Wstęp
Bezpieczeństwo
informacji jest nie tylko normą i koniecznością, ale także
obowiązkiem dla firm i organizacji w Polsce. Wymogi prawa
nakładają na Zarządy organizacji obowiązek podjęcia szeregu
działań o charakterze organizacyjnym i technicznym w zakresie
ochrony przetwarzanych informacji.
Ochrona informacji
jest tematem złożonym, a powodzenie jej realizacji zależy od
umiejętnego zarządzania bezpieczeństwem poszczególnych
rodzajów informacji, poziomu świadomości pracowników
dopuszczonych do przetwarzania informacji oraz odpowiednio
dobranych rozwiązań technicznych.
W organizacjach są przetwarzane różne rodzaje informacji,
jedne są chronione ze względu na interes firmy, inne ze
względu na wymogi przepisów prawa, pozostałe zaś są bądź muszą
być ujawniane.
Niniejszy artykuł jest wprowadzeniem do tematyki opracowywania
spójnej Polityki Bezpieczeństwa Informacji tak, aby różne
grupy informacji przetwarzane w danej organizacji były
chronione zgodnie z jej interesem oraz literą prawa.
Jest to pierwszy z cyklu artykułów, mających na celu
przedstawienie metod efektywnego zarządzania bezpieczeństwem
informacji w różnych organizacjach.
Jakie informacje firma musi
chronić?
Najważniejsze dla organizacji, z punktu jej interesu, są
oczywiście informacje stanowiące jej tajemnice, i to Zarząd
musi je sam wskazać i pojąć działanie w celu ich ochrony. Inne
informacje, których przetwarzanie w organizacji wynika z
przepisów prawa, są wskazywane przez odpowiednie akty prawne i
to z nich wynikają wymogi dla ochrony tych informacji.
Zatem konieczność wdrożenia polityki bezpieczeństwa informacji
wynika z dwóch aspektów: biznesowego i prawnego.
Aspekt biznesowy to
dbałość o interesy firmy, a przede wszystkim ochrona jej
tajemnic. Kluczową sprawą jest tutaj ochrona tzw. tajemnicy
przedsiębiorstwa, zdefiniowanej w Ustawie z 16 kwietnia 1993r.
o zwalczaniu nieuczciwej konkurencji (Dz.U., Nr 47, poz.211,
zwanej dalej uznik):
Art. 11 ust. 4 Ustawy o zwalczaniu
nieuczciwej konkurencji
Przez Tajemnicę przedsiębiorstwa rozumie się: Nie ujawnione
do wiadomości publicznej informacje techniczne,
technologiczne, handlowe lub organizacyjne przedsiębiorstwa,
co do których przedsiębiorca podjął niezbędne działania
w celu zachowania ich poufności.
Z powyższego zapisu wynika, że aby chronić tajemnice
przedsiębiorstwa, trzeba je najpierw dokładnie określić, a
następnie podjąć działanie w celu ich zabezpieczenia - czyli
wdrożyć Politykę Bezpieczeństwa Informacji. Polityka to
opracowanie zasad zarządzania, procedur i instrukcji ochrony
informacji, wyznaczenie osób odpowiedzialnych za
bezpieczeństwo tych informacji, szkolenia osób dopuszczonych
do przetwarzania tych informacji, jak również zabezpieczenie
systemów przetwarzania ww. informacji (papierowych czy
informatycznych).
Czym może skutkować brak takich działań?
Mianowicie tym, że nie można będzie skorzystać z zapisów uznik
w sytuacji, gdy tajemnice firmowe zostaną ujawnione lub
wykorzystane w sposób zagrażający interesom firmy. Jeśli
Zarząd firmy nie określi i nie poinformuje, które informację
są ważne dla firmy i stanowią tajemnicę przedsiębiorstwa,
osoby dopuszczone do nich nie wiedząc o tym fakcie, nie będą
ich chronić. W rezultacie może dojść do sytuacji, że cenne
informacje zostaną ujawnione np. konkurencji. Poszkodowana
firma oczywiście od razu będzie chciała oskarżyć konkurencję i
osoby, które informacje ujawniły o działania sprzeczne z
prawem. Prawnicy firmowi przygotują stosowne pisma mówiące o
popełnieniu czynu nieuczciwej konkurencji i będą domagać się
pociągnięcia sprawców do odpowiedzialności cywilnej i karnej,
powołując się na poniższe zapisy z uznik:
Art. 11 ust.1 Ustawy o zwalczaniu
nieuczciwej konkurencji
Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie
lub wykorzystanie cudzych informacji stanowiących tajemnicę
przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej,
jeżeli zagraża istotnym interesom przedsiębiorcy
Art. 18 Ustawy o zwalczaniu
nieuczciwej konkurencji
W razie dokonania czynu nieuczciwej konkurencji
przedsiębiorca, którego interes został zagrożony lub
naruszony, może żądać:
-
zaniechania
niedozwolonych działań,
-
usunięcia skutków
niedozwolonych działań,
-
złożenia
oświadczenia o odpowiedniej treści,
-
naprawienia
wyrządzonej szkody,
-
wydania
bezpodstawnie uzyskanych korzyści.
