Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji
Polecane artykuły


Polityka bezpieczeństwa informacji - zestaw uwierzytelnionych procedur i zasad bezpieczeństwa razem z programem na ich wprowadzenie oraz egzekwowanie (Rozporządzenie Rady Ministrów 2012, art. 2, pkt. 15).

Informacja

Informacja od zawsze była i zawsze będzie jedną z najważniejszych wartości dla każdego człowieka, społeczeństwa, gospodarki, państwa czy instytucji. Informacja jest zasobem, który w dzisiejszych czasach jest najczęściej poszukiwany (J. Łuczak, M. Trybulski 2009, s. 7). Odkąd pojawił się internet oraz telefonia komórkowa, odległość przy wymianie informacji przestała mieć jakiekolwiek znaczenie. Uprościło nam to również poszukiwanie informacji, mamy do niej o wiele lepszy dostęp niż kiedyś.

Informacja odzwierciedla realia panujące w życiu społecznym (W. Krztoń 2015, s. 101).

Informacja jest zbiorem, w którym opisywane są obiekty każdej natury. Zawarty jest on w określonej wiadomości. Osoba, do której taka wiadomość dotarła, jest w stanie ustosunkować się do zaistniałej sytuacji oraz podjąć w związku z tym odpowiednie działania (T. Dukiewicz 2011, s. 40). Wartość informacji będzie zależna od tego, jaki wpływ będzie mieć na zmianę rzeczywistości. Aby opisać informację, użyjemy terminów takich jak wiedza, dane i mądrość. Dane jako zbiór wartości oraz nazw, które zostały odpowiednio uporządkowane, opisują dany obiekt. Wiedza są to informacje, które wykorzystywane są w zgodzie z warunkami w podejmowanych działaniach. Mądrość to natomiast wiedza, zgodnie z która podmiot ma możliwość realizacji swoich celów w zgodzie z systemem wartości, który sobie założył (W. Krztoń 2015, s. 105).

Bezpieczeństwo informacji

Bezpieczeństwo rozumiane jako moment, w którym nie ma zagrożenia (A. Białas 2007, s. 27). Nawiązując do bezpieczeństwa informacji, wiąże się to z nieprzerwanym działaniem procesów instytucji. Jest to stan, w którym informacje należące do instytucji nie są zagrożone (J. Łuczak 2016, s. 59). Do aspektów bezpieczeństwa informacji zaliczamy:

  • dostępność,
  • poufność,
  • niezawodność,
  • integralność,
  • autentyczność (Białas A. 2007, s. 37).

Dostępność jest tutaj rozumiana jako udostępnianie informacji osobą do tego upoważnionym, poufność jako nieudostępnianie nieodpowiednim osobą. Integralność określamy jako zapewnienie kompletności i dokładności, autentyczność oznaczać będzie prawdziwość informacji a niezawodność oznacza spełnianie określonych zadań w odpowiednim czasie.

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji to asortyment dokumentów, które opisują zasady, jak i metody zapewniania bezpieczeństwa i ochrony informacji. Dokumenty te muszą być zgodne z obowiązującym prawem. Polityka bezpieczeństwa jest podstawą do kreowania dokumentów, które wyznaczają warunki, jakie muszą pozostać spełnione przez systemy zarówno papierowe, jak i informatyczne oraz nakreślają wymagania dla poszczególnych grup informacji. Uwzględnia się tutaj aspekt prawny systemów informatycznych oraz ochrony informacji (M. Kowalewski, A. Ołtarzewska 2007, s. 4). Musi ona zawierać:

  • wykaz pomieszczeń lub ich części, budynków, w których dane osobowe są przetwarzane,
  • sposób, w jaki przepływają dane między systemami,
  • wykaz programów, które używane są do przetwarzania danych oraz zestawienie zbiorów danych,
  • określenie środków organizacyjnych, jak i technicznych, które niezbędne są do zapewnienia integralności, rozliczalności i