Polityka bezpieczeństwa informacji
zbiór zaleceń, reguł i wytycznych postępowania zebranych w jednym lub ewentualnie kilku dokumentach, których przestrzeganie ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa informacji w organizacji. Polityka bezpieczeństwa informacji jest częścią systemu zarządzania bezpieczeństwem informacji. Treść dokumentu PBI może odzwierciedlać kompleksową strukturę tego systemu i obejmować m.in. wytyczne dotyczące obsługi sieci teleinformatycznych i ich zabezpieczeń, regulacje w zakresie obiegu dokumentów wewnątrz organizacji, poziomy dostępu do informacji i jej zasobów, fizycznego dostępu do pomieszczeń, w których są przechowywane i przetwarzane informacje oraz zalecenia dotyczące szkoleń pracowników w zakresie bezpieczeństwa informacyjnego. Proces konstruowania polityki bezpieczeństwa informacji powinien obejmować:
- identyfikację zasobów informacyjnych, które należy poddać ochronie (w tym analizę różnych grup informacji, np. niejawnych, do użytku wewnętrznego i publicznych, finansowo-księgowych, tajemnice przedsiębiorstwa, informacji strategicznych i instytucjonalnych);
- określenie wartości posiadanych zasobów;
- analizę ryzyka i rozpoznanie potencjalnych zagrożeń dla bezpieczeństwa informacyjnego w danej organizacji;
- porównanie ryzyka ze zidentyfikowaną wartością posiadanych zasobów, rachunek kosztów i zysków (np. porównanie wydatków na szkolenia pracowników z ewentualnymi stratami spowodowanymi wystąpieniem naruszeń bezpieczeństwa informacji);
- analizę wymogów prawnych, które mogą mieć wpływ na procesy przetwarzania określonych grup informacji (np. danych osobowych);
- wybór zabezpieczeń i mechanizmów kontrolnych (organizacyjnych i technicznych), które ograniczą zidentyfikowane wcześniej ryzyko do akceptowalnego poziomu.
Zaleca się, aby polityka bezpieczeństwa informacji obejmowała zakresem wszystkie procesy informacyjne zachodzące w organizacji (m.in. zbieranie, utrwalanie, przechowywanie, przekazywanie, transformację, udostępnianie i usuwanie informacji) we wszystkich systemach przetwarzania informacji (zarówno systemach teleinformatycznych, jak i systemach tradycyjnych, np. archiwach, kartotekach i bibliotekach).
Przykładowa polityka bezpieczeństwa informacji może mieć następującą strukturę:
- Wstęp/postanowienia ogólne – określenie zasad, podstaw prawnych i norm wpływających na sposób ochrony informacji w danej organizacji. Istotne jest także zdefiniowanie najważniejszych pojęć stosowanych w dokumencie (np. bezpieczeństwo informacji, dane osobowe, sieć lokalna, atrybuty bezpieczeństwa informacji: rozliczalność, integralność, poufność, dostępność, zarządzanie ryzykiem).
- Analiza ryzyka – ocena skutków ewentualnych naruszeń bezpieczeństwa informacji, uwzględniająca także inwentaryzację i klasyfikację aktywów informacyjnych oraz opracowany plan postępowania z ryzykiem.
- Upoważnienia/uprawnienia – określenie odpowiedzialności za nadawanie i anulowanie uprawnień do dostępu do informacji i systemów informacyjnych, formy nadawania uprawnień i zasad tworzenia ewidencji osób mających określone uprawnienia.
- Instrukcja postępowania z incydentami i naruszeniami bezpieczeństwa – wskazanie przykładowego katalogu zagrożeń i sposobów ich zgłaszania, określenie sposobu zachowania się osób odpowiedzialnych za reagowanie na incydenty i zagrożenia dla bezpieczeństwa oraz pozostałych pracowników.