Art. 23 Ustawy o zwalczaniu nieuczciwej
konkurencji
Kto, wbrew ciążącemu na nim obowiązkowi w stosunku do
przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we
własnej działalności gospodarczej informację stanowiącą
tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę
przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do lat 2.
W odpowiedzi osoba, która "sprzedała" informacje konkurencji,
stwierdzi, iż nie wiedziała o tym, że ujawnione informacje
stanowiły tajemnicę przedsiębiorstwa, bo takowa w firmie nie
była określona i nikt nie zobowiązał jej do ochrony tych
informacji.
Sprawa z pozoru oczywista, stanie się trudna do wygrania. Kto
w takiej sytuacji zawinił i jakie mogą być tego konsekwencje?
Oczywiście Zarząd, ponieważ nie określił tajemnic
przedsiębiorstwa i nie podjął stosownych działań w celu ich
ochrony.
Zatem rodzi się prosty wniosek: jeżeli Zarząd firmy nie
określi tajemnicy przedsiębiorstwa i nie będzie jej chronić
nie dba o interesy swojej firmy! W konsekwencji może być
to powód do jego odwołania.
Aspekt prawny konieczności
wdrożenia Polityki Bezpieczeństwa Informacji wiąże się z
konkretnymi wymaganiami w celu ochrony danego rodzaju
informacji, a zarazem z poniesieniem przez organizację
niezbędnych kosztów.
W tym wypadku nie ma możliwości wyboru, jak w przypadku
tajemnicy przedsiębiorstwa, odpowiednie akty prawne wskazują
informacje, których obowiązek ochrony spada na organizacje, w
których są one przetwarzane. Spośród informacji prawnie
chronionych najpowszechniejsze są oczywiście dane osobowe
(pracowników i klientów), które przetwarzane są niemal w
każdej organizacji. Ustawa z 29 sierpnia 1997r .o ochronie
danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm., zwana
dalej uodo) wyraźnie wskazuje obowiązki techniczne i
organizacyjne ochrony zbiorów danych osobowych, które musi
wypełnić Administrator danych - czyli Zarząd organizacji
(m.in. zabezpieczenie zbiorów, rejestracja zbiorów, szkolenia
osób).
Kolejną grupą informacji prawnie chronionych z jasno
określonymi, ale bardziej rygorystycznymi wymogami ochrony są
informacje niejawne stanowiące tajemnicę państwową i
służbową,, wskazane w Ustawie z 22 stycznia 1999r. o ochronie
informacji niejawnych (Dz.U. Nr 11, poz. 95 z późn. zm.).
Podlegają im zarówno te organizacje, których działalność jest
bezpośrednio związana z dostępem do tego rodzaju informacji,
jak również firmy, które świadczą dla nich różne usługi.
Wymagania dla tych informacji różnią się w zależności od
nadanej klauzuli: zastrzeżone, poufne, tajne czy ściśle tajne.
Ustawa wskazuje rodzaje informacji, którym powinno się nadawać
określone klauzule, aczkolwiek rodzaj klauzuli jest wybierany
przez wyznaczoną osobę i niejednokrotnie jest różny w różnych
organizacjach - klauzule często zaniża się, aby uniknąć
poniesienia wyższych nakładów techniczno-organizacyjnych.
Przy przetwarzaniu informacji niejawnych szczególnie istotne
są wymogi dotyczące poświadczenia bezpieczeństwa osobowego
wydawanego przez Służby Ochrony Państwa (Urząd Ochrony Państwa
lub Wojskowe Służby Informacyjne).
