesieniem przez organizację niezbędnych kosztów.
W tym wypadku nie ma możliwości wyboru, jak w przypadku tajemnicy przedsiębiorstwa, odpowiednie akty prawne wskazują informacje, których obowiązek ochrony spada na organizacje, w których są one przetwarzane. Spośród informacji prawnie chronionych najpowszechniejsze są oczywiście dane osobowe (pracowników i klientów), które przetwarzane są niemal w każdej organizacji. Ustawa z 29 sierpnia 1997r .o ochronie danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm., zwana dalej uodo) wyraźnie wskazuje obowiązki techniczne i organizacyjne ochrony zbiorów danych osobowych, które musi wypełnić Administrator danych - czyli Zarząd organizacji (m.in. zabezpieczenie zbiorów, rejestracja zbiorów, szkolenia osób).
Kolejną grupą informacji prawnie chronionych z jasno określonymi, ale bardziej rygorystycznymi wymogami ochrony są informacje niejawne stanowiące tajemnicę państwową i służbową,, wskazane w Ustawie z 22 stycznia 1999r. o ochronie informacji niejawnych (Dz.U. Nr 11, poz. 95 z późn. zm.). Podlegają im zarówno te organizacje, których działalność jest bezpośrednio związana z dostępem do tego rodzaju informacji, jak również firmy, które świadczą dla nich różne usługi.
Wymagania dla tych informacji różnią się w zależności od nadanej klauzuli: zastrzeżone, poufne, tajne czy ściśle tajne. Ustawa wskazuje rodzaje informacji, którym powinno się nadawać określone klauzule, aczkolwiek rodzaj klauzuli jest wybierany przez wyznaczoną osobę i niejednokrotnie jest różny w różnych organizacjach - klauzule często zaniża się, aby uniknąć poniesienia wyższych nakładów techniczno-organizacyjnych.
Przy przetwarzaniu informacji niejawnych szczególnie istotne są wymogi dotyczące poświadczenia bezpieczeństwa osobowego wydawanego przez Służby Ochrony Państwa (Urząd Ochrony Państwa lub Wojskowe Służby Informacyjne).
W tym wypadku nie zależy to jedynie od przeszkolenia danej osoby, jak np. przy dopuszczeniu do przetwarzania danych osobowych i może się wiązać z koniecznością wymiany kadr.
Dla firm lub jednostek naukowych i badawczo-rozwojowych, które ubiegają się o zawarcie umów związanych z dostępem do informacji stanowiących tajemnicę państwową niezbędne jest natomiast otrzymanie odpowiedniego świadectwa bezpieczeństwa przemysłowego, aby móc wykonać dane zlecenie. Wiąże się to z konkretnymi nakładami inwestycyjnymi (kancelaria tajna, zabezpieczenie systemów informatycznych, szkolenia ludzi, stworzenie instrukcji bezpieczeństwa).
Kolejne wymogi prawne ochrony informacji nakładają na organizacje poszczególne akty prawne, związane z charakterem prowadzonej przez nie działalności. Mowa tu o tzw. tajemnicach zawodowych takich jak: handlowa, bankowa, maklerska, statystyczna, wynalazcza, lekarska itp. Jest ich w polskim prawodawstwie kilkadziesiąt rodzajów (spis tajemnic). Poszczególne przepisy nie określają tak precyzyjnych wymogów ochrony tych tajemnic, jak w przypadku danych osobowych czy informacji niejawnych. Natomiast należy podjąć niezbędne działania w celu ich ochrony podobnie jak w przypadku ochrony tajemnicy przedsiębiorstwa.

Nie podjęcie działań przez organizację w celu ochrony informacji prawnie chronionych może skutkować odpowiedzialnością karną np. w przypadku przetwarzania danych osobowych.

Art. 52 Ustawy o ochronie danych osobowych
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Wprowadzenie Polityki Bezpieczeństwa Informacji w organizacji chroni zatem zarówno interesy przedsiębiorcy, jak również pomaga wypełnić obowiązki ochrony informacji wynikające z przepisów prawa. Zabezpiecza przed konsekwencjami prawnymi i pozwala w przypadku sytuacji naruszenia zasad ochrony przez osoby dopuszczone do informacji (pracownicy, współpracownicy, przedstawiciele firm zewnętrznych) podjąć odpowiednie działania dyscyplinarne. Podstawą do tego jest przyjęcie odpowiednich regulaminów zasad ochrony informacji i zebranie pisemnych zobowiązań ochrony informacji od osób do nich dopuszczonych.