- Szkolenia z zakresu bezpieczeństwa informacji – regulamin przeprowadzania szkoleń doskonalących dla pracowników i kadry kierowniczej w zakresie bezpieczeństwa informacji (np. cykliczność szkoleń, sposób ewaluacji zdobytej wiedzy i umiejętności, zakres tematyczny szkoleń).
- Audyt bezpieczeństwa informacji – zasady prowadzenia audytu bezpieczeństwa informacji w organizacji (np. zakres odpowiedzialności osób uczestniczących w audycie, cykliczność działań audytowych, zasady wdrażania zaleceń wynikających z audytu).
- Wykaz zabezpieczeń informacji stosowanych w organizacji – charakterystyka środków organizacyjnych (m.in. polityka czystego biurka i ekranu, instrukcje zarządzania systemem informatycznym, powołanie administratorów bezpieczeństwa danych i informacji), środków ochrony fizycznej i danych (m.in. zabezpieczanie pomieszczeń, w których przetwarzane są informacje, kontrola dostępu do sprzętu, system ochrony i monitoringu, przechowywanie kopii zapasowych danych i informacji, zabezpieczenia przeciwpożarowe), środków zabezpieczenia systemów informatycznych i sieci komputerowych (np. zabezpieczenia sieci lokalnej, systemów operacyjnych, oprogramowanie antywirusowe) oraz środków zapewniających kontrolę dostępu (m.in. zasady nadawania identyfikatorów użytkowników i haseł, zmiany haseł dostępu, stosowania podpisów cyfrowych).
Norma PN-EN ISO/IEC 27001:2017-06 – wersja polska, Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania, charakteryzująca podstawy budowania systemu zarządzania bezpieczeństwem informacji w organizacji, określa kilka podstawowych elementów i cech, które powinny być uwzględnione w polityce bezpieczeństwa informacji. Polityka ta powinna odpowiadać celowi działania organizacji, zawierać cele bezpieczeństwa informacji i zobowiązania do spełniania wymagań bezpieczeństwa, a także zobowiązywać organizację do ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Nie istnieją jednak powszechnie obowiązujące standardy dotyczące budowania PBI, taki dokument powinien zostać dostosowany do potrzeb i specyfiki danej organizacji. Przy tworzeniu ogólnej PBI będącej częścią systemu zarządzania bezpieczeństwem informacji w organizacji wykorzystuje się normy polskie i międzynarodowe oraz zapisy ustaw i rozporządzeń w zakresie m.in. ochrony informacji niejawnych, podstawowych wymagań dotyczących systemów i sieci teleinformatycznych, ochrony danych osobowych oraz praw autorskich i praw pokrewnych. Specyficzną formą polityki bezpieczeństwa informacji, określoną przepisami prawa, była jednak polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wprowadzona Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Podmioty przetwarzające dane osobowe zobowiązane były do posiadania polityki bezpieczeństwa zawierającej informacje o obszarze, w którym przetwarzano dane osobowe (np. wykaz pomieszczeń), zbiorach danych osobowych oraz o oprogramowaniach wykorzystywanych do przetwarzania danych, strukturze posiadanych baz danych osobowych, sposobie przepływu danych między systemami oraz o środkach technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa. Przepisy ogólnego rozporządzenia o ochronie danych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) nie są już tak szczegółowe – rozporządzenie zobowiązuje wyłącznie do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych oraz do wykazania przestrzegania rozporządzenia (czyli m.in. przyjęcia wewnętrznych polityk).