W tym wypadku nie zależy to jedynie od przeszkolenia danej
osoby, jak np. przy dopuszczeniu do przetwarzania danych
osobowych i może się wiązać z koniecznością wymiany kadr.
Dla firm lub jednostek naukowych i badawczo-rozwojowych, które
ubiegają się o zawarcie umów związanych z dostępem do
informacji stanowiących tajemnicę państwową niezbędne jest
natomiast otrzymanie odpowiedniego świadectwa bezpieczeństwa
przemysłowego, aby móc wykonać dane zlecenie. Wiąże się to z
konkretnymi nakładami inwestycyjnymi (kancelaria tajna,
zabezpieczenie systemów informatycznych, szkolenia ludzi,
stworzenie instrukcji bezpieczeństwa).
Kolejne wymogi prawne ochrony informacji nakładają na
organizacje poszczególne akty prawne, związane z charakterem
prowadzonej przez nie działalności. Mowa tu o tzw. tajemnicach
zawodowych takich jak: handlowa, bankowa, maklerska,
statystyczna, wynalazcza, lekarska itp. Jest ich w polskim
prawodawstwie kilkadziesiąt rodzajów (spis
tajemnic). Poszczególne przepisy nie określają tak
precyzyjnych wymogów ochrony tych tajemnic, jak w przypadku
danych osobowych czy informacji niejawnych. Natomiast należy
podjąć niezbędne działania w celu ich ochrony podobnie jak w
przypadku ochrony tajemnicy przedsiębiorstwa.
Nie podjęcie działań przez organizację w celu ochrony
informacji prawnie chronionych może skutkować
odpowiedzialnością karną np. w przypadku przetwarzania danych
osobowych.
Art. 52 Ustawy o ochronie danych
osobowych
Kto administrując danymi narusza choćby nieumyślnie obowiązek
zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną,
uszkodzeniem lub zniszczeniem, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do roku.
Wprowadzenie Polityki Bezpieczeństwa Informacji w organizacji
chroni zatem zarówno interesy przedsiębiorcy, jak również
pomaga wypełnić obowiązki ochrony informacji wynikające z
przepisów prawa. Zabezpiecza przed konsekwencjami prawnymi i
pozwala w przypadku sytuacji naruszenia zasad ochrony przez
osoby dopuszczone do informacji (pracownicy, współpracownicy,
przedstawiciele firm zewnętrznych) podjąć odpowiednie
działania dyscyplinarne. Podstawą do tego jest przyjęcie
odpowiednich regulaminów zasad ochrony informacji i zebranie
pisemnych zobowiązań ochrony informacji od osób do nich
dopuszczonych.
Za naruszenie zasad ochrony informacji grozi odpowiedzialność
karna na podstawie przepisów:
-
Kodeksu pracy
-
karnych Ustawy o
ochronie danych osobowych
-
Kodeksu karnego
dotyczących przestępstw przeciwko ochronie informacji
-
karnych
chroniących tajemnice zawodowe
W przypadku
ujawnienia tajemnicy pracodawcy na podstawie Kodeksu Pracy:
Art. 52 kodeksu pracy
Pracodawca może rozwiązać umowę o pracę bez wypowiedzenia z
winy pracownika w razie:
-
ciężkiego
naruszenia przez pracownika podstawowych obowiązków
pracowniczych,
-
popełnienia przez
pracownika w czasie trwania umowy o pracę przestępstwa,
które uniemożliwia dalsze zatrudnianie go na zajmowanym
stanowisku, jeżeli przestępstwo jest oczywiste lub zostało
stwierdzone prawomocnym wyrokiem, (...)
W przypadku
ujawnienia informacji zawierających dane osobowe:
Art. 51 Ustawy o ochronie danych
osobowych
-
Kto administrując
zbiorem danych lub będąc obowiązany do ochrony danych
osobowych udostępnia je lub umożliwia dostęp do nich osobom
nieupoważnionym ,podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2.
-
Jeżeli sprawca
działa nieumyślnie, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku.