Za naruszenie zasad ochrony informacji grozi odpowiedzialność karna na podstawie przepisów:

  • Kodeksu pracy

  • karnych Ustawy o ochronie danych osobowych

  • Kodeksu karnego dotyczących przestępstw przeciwko ochronie informacji

  • karnych chroniących tajemnice zawodowe

W przypadku ujawnienia tajemnicy pracodawcy na podstawie Kodeksu Pracy:

Art. 52 kodeksu pracy Pracodawca może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie:

  1. ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych,

  2. popełnienia przez pracownika w czasie trwania umowy o pracę przestępstwa, które uniemożliwia dalsze zatrudnianie go na zajmowanym stanowisku, jeżeli przestępstwo jest oczywiste lub zostało stwierdzone prawomocnym wyrokiem, (...)

W przypadku ujawnienia informacji zawierających dane osobowe:

Art. 51 Ustawy o ochronie danych osobowych

  1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym ,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

  2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

W przypadku ujawnienia lub wykorzystania informacji na podstawie Kodeksu karnego:

Art.266 Kodeksu Karnego
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

W przypadku nieuprawnionego uzyskania informacji:

Art. 267 Kodeksu Karnego
§1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Nieuprawnione uzyskanie informacji
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto w informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.

W przypadku naruszenia integralności lub zniszczenia zapisu w informacji podlegającej ochronie:

Art. 268 Kodeksu Karnego
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

W przypadku zniszczenia informacji o szczególnym znaczeniu (tajemnica państwowa):

Art. 269 Kodeksu Karnego
§ 1.Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji.

W przypadku oszustw komputerowych:

Art.287 Kodeksu Karnego
Kto, w celu osiągnięcia korzyści materialnej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze pozbawienia wolności od 3 miesięcy do 5 lat.

Przykłady przepisów w przypadku ujawnienia tajemnic zawodowych:

Art. 171 Prawa bankowego
5. Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, podlega grzywnie do 1 000 000 złotych i karze pozbawienia wolności do lat 3.

Art. 306 Ordynacji podatkowej
§ 1. Kto, będąc obowiązanym do zachowania tajemnicy skarbowej, ujawnia informacje objęte tą tajemnicą, podlega karze pozbawienia wolności do lat 5.
§ 2. Kto będąc obowiązany do zachowania tajemnicy skarbowej ujawnia informacje określone w art. 182, podlega karze pozbawienia wolności od 6 miesięcy do lat 5.



Zagrożenia dla bezpieczeństwa informacji


Konieczność wdrożenia Polityki Bezpieczeństwa Informacji wynikająca z wymienionych wyżej aspektów prawnych i biznesowych, wiąże się z koniecznością zabezpieczenia się przed różnorakimi zagrożeniami wewnętrznymi i zewnętrznymi.
Kradzież informacji jest bardzo powszechna, bowiem informacja jest najcenniejszym towarem w obecnych czasach.
Celem złodziei informacji jest najczęściej w pierwszym kroku wykorzystanie nieświadomości pracowników danej firmy, którzy udostępniają im cenne informacje w różnej postaci. Socjotechnika to główna broń w wykradaniu informacji.
Bardzo powszechne jest również włamywanie się do systemów informatycznych (z zewnątrz czy od wewnątrz organizacji), a na końcu zwyczajne włamanie do pomieszczeń firmy.
Ponieważ informacja jest przetwarzana głównie w systemach informatycznych, ich bezpieczeństwo nabiera coraz większego znaczenia.
Skala zjawiska związanego z incydentami bezpieczeństwa w systemach informatycznych rośnie z dnia na dzień. Podyktowane jest to ciągłym rozwojem tych systemów, wprowadzaniem nowych wersji oprogramowania, dołączaniem nowego sprzętu, awariami technicznymi (uszkodzenia podzespołów, brak zasilania, brak łączności), zdarzeniami losowymi (pożar, powódź, wybuch), błędami ze strony użytkowników i administratorów, jak również celową działalnością osób nieuprawnionych do dostępu do informacji w systemach (nieautoryzowany dostęp, modyfikacja czy niszczenie informacji).
Przetwarzając informacje w systemach informatycznych nie mamy pewności, że są one w pełni bezpieczne, zatem podejmując to ryzyko konieczne jest opracowanie procedur organizacyjnych i technicznych dla ich ochrony.