Każda organizacja powinna mieć opracowaną i zatwierdzoną przez kadrę zarządzającą politykę bezpieczeństwa informacji (lub ewentualnie zbiór polityk). Wdrożeniem założeń określonych polityką zazwyczaj zajmują się osoby upoważnione i wyznaczone przez kierownictwo, np. administratorzy systemów informatycznych. PBI musi zostać przedstawiona pracownikom organizacji, a jej znajomość i zrozumienie przez nich potwierdzona. Zaleca się, aby polityka bezpieczeństwa informacji napisana została w sposób prosty i zrozumiały, oraz była dostępna dla wszystkich zainteresowanych i uprawnionych osób. Wymagane jest, aby polityka bezpieczeństwa informacji poddawana była regularnym kontrolom, aby mieć pewność, że zawarte w niej wytyczne są właściwe i efektywne dla potrzeb organizacji w danym momencie w kontekście zachodzących zmian. Każda zmiana polityki powinna zostać przedstawiona pracownikom organizacji.
Polityka bezpieczeństwa informacji jest jednym z elementów systemu zarządzania bezpieczeństwem informacji w organizacji, który podlega analizie podczas prowadzenia audytu bezpieczeństwa informacji. Podczas analizy PBI audytorzy sprawdzają czy organizacja w ogóle opracowała taki dokument, a jeśli taki dokument istnieje, to czy został udostępniony, przeczytany i zrozumiany przez pracowników. Analizuje się m.in., czy dokument zawiera podział odpowiedzialności i uprawnień pracowników, opis infrastruktury bezpieczeństwa, zasady i sposoby postępowania z informacją w celu zapewnienia jej bezpieczeństwa, wymogi bezpieczeństwa dla zawieranych przez organizację umów itd. Polityka bezpieczeństwa informacji jest także analizowana pod kątem odnalezienia nieprawidłowości w jej sformułowaniu, sprawdza się m.in., czy sposób spisania dokumentu jest odpowiedni (np. poziom zrozumiałości języka, przystępność struktury) oraz czy dokument nie zawiera zbyt wielu szczegółowych informacji o zastosowanych rozwiązaniach technicznych zapewniających bezpieczeństwo informacji i jej systemów. Wyniki audytu informacji mogą stanowić podstawę i źródło danych do opracowania efektywnej polityki bezpieczeństwa informacji. Polityka bezpieczeństwa informacji może przybrać formę regulaminu (np. regulamin pracy zdalnej i korzystania z sieci komputerowej), instrukcji (np. postępowania w przypadku wystąpienia incydentu naruszenia bezpieczeństwa informacji, konieczności zbycia sprzętu lub nośnika informacji, tworzenia kopii zapasowych) lub polityki bezpieczeństwa konkretnych grup informacji (np. polityka bezpieczeństwa danych osobowych).
A. Gałach, R. Wójcik, Zarządzanie bezpieczeństwem informacji w sektorze publicznym, Wydawnictwo C.H. Beck, Warszawa 2009; J. Janczak, A. Nowak, Bezpieczeństwo informacyjne: wybrane problemy, Akademia Obrony Narodowej, Warszawa 2013; A. Jandziś, Przykładowa polityka bezpieczeństwa, https://securitum.pl/baza-wiedzy/przykladowa-polityka-bezpieczenstwa/ 2017 [dostęp: 30.04.2019]; M. Kowalewski, A. Ołtarzewska, Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności – Państwowego Instytutu Badawczego, „Telekomunikacja i Techniki Informacyjne” 2007, nr 3–4; K. Liderman, Bezpieczeństwo informacyjne: nowe wyzwania, Wydawnictwo Naukowe PWN, Warszawa 2017;Norma PN-EN ISO/IEC 27001:2017-06 – wersja polska, Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania; M. Pałęga, Zarządzanie ryzykiem bezpieczeństwa informacji w świetle wymagań normatywnych, „Systemy Wspomagania w Inżynierii Produkcji” 2017, vol. 6, is. 9; T. Polaczek, Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice 2006; J. Żywiołek, E. Staniewska, Rola polityki bezpieczeństwa informacji w ochronie danych przedsiębiorstwa, „Prace Naukowe Akademii im. Jana Długosza w Częstochowie: Technika, Informatyka, Inżynieria Bezpieczeństwa”, 2014, t. II.