W przypadku
ujawnienia lub wykorzystania informacji na podstawie Kodeksu
karnego:
Art.266 Kodeksu Karnego
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie
zobowiązaniu, ujawnia lub wykorzystuje informację, z którą
zapoznał się w związku z pełnioną funkcją, wykonywaną pracą,
działalnością publiczną, społeczną, gospodarczą lub naukową,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
W przypadku nieuprawnionego uzyskania informacji:
Art. 267 Kodeksu Karnego
§1. Kto bez uprawnienia uzyskuje informację dla niego nie
przeznaczoną, otwierając zamknięte pismo, podłączając się
do przewodu służącego do przekazywania informacji lub
przełamując elektroniczne, magnetyczne albo inne szczególne
zabezpieczenie, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do lat 2.
Nieuprawnione uzyskanie informacji
§ 2. Tej samej karze podlega, kto w celu uzyskania
informacji, do której nie jest uprawniony, zakłada lub
posługuje się urządzeniem podsłuchowym, wizualnym albo innym
urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto w informację uzyskaną
w sposób określony w § 1 lub 2 ujawnia innej osobie.
W przypadku naruszenia integralności lub zniszczenia zapisu w
informacji podlegającej ochronie:
Art. 268 Kodeksu Karnego
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza,
usuwa lub zmienia zapis istotnej informacji albo w inny sposób
udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie
się z nią, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
W przypadku zniszczenia informacji o szczególnym znaczeniu
(tajemnica państwowa):
Art. 269 Kodeksu Karnego
§ 1.Kto, na komputerowym nośniku informacji, niszczy,
uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla
obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania
administracji rządowej, innego organu państwowego lub
administracji samorządowej albo zakłóca lub uniemożliwia
automatyczne gromadzenie lub przekazywanie takich informacji,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu
określonego w § 1, niszcząc albo wymieniając nośnik albo
wymieniając nośnik informacji lub niszcząc albo uszkadzając
urządzenie służące automatycznemu przetwarzaniu, gromadzeniu
lub przesyłaniu informacji.
W przypadku oszustw komputerowych:
Art.287 Kodeksu Karnego
Kto, w celu osiągnięcia korzyści materialnej lub wyrządzenia
innej osobie szkody, bez upoważnienia, wpływa na automatyczne
przetwarzanie, gromadzenie lub przesyłanie informacji lub
zmienia, usuwa albo wprowadza nowy zapis na komputerowym
nośniku informacji, podlega karze pozbawienia wolności od 3
miesięcy do 5 lat.
Przykłady przepisów w przypadku ujawnienia tajemnic
zawodowych:
Art. 171 Prawa bankowego
5. Kto, będąc obowiązany do zachowania tajemnicy bankowej,
ujawnia lub wykorzystuje informacje stanowiące tajemnicę
bankową, niezgodnie z upoważnieniem określonym w ustawie,
podlega grzywnie do 1 000 000 złotych i karze pozbawienia
wolności do lat 3.
Art. 306 Ordynacji podatkowej
§ 1. Kto, będąc obowiązanym do zachowania tajemnicy skarbowej,
ujawnia informacje objęte tą tajemnicą, podlega karze
pozbawienia wolności do lat 5.
§ 2. Kto będąc obowiązany do zachowania tajemnicy skarbowej
ujawnia informacje określone w art. 182, podlega karze
pozbawienia wolności od 6 miesięcy do lat 5.
Zagrożenia dla bezpieczeństwa
informacji
Konieczność wdrożenia Polityki Bezpieczeństwa Informacji
wynikająca z wymienionych wyżej aspektów prawnych i
biznesowych, wiąże się z koniecznością zabezpieczenia się
przed różnorakimi zagrożeniami wewnętrznymi i zewnętrznymi.
Kradzież informacji jest bardzo powszechna, bowiem informacja
jest najcenniejszym towarem w obecnych czasach.
Celem złodziei informacji jest najczęściej w pierwszym kroku
wykorzystanie nieświadomości pracowników danej firmy, którzy
udostępniają im cenne informacje w różnej postaci.
Socjotechnika to główna broń w wykradaniu informacji.
Bardzo powszechne jest również włamywanie się do systemów
informatycznych (z zewnątrz czy od wewnątrz organizacji), a na
końcu zwyczajne włamanie do pomieszczeń firmy.
Ponieważ informacja jest przetwarzana głównie w systemach
informatycznych, ich bezpieczeństwo nabiera coraz większego
znaczenia.