Włamania do systemów, szczególnie związane z nieautoryzowanym dostępem do informacji, stają się coraz częstsze, zwłaszcza wewnątrz organizacji, głównie z powodu zmniejszonej kontroli. Zazwyczaj bowiem przywiązuje się mniejszą wagę do kontroli dostępu pracowników do informacji wewnątrz organizacji niż w przypadku dostępu z Internetu.
Zdarzenia związane z incydentami bezpieczeństwa ze strony Internetu są tym, czego organizacje boją się najbardziej. Powody wzrostu tego zjawiska to coraz większa liczba osób korzystających z Internetu (wśród nich również przestępców oraz terrorystów); coraz więcej firm i organizacji (w tym biznesowych konkurentów); rozwój eBiznesu (pieniądze zawsze przyciągają złodziei i oszustów); spółki internetowe na giełdach (walka o inwestorów); coraz bardziej złożone systemy informatyczne (zawierające błędy, które umożliwiające dostęp do wnętrza sieci czy do informacji na serwerach).
Walka o informacje na froncie Internetu trwa od paru lat i powoduje coraz większe straty w wyniku ataków na systemy przez Internet - przykładowo głośne ataki blokujące dostęp do serwerów giełdowych spółek internetowych w USA w lutym 2000 przyniosły 1,5 mld USD strat, a głośny wirus "I love you" rozsyłany w maju 2000 blisko 10 mld.
Walka o informacje rozgrywana jest na trzech poziomach:

  • Personalnym - dane osobowe

  • Korporacyjnym - dane firmowe

  • Globalnym - cyberterroryzm

Ten ostatni w świetle wydarzeń z września ubiegłego roku nabrał bardzo istotnego znaczenia, do tego stopnia, że w USA i UE spowodowanie incydentu bezpieczeństwa przez Internet traktowane jest jako akt terroru.
Najczęstsze zagrożenia zarówno ze strony Internetu, jak i sieci wewnętrznej organizacji są związane z próbami nieautoryzowanego dostępu do informacji, ich modyfikacją lub zniszczeniem. Przeprowadzane są różnymi metodami - przez zgadnięcie lub podsłuchanie hasła dostępu; użycie specjalnego programu typu "exploit", który umożliwia wykorzystanie błędów bezpieczeństwa w oprogramowaniu czy podesłanie specjalnego programu typu "koń trojański", który umożliwia zdalny dostęp do informacji w systemie.
Inne często występujące działania mają na celu blokowanie dostępu do serwerów usług internetowych/intranetowych danej organizacji takich jak poczta elektroniczna, WWW i innych. W tym wypadku, gdy firma prowadzi biznes przez Internet, za pomocą swojego serwera WWW, klienci nie mogą skorzystać z jej usług, a dodatkowo firma nie będzie mogła korzystać z wewnętrznej wymiany informacji poprzez pocztę elektroniczną.
Podobny cel destabilizujący prace w organizacji mają ataki z wykorzystaniem różnego typu wirusów czy bomb logicznych.

