Polityka bezpieczeństwa informacji w firmie

Informacja to dziś jedna z najbardziej pożądanych rzeczy. Dostęp do niej daje możliwość rozwoju, stąd nic dziwnego, że firmy tak pilnie jej strzegą. Pomaga w tym polityka bezpieczeństwa informacji, określając zasady ich pozyskiwania, przetwarzania i udostępniania. Sprawdź, jak ją opracować.

Czym jest polityka bezpieczeństwa informacji?

Polityka bezpieczeństwa informacji (PBI) to zbiór reguł, zgodnie z którymi przedsiębiorstwo zarządza informacjami. Określa, na jakich zasadach w firmie pozyskuje się, przetwarza i udostępnia dane. Dobrze opracowana polityka bezpieczeństwa informacji spełnia trzy podstawowe funkcje:

• funkcja informacyjna – opracowanie dokumentu jest komunikatem dla pracowników, kontrahentów i osób współpracujących. Zapewnia o wdrożeniu procedur, które mają na celu ochronę danych,
• funkcja dostosowawcza – zapewnia zgodność pozyskiwania, przetwarzania, archiwizowania i utylizowania danych z obowiązującymi przepisami,
• funkcja prewencyjna – chroni przed działaniami, których celem jest bezprawne pozyskanie lub wykorzystanie danych.

Jak zadbać o bezpieczeństwo informacji w firmie?

Polityka bezpieczeństwa informacji w firmie nie może być wyłącznie martwą literą prawa. Aby spełniała swoją rolę, należy opracować ją, mając na uwadze specyfikę przetwarzanych informacji. W tym celu musimy przejść przez 3 etapy:

• audyt wstępny – określa, z jakiego typu informacjami mamy do czynienia, kto ma do nich dostęp, jakie zabezpieczenia dotychczas wdrożono. Rzetelny audyt pozwala wyszczególnić słabe punkty, które firma powinna dopracować,
• wdrożenie zmian – na tym etapie tworzymy procedury, opracowujemy też rozwiązania na wypadek zagrożenia,
• szkolenie pracowników – pracownicy powinni być przeszkoleni w zakresie nowych rozwiązań; muszą też wiedzieć, jak będą funkcjonowały w praktyce.

Opracowanie polityki bezpieczeństwa informacji najczęściej wiąże się z wprowadzeniem pewnych zmian, na przykład w zakresie ulepszenia systemów ochrony. Pozwala także nadawać uprawnienia pracownikom tylko wtedy, gdy jest to konieczne.

Jak chronić informacje poufne w firmie?

Bezpieczeństwo w firmie dotyczy najczęściej danych poufnych, których wyciek może wiązać się ze znacznymi stratami. W tym miejscu trzeba jednak rozgraniczyć dwie kwestie. Pierwsza dotyczy danych chronionych prawnie, co do których mają zastosowanie konkretne przepisy. Na przykład w przypadku danych osobowych będzie to Rozporządzenie o ochronie danych osobowych (RODO). Druga kwestia dotyczy danych kluczowych z punktu widzenia przedsiębiorstwa, które należy chronić ze względu na ich wartość. W pierwszym przypadku musimy ściśle przestrzegać przepisów, w drugim natomiast nie jesteśmy nimi ograniczeni. Z drugiej strony, im silniejsze zabezpieczenia zapewnimy zarówno w jednej, jak i w drugiej kategorii, tym mniejsze ryzyko ponosimy.

Co zawiera przykładowa polityka bezpieczeństwa informacji?

Aby chronić informacje poufne w firmie, należy opracować, a następnie wdrożyć odpowiednie procedury. Przykładowa polityka bezpieczeństwa informacji powinna zawierać:

• definicję bezpieczeństwa – z jednoczesnym wyszczególnieniem rodzaju chronionych informacji,
• zasady ograniczania dostępu – kto i w jakich sytuacjach może uzyskać dostęp do dokumentów,
• zasady dotyczące wykorzystania haseł – sposobu ich nadawania i częstotliwości zmian,
• zabezpieczenia nośników danych – w kontekście zarówno dokumentów papierowych, jak i elektronicznych,
• zakres odpowiedzialności pracowników za dane poufne – przy czym dodatkowe regulacje w tym zakresie można zawrzeć w umowie o pracę,
• zasady dotyczące monitoringu bezpieczeństwa – zwłaszcza w zakresie infrastruktury firmowej,
• zasady transportowania danych – w jaki sposób informacje mogą być przekazywane pracownikom i osobom trzecim. Zasady te dotyczą również zewnętrznej archiwizacji,
• zasady korzystania z dokumentu – punkt ten określa, w jaki sposób pracownicy mogą korzystać z polityki bezpieczeństwa informacji.

System zarządzania bezpieczeństwem informacji w firmie musi być szczelny, dlatego w dokumencie nie można pominąć żadnych istotnych kwestii. Warto opracować go we współpracy z prawnikami, informatykami i osobami, które zajmują się bezpieczeństwem danych.

Polityka bezpieczeństwa informacji – o czym warto pamiętać?

Sporządzenie polityki bezpieczeństwa informacji w firmie to pierwszy krok do zwiększenia ochrony danych, a tym samym zabezpieczenia ich przed wyciekiem. Bardzo ważne jest jednak wdrożenie wprowadzonych w dokumencie zmian, tak aby nie był on wyłącznie pustym zarządzeniem. Warto też pamiętać o okresowych audytach zarówno w kontekście aktualności rozwiązań, jak i ich funkcjonowania. Dzięki temu w porę można wychwycić nieprawidłowości i wdrożyć działania naprawcze.

Obecnie liczne aplikacje i narzędzia wspomagają realizację polityki bezpieczeństwa. Korzystanie z nich nie tylko zwiększa poziom ochrony, ale też ułatwia pracę. Z drugiej strony, ich użytkowanie niejako wymusza rynek. Na przykład księgowości nikt już nie prowadzi odręcznie, a za pomocą specjalistycznych systemów. Warto wybrać takie, które wpisują się w charakter organizacji i informacji, jakie przetwarza.

Co powinna zawierać skuteczna polityka bezpieczeństwa informacji?

Powinna definiować cele, role i odpowiedzialności, zasady klasyfikacji informacji, reguły dostępu, wymagania dot. haseł/urządzeń, zasady pracy z dokumentami oraz procedury reagowania na incydenty i zgłaszania naruszeń.

Jak przełożyć politykę na praktyczne procedury dla pracowników?

Najlepiej wprowadzić krótkie instrukcje „co robić” (np. udostępnianie, archiwizacja, niszczenie), checklisty, szkolenia oraz jasne zasady dla najczęstszych sytuacji: praca zdalna, wysyłka dokumentów, dostęp do systemów i nośników.

Jak często aktualizować politykę bezpieczeństwa i kiedy robić przegląd?

Przegląd warto robić cyklicznie (np. raz w roku) oraz zawsze po zmianach w systemach, procesach lub po incydencie. Polityka powinna „nadążać” za realnym sposobem pracy. Jakie elementy polityki są kluczowe przy audycie lub incydencie? Najczęściej sprawdza się: czy są role i upoważnienia, czy działa kontrola dostępu, czy jest klasyfikacja informacji, czy procesy są udokumentowane oraz czy organizacja ma procedury reagowania i dowody ich stosowania (logi, rejestry, potwierdzenia).