Skala zjawiska związanego z incydentami bezpieczeństwa w
systemach informatycznych rośnie z dnia na dzień. Podyktowane
jest to ciągłym rozwojem tych systemów, wprowadzaniem nowych
wersji oprogramowania, dołączaniem nowego sprzętu, awariami
technicznymi (uszkodzenia podzespołów, brak zasilania, brak
łączności), zdarzeniami losowymi (pożar, powódź, wybuch),
błędami ze strony użytkowników i administratorów, jak również
celową działalnością osób nieuprawnionych do dostępu do
informacji w systemach (nieautoryzowany dostęp, modyfikacja
czy niszczenie informacji).
Przetwarzając informacje w systemach informatycznych nie mamy
pewności, że są one w pełni bezpieczne, zatem podejmując to
ryzyko konieczne jest opracowanie procedur organizacyjnych i
technicznych dla ich ochrony.
Włamania do systemów, szczególnie związane z nieautoryzowanym
dostępem do informacji, stają się coraz częstsze, zwłaszcza
wewnątrz organizacji, głównie z powodu zmniejszonej kontroli.
Zazwyczaj bowiem przywiązuje się mniejszą wagę do kontroli
dostępu pracowników do informacji wewnątrz organizacji niż w
przypadku dostępu z Internetu.
Zdarzenia związane z incydentami bezpieczeństwa ze strony
Internetu są tym, czego organizacje boją się najbardziej.
Powody wzrostu tego zjawiska to coraz większa liczba osób
korzystających z Internetu (wśród nich również przestępców
oraz terrorystów); coraz więcej firm i organizacji (w tym
biznesowych konkurentów); rozwój eBiznesu (pieniądze zawsze
przyciągają złodziei i oszustów); spółki internetowe na
giełdach (walka o inwestorów); coraz bardziej złożone systemy
informatyczne (zawierające błędy, które umożliwiające dostęp
do wnętrza sieci czy do informacji na serwerach).
Walka o informacje na froncie Internetu trwa od paru lat i
powoduje coraz większe straty w wyniku ataków na systemy przez
Internet - przykładowo głośne ataki blokujące dostęp do
serwerów giełdowych spółek internetowych w USA w lutym 2000
przyniosły 1,5 mld USD strat, a głośny wirus "I love you"
rozsyłany w maju 2000 blisko 10 mld.
Walka o informacje rozgrywana jest na trzech poziomach:
-
Personalnym -
dane osobowe
-
Korporacyjnym -
dane firmowe
-
Globalnym -
cyberterroryzm
Ten ostatni w
świetle wydarzeń z września ubiegłego roku nabrał bardzo
istotnego znaczenia, do tego stopnia, że w USA i UE
spowodowanie incydentu bezpieczeństwa przez Internet
traktowane jest jako akt terroru.
Najczęstsze zagrożenia zarówno ze strony Internetu, jak i
sieci wewnętrznej organizacji są związane z próbami
nieautoryzowanego dostępu do informacji, ich modyfikacją lub
zniszczeniem. Przeprowadzane są różnymi metodami - przez
zgadnięcie lub podsłuchanie hasła dostępu; użycie specjalnego
programu typu "exploit", który umożliwia wykorzystanie błędów
bezpieczeństwa w oprogramowaniu czy podesłanie specjalnego
programu typu "koń trojański", który umożliwia zdalny dostęp
do informacji w systemie.
Inne często występujące działania mają na celu blokowanie
dostępu do serwerów usług internetowych/intranetowych danej
organizacji takich jak poczta elektroniczna, WWW i innych. W
tym wypadku, gdy firma prowadzi biznes przez Internet, za
pomocą swojego serwera WWW, klienci nie mogą skorzystać z jej
usług, a dodatkowo firma nie będzie mogła korzystać z
wewnętrznej wymiany informacji poprzez pocztę elektroniczną.
Podobny cel destabilizujący prace w organizacji mają ataki z
wykorzystaniem różnego typu wirusów czy bomb logicznych.
Jednak najczęściej celem ataku jest nieświadomy pracownik,
który może udostępnić informację. Metody manipulowania ludźmi
w przypadku Internetu związane są z przesyłaniem do nich
specjalnie spreparowanej poczty elektronicznej.
Związane jest to z podszywaniem się pod innych użytkowników,
którym dana osoba ufa, przez wpisanie w polu identyfikacyjnym
adresu tej osoby, a następnie w treści listu zawarcie prośby
czy polecenia przesłania danych informacji.