Jednak najczęściej celem ataku jest nieświadomy pracownik, który może udostępnić informację. Metody manipulowania ludźmi w przypadku Internetu związane są z przesyłaniem do nich specjalnie spreparowanej poczty elektronicznej.
Związane jest to z podszywaniem się pod innych użytkowników, którym dana osoba ufa, przez wpisanie w polu identyfikacyjnym adresu tej osoby, a następnie w treści listu zawarcie prośby czy polecenia przesłania danych informacji.
Inną skuteczną metodą jest przesyłanie w poczcie elektronicznej załączników, w których zawarte są programy typu "koń trojański", które po uruchomieniu, mogą zainicjować proces umożliwiający zdalny dostęp do stacji roboczej użytkownika (przeglądanie zawartości katalogów, zmiana i kasowanie informacji, przechwytywanie haseł lub kluczy do szyfrowania). Tych zagrożeń nie wyeliminuje się technicznie.
Jedyny skuteczny sposób to zabronienie lub uniemożliwienie otwierania załączników do poczty elektronicznej, przesłanych z niewiadomych źródeł, szczególnie tych zawierających pliki z rozszerzeniami typu .exe.... Niestety, w praktyce postulat ten jest trudny do zrealizowania, szczególnie w dużej organizacji, gdzie przetwarzanie informacji wymaga przesyłania załączników i łatwo się podszyć pod innego pracownika. Problemy te trzeba zatem rozwiązać proceduralnie.

Kolejnym poważnym zagrożeniem jest usługa WWW, dostępna na stacjach roboczych użytkowników, którzy przetwarzają na nich informacje stanowiące tajemnice firmowe lub przez nie łączą się z serwerami firmowymi. Pracownicy łączą się z wieloma serwerami WWW i ściągają strony z informacjami, często nie związanymi z wykonywaną pracą (patrz. Statystyki!).
Aby zachęcić do odwiedzin stron WWW firmy opracowują piękne grafiki z wymyślnymi animacjami, muzyką, migotającymi bannerami itp. Klienci chcą oglądać takie strony i mają coraz lepsze komputery przystosowane do tego celu. Ściągnięcie takiej migocząco-grającej strony powoduje uruchomienie na stacji użytkownika różnych programów związanych z grafiką czy muzyką. Podczas tego procesu mogą na stacji klienta uruchamiać się w tle "inne użyteczne" programy, których celem jest wyciąganie, modyfikacja bądź usuwanie zawartych tam informacji. Łącząc się z serwerem WWW nieświadomie możemy "użyczać" naszego komputera do "nieznanej działalności".
Analogicznie jak w programie SETI, w którym uczestnicy łączą się świadomie z serwerem NASA i użyczają mocy obliczeniowej swojego komputera do obliczeń związanych z badaniem dźwięków przychodzących z kosmosu.
Czy można tego uniknąć? Tak, przez wyłączenie w programie przeglądarki możliwości uruchamiania programów ściąganych ze stroną internetową. Ale kto by chciał oglądać takie statyczne strony?
Rodzi się pytanie po co jest potrzeby Internet w firmie na stacji roboczej użytkownika? Dla zabawy i udostępniania informacji czy pracy? Jeśli dla zabawy, to na wydzielonych komputerach, jeśli do pracy, to na odpowiednio skonfigurowanych stacjach wg odpowiednich instrukcji bezpieczeństwa.

Inne ważne kategorie zagrożeń dla bezpieczeństwa informacji związane są z podsłuchem pola elektromagnetycznego emitowanego przez urządzenia komputerowe (monitory, kable itp.) przy użyciu specjalnego sprzętu i wydobywanie tą droga informacji. Zagrożenia wiążą się również z klasycznym podsłuchem pomieszczeń poprzez standardowe pluskwy oraz niezwykle popularne "nadajniki", jakimi są telefony komórkowe.
Najwięcej jednak kłopotów w ochronie informacji przysparza wykradanie oraz świadome i nieświadome udostępnianie nośników informacji: wydruków papierowych, dyskietek, taśm z kopiami zapasowymi, płyt CD-ROM.

Wszystkie wymienione zagrożenia dla informacji stanowiących tajemnicę przedsiębiorstwa i informacji prawnie chronionych mogą być znacznie ograniczone lub nawet wyeliminowane przez podjęcie odpowiednich działań techniczno-organizacyjnych.
Gdy Zarząd organizacji takich działań nie podejmuje, sam stwarza niestety poważne zagrożenie dla bezpieczeństwa przetwarzanych informacji.