Inną skuteczną metodą jest przesyłanie w poczcie
elektronicznej załączników, w których zawarte są programy typu
"koń trojański", które po uruchomieniu, mogą zainicjować
proces umożliwiający zdalny dostęp do stacji roboczej
użytkownika (przeglądanie zawartości katalogów, zmiana i
kasowanie informacji, przechwytywanie haseł lub kluczy do
szyfrowania). Tych zagrożeń nie wyeliminuje się technicznie.
Jedyny skuteczny sposób to zabronienie lub uniemożliwienie
otwierania załączników do poczty elektronicznej, przesłanych z
niewiadomych źródeł, szczególnie tych zawierających pliki z
rozszerzeniami typu .exe.... Niestety, w praktyce postulat ten
jest trudny do zrealizowania, szczególnie w dużej organizacji,
gdzie przetwarzanie informacji wymaga przesyłania załączników
i łatwo się podszyć pod innego pracownika. Problemy te trzeba
zatem rozwiązać proceduralnie.
Kolejnym poważnym zagrożeniem jest usługa WWW, dostępna na
stacjach roboczych użytkowników, którzy przetwarzają na nich
informacje stanowiące tajemnice firmowe lub przez nie łączą
się z serwerami firmowymi. Pracownicy łączą się z wieloma
serwerami WWW i ściągają strony z informacjami, często nie
związanymi z wykonywaną pracą (patrz. Statystyki!).
Aby zachęcić do odwiedzin stron WWW firmy opracowują piękne
grafiki z wymyślnymi animacjami, muzyką, migotającymi
bannerami itp. Klienci chcą oglądać takie strony i mają coraz
lepsze komputery przystosowane do tego celu. Ściągnięcie
takiej migocząco-grającej strony powoduje uruchomienie na
stacji użytkownika różnych programów związanych z grafiką czy
muzyką. Podczas tego procesu mogą na stacji klienta uruchamiać
się w tle "inne użyteczne" programy, których celem jest
wyciąganie, modyfikacja bądź usuwanie zawartych tam
informacji. Łącząc się z serwerem WWW nieświadomie możemy
"użyczać" naszego komputera do "nieznanej działalności".
Analogicznie jak w programie SETI, w którym uczestnicy łączą
się świadomie z serwerem NASA i użyczają mocy obliczeniowej
swojego komputera do obliczeń związanych z badaniem dźwięków
przychodzących z kosmosu.
Czy można tego uniknąć? Tak, przez wyłączenie w programie
przeglądarki możliwości uruchamiania programów ściąganych ze
stroną internetową. Ale kto by chciał oglądać takie statyczne
strony?
Rodzi się pytanie po co jest potrzeby Internet w firmie na
stacji roboczej użytkownika? Dla zabawy i udostępniania
informacji czy pracy? Jeśli dla zabawy, to na wydzielonych
komputerach, jeśli do pracy, to na odpowiednio
skonfigurowanych stacjach wg odpowiednich instrukcji
bezpieczeństwa.
Inne ważne kategorie zagrożeń dla bezpieczeństwa informacji
związane są z podsłuchem pola elektromagnetycznego emitowanego
przez urządzenia komputerowe (monitory, kable itp.) przy
użyciu specjalnego sprzętu i wydobywanie tą droga informacji.
Zagrożenia wiążą się również z klasycznym podsłuchem
pomieszczeń poprzez standardowe pluskwy oraz niezwykle
popularne "nadajniki", jakimi są telefony komórkowe.
Najwięcej jednak kłopotów w ochronie informacji przysparza
wykradanie oraz świadome i nieświadome udostępnianie nośników
informacji: wydruków papierowych, dyskietek, taśm z kopiami
zapasowymi, płyt CD-ROM.
Wszystkie wymienione zagrożenia dla informacji stanowiących
tajemnicę przedsiębiorstwa i informacji prawnie chronionych
mogą być znacznie ograniczone lub nawet wyeliminowane przez
podjęcie odpowiednich działań techniczno-organizacyjnych.
Gdy Zarząd organizacji takich działań nie podejmuje, sam
stwarza niestety poważne zagrożenie dla bezpieczeństwa
przetwarzanych informacji.
W tej kategorii zagrożeń można wymienić najczęściej z nich
spotykane, takie jak:
-
Brak zasad
dotyczących ochrony informacji w firmie,
-
Brak założeń
bezpieczeństwa dla systemów,
-
Brak zasad
stałego monitorowania systemów i usuwania błędów,
-
Brak zasad
bezpieczeństwa korzystania z Internetu,
-
Brak
przeprowadzania analizy zagrożeń i ryzyka dla systemów,
-
Brak
zdefiniowania sytuacji kryzysowych,
-
Brak procedur
postępowania w sytuacjach kryzysowych,
-
Brak szkoleń
pracowników - niska kultura ochrony informacji.
Kultura ochrony informacji
Sukces we wprowadzaniu zasad bezpieczeństwa informacji w
każdej organizacji zależy od wewnętrznego poziomu kultury
ochrony informacji.
Nawet najlepiej stworzone procedury i regulaminy, czy
inwestycje w najnowsze technologie zabezpieczeń systemów
informatycznych czy pomieszczeń, nie ochronią informacji,
jeżeli kultura ochrony informacji nie będzie zaszczepiona
wśród pracowników organizacji.
Kultura przedsiębiorstwa nie tworzy się przez przypadek.
Jest to wynik wszystkich ludzkich postaw, akceptowanych
wartości i norm postępowania.
I chociaż tworzą ją wszyscy pracownicy, to jednak największa
odpowiedzialność spoczywa na tych osobach, które rekrutują
pracowników i na kadrze zarządzających menedżerów. Jednym z
elementów kultury nowoczesnych przedsiębiorstw jest Polityka
Bezpieczeństwa Informacji wdrażana w ich struktury.
Aby jednak ten cel mógł zostać osiągnięty, zasady Polityki
Bezpieczeństwa Informacji muszą stać się normami
przestrzeganymi przez wszystkich pracowników i
współpracowników. Pierwszym, podstawowym problemem jest
uświadomienie pracownikom wartości informacji przetwarzanych w
firmie i wskazanie, które informacje i dlaczego należy
szczególnie chronić. Sens ochrony informacji jako
najcenniejszego dobra w organizacji jest bardzo mało uchwytny.
Bardzo często nie postrzega się udostępniania informacji
(świadomego lub nieświadomego) jako "kradzież". A tak w
rozumieniu Polityki Bezpieczeństwa Informacji należy widzieć
tego typu działalność wszystkich pracowników bez wyjątku.
Kadra zarządzająca nie może tu stać "ponad prawem" i
pokazywać, że przyjęte normy jej nie dotyczą.
Każde zatem naruszenie przez pracowników norm akceptowanych
jako organizacyjne, firmowe, społeczne musi być sankcjonowane
i uznawane za poważne wykroczenie.
Tylko dzięki sankcjom nieformalnym pozostałych pracowników
osoba np. wykradająca dane z firmy może odczuć powagę swojego
postępowania.
Ochrona informacji jest normą nowoczesnej organizacji.
Pokazuję siłę organizacji i jej pewność, co przynosi
najcenniejszą nagrodę - zaufanie klientów i prestiż. Tej normy
nie da się narzucić, trzeba ją wybudować w strukturze
organizacji.
Firmy, które bagatelizują tę normę, mogą w wyniku incydentów
bezpieczeństwa wiele stracić.
Jakie są podstawowe warunki do stworzenia dobrych podstaw dla
kultury ochrony informacji?
Po pierwsze zrozumienie celowości zmiany, jaka będzie się
wiązać z wprowadzeniem zasad Polityki Bezpieczeństwa
Informacji czyli odpowiednia polityka informacyjna.
Po drugie duże zaangażowanie zespołu odpowiedzialnego za ten
proces, w jego realizację. Przygotowanie odpowiedniego
harmonogramu działań, jasność wszystkich zakładanych etapów i
konsekwencja w ich realizacji.
Po trzecie opracowanie zasad zarządzania bezpieczeństwem
informacji i wyznaczenie osób odpowiedzialnych za
bezpieczeństwo informacji.
Po czwarte odpowiednie zarządzanie zasobami ludzkimi:
-
rekrutacja,
selekcja, weryfikacja kandydatów do pracy na podstawie
wcześniej ustalonych kryteriów,
-
ocena -
weryfikacja realizacji zadań i celów związanych z ochrona
informacji,
-
szkolenie i
rozwój - pogłębianie wiedzy i świadomości pracowników w
zakresie ochrony informacji
Polityka Bezpieczeństwa w organizacji
Polityka bezpieczeństwa organizacji jest tematem bardzo
szerokim, obejmującym wiele aspektów wynikających z charakteru
prowadzonej działalności oraz wielkości danej organizacji.