W tej kategorii zagrożeń można wymienić najczęściej z nich spotykane, takie jak:

  • Brak zasad dotyczących ochrony informacji w firmie,

  • Brak założeń bezpieczeństwa dla systemów,

  • Brak zasad stałego monitorowania systemów i usuwania błędów,

  • Brak zasad bezpieczeństwa korzystania z Internetu,

  • Brak przeprowadzania analizy zagrożeń i ryzyka dla systemów,

  • Brak zdefiniowania sytuacji kryzysowych,

  • Brak procedur postępowania w sytuacjach kryzysowych,

  • Brak szkoleń pracowników - niska kultura ochrony informacji.

Kultura ochrony informacji


Sukces we wprowadzaniu zasad bezpieczeństwa informacji w każdej organizacji zależy od wewnętrznego poziomu kultury ochrony informacji.
Nawet najlepiej stworzone procedury i regulaminy, czy inwestycje w najnowsze technologie zabezpieczeń systemów informatycznych czy pomieszczeń, nie ochronią informacji, jeżeli kultura ochrony informacji nie będzie zaszczepiona wśród pracowników organizacji.
Kultura przedsiębiorstwa nie tworzy się przez przypadek.
Jest to wynik wszystkich ludzkich postaw, akceptowanych wartości i norm postępowania.
I chociaż tworzą ją wszyscy pracownicy, to jednak największa odpowiedzialność spoczywa na tych osobach, które rekrutują pracowników i na kadrze zarządzających menedżerów. Jednym z elementów kultury nowoczesnych przedsiębiorstw jest Polityka Bezpieczeństwa Informacji wdrażana w ich struktury.
Aby jednak ten cel mógł zostać osiągnięty, zasady Polityki Bezpieczeństwa Informacji muszą stać się normami przestrzeganymi przez wszystkich pracowników i współpracowników. Pierwszym, podstawowym problemem jest uświadomienie pracownikom wartości informacji przetwarzanych w firmie i wskazanie, które informacje i dlaczego należy szczególnie chronić. Sens ochrony informacji jako najcenniejszego dobra w organizacji jest bardzo mało uchwytny.
Bardzo często nie postrzega się udostępniania informacji (świadomego lub nieświadomego) jako "kradzież". A tak w rozumieniu Polityki Bezpieczeństwa Informacji należy widzieć tego typu działalność wszystkich pracowników bez wyjątku. Kadra zarządzająca nie może tu stać "ponad prawem" i pokazywać, że przyjęte normy jej nie dotyczą.
Każde zatem naruszenie przez pracowników norm akceptowanych jako organizacyjne, firmowe, społeczne musi być sankcjonowane i uznawane za poważne wykroczenie.
Tylko dzięki sankcjom nieformalnym pozostałych pracowników osoba np. wykradająca dane z firmy może odczuć powagę swojego postępowania.
Ochrona informacji jest normą nowoczesnej organizacji. Pokazuję siłę organizacji i jej pewność, co przynosi najcenniejszą nagrodę - zaufanie klientów i prestiż. Tej normy nie da się narzucić, trzeba ją wybudować w strukturze organizacji.
Firmy, które bagatelizują tę normę, mogą w wyniku incydentów bezpieczeństwa wiele stracić.

Jakie są podstawowe warunki do stworzenia dobrych podstaw dla kultury ochrony informacji?
Po pierwsze zrozumienie celowości zmiany, jaka będzie się wiązać z wprowadzeniem zasad Polityki Bezpieczeństwa Informacji czyli odpowiednia polityka informacyjna.
Po drugie duże zaangażowanie zespołu odpowiedzialnego za ten proces, w jego realizację. Przygotowanie odpowiedniego harmonogramu działań, jasność wszystkich zakładanych etapów i konsekwencja w ich realizacji.
Po trzecie opracowanie zasad zarządzania bezpieczeństwem informacji i wyznaczenie osób odpowiedzialnych za bezpieczeństwo informacji.
Po czwarte odpowiednie zarządzanie zasobami ludzkimi:

  • rekrutacja, selekcja, weryfikacja kandydatów do pracy na podstawie wcześniej ustalonych kryteriów,

  • ocena - weryfikacja realizacji zadań i celów związanych z ochrona informacji,

  • szkolenie i rozwój - pogłębianie wiedzy i świadomości pracowników w zakresie ochrony informacji

Polityka Bezpieczeństwa w organizacji


Polityka bezpieczeństwa organizacji jest tematem bardzo szerokim, obejmującym wiele aspektów wynikających z charakteru prowadzonej działalności oraz wielkości danej organizacji.
Polityka bezpieczeństwa dzieli się na cztery podstawowe obszary, które nawzajem się przenikają i uzupełniają:

  1. Polityka organizacyjna - związana z prowadzona działalnością, zawierająca procedury organizacyjne, w tym procedury utrzymania ciągłości działania (z ang. BCP - Business Coninuity Plan) oraz plany awaryjne na wypadek katastrofy (z ang. DRP - Disaster Recovery Plan), związane z zapasowymi ośrodkami przetwarzania czy miejscami pracy.

  2. Polityka ochrony fizycznej - związana z ochrona pomieszczeń, budynków, mienia oraz personelu danej organizacji, zawierająca różnego rodzaju instrukcje zabezpieczeń, procedury na wypadek incydentów bezpieczeństwa lub sytuacji zagrożeń.

  3. Polityka personalna - związana z odpowiednim doborem personelu na dane stanowiska, procedurami dotyczącymi zapoznania pracowników z zasadami bezpieczeństwa (BHP, procedury awaryjne, procedury ochrony informacji), ich szkoleniami oraz procedurami działania na wypadek braku odpowiedniego personelu.

  4. Polityka Bezpieczeństwa Informacji - związana z zarządzaniem i ochroną informacji stanowiących tajemnice przedsiębiorstwa i informacji prawnie chronionych, dopuszczanie osób do informacji oraz systemów przetwarzania informacji do eksploatacji, procedurami kryzysowymi na wypadek incydentów bezpieczeństwa.

W zależności od wielkości organizacji poszczególne obszary są zarządzane w odpowiednich komórkach organizacyjnych. Aby polityka bezpieczeństwa organizacji była spójna należy wprowadzić wspólne standardy dotyczące planów awaryjnych na wypadek wystąpienia sytuacji kryzysowych.

Polityka Bezpieczeństwa Informacji


Aby móc właściwie chronić informacje w organizacji trzeba stworzyć zbiór zasad (regulaminy, instrukcje i procedury itp.) obowiązujących przy przetwarzaniu i wykorzystaniu informacji w organizacji zwany Polityką Bezpieczeństwa Informacji.
Polityka Bezpieczeństwa Informacji dotyczy całego procesu korzystania z informacji, niezależnie od sposobu jej przetwarzania (tj. zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania).
Dotyczy wszystkich systemów przetwarzania informacji, zarówno systemów prowadzonych klasycznie (archiwa, kartoteki, dokumenty papierowe) jak i systemów komputerowych. Jest wiele metod i podejść, bardziej i mniej skutecznych, tworzenia Polityki Bezpieczeństwa Informacji. Praktyczne podejście do tematu ochrony informacji wiąże się z rozpoznaniem rzeczywistych potrzeb organizacji w zakresie ochrony informacji, oczywiście w zgodzie z polskim prawodawstwem i wpasowanie zasad ochrony do kultury danej organizacji. Początkiem sukcesu jest dobra strategia ochrony informacji i plan wdrożenia.
Najpierw należy się zorientować, jakie rodzaje informacji są w organizacji przetwarzane. Kolejnym krokiem będzie analiza ryzyka przetwarzanych informacji przeprowadzona poprzez audyty i testy bezpieczeństwa systemów, w których informacje są przetwarzane.
Następnie będzie można opracować pierwszą wersję dokumentów Polityki Bezpieczeństwa informacji, a na końcu wdrożyć Politykę tak by była akceptowana i przestrzegana przez wszystkich pracowników firmy.
W rezultacie tak skonstruowana Polityka Bezpieczeństwa pozwala zarządzać ryzykiem i bezpieczeństwem przetwarzanych informacji z uwzględnieniem aspektów prawnych ochrony informacji przy zastosowaniu odpowiednich rozwiązań proceduralnych i technicznych wdrożonych w celu pełnej ochrony informacji. (...)

Źródło:
http://www.ensi.net/odo/archiw/nr1_art01.html