Polityka bezpieczeństwa dzieli się na cztery podstawowe
obszary, które nawzajem się przenikają i uzupełniają:
-
Polityka
organizacyjna - związana z prowadzona działalnością,
zawierająca procedury organizacyjne, w tym procedury
utrzymania ciągłości działania (z ang. BCP - Business
Coninuity Plan) oraz plany awaryjne na wypadek katastrofy (z
ang. DRP - Disaster Recovery Plan), związane z zapasowymi
ośrodkami przetwarzania czy miejscami pracy.
-
Polityka ochrony
fizycznej - związana z ochrona pomieszczeń, budynków, mienia
oraz personelu danej organizacji, zawierająca różnego
rodzaju instrukcje zabezpieczeń, procedury na wypadek
incydentów bezpieczeństwa lub sytuacji zagrożeń.
-
Polityka
personalna - związana z odpowiednim doborem personelu na
dane stanowiska, procedurami dotyczącymi zapoznania
pracowników z zasadami bezpieczeństwa (BHP, procedury
awaryjne, procedury ochrony informacji), ich szkoleniami
oraz procedurami działania na wypadek braku odpowiedniego
personelu.
-
Polityka
Bezpieczeństwa Informacji - związana z zarządzaniem i
ochroną informacji stanowiących tajemnice przedsiębiorstwa i
informacji prawnie chronionych, dopuszczanie osób do
informacji oraz systemów przetwarzania informacji do
eksploatacji, procedurami kryzysowymi na wypadek incydentów
bezpieczeństwa.
W zależności od
wielkości organizacji poszczególne obszary są zarządzane w
odpowiednich komórkach organizacyjnych. Aby polityka
bezpieczeństwa organizacji była spójna należy wprowadzić
wspólne standardy dotyczące planów awaryjnych na wypadek
wystąpienia sytuacji kryzysowych.
Polityka Bezpieczeństwa Informacji
Aby móc właściwie chronić informacje w organizacji trzeba
stworzyć zbiór zasad (regulaminy, instrukcje i procedury itp.)
obowiązujących przy przetwarzaniu i wykorzystaniu informacji w
organizacji zwany Polityką Bezpieczeństwa Informacji.
Polityka Bezpieczeństwa Informacji dotyczy całego procesu
korzystania z informacji, niezależnie od sposobu jej
przetwarzania (tj. zbierania, utrwalania, przechowywania,
opracowywania, zmieniania, udostępniania i usuwania).
Dotyczy wszystkich systemów przetwarzania informacji, zarówno
systemów prowadzonych klasycznie (archiwa, kartoteki,
dokumenty papierowe) jak i systemów komputerowych. Jest wiele
metod i podejść, bardziej i mniej skutecznych, tworzenia
Polityki Bezpieczeństwa Informacji. Praktyczne podejście do
tematu ochrony informacji wiąże się z rozpoznaniem
rzeczywistych potrzeb organizacji w zakresie ochrony
informacji, oczywiście w zgodzie z polskim prawodawstwem i
wpasowanie zasad ochrony do kultury danej organizacji.
Początkiem sukcesu jest dobra strategia ochrony informacji i
plan wdrożenia.
Najpierw należy się zorientować, jakie rodzaje informacji są w
organizacji przetwarzane. Kolejnym krokiem będzie analiza
ryzyka przetwarzanych informacji przeprowadzona poprzez audyty
i testy bezpieczeństwa systemów, w których informacje są
przetwarzane.
Następnie będzie można opracować pierwszą wersję dokumentów
Polityki Bezpieczeństwa informacji, a na końcu wdrożyć
Politykę tak by była akceptowana i przestrzegana przez
wszystkich pracowników firmy.
W rezultacie tak skonstruowana Polityka Bezpieczeństwa pozwala
zarządzać ryzykiem i bezpieczeństwem przetwarzanych informacji
z uwzględnieniem aspektów prawnych ochrony informacji przy
zastosowaniu odpowiednich rozwiązań proceduralnych i
technicznych wdrożonych w celu pełnej ochrony informacji.
(...)
Źródło:
http://www.ensi.net/odo/archiw/nr1_art01.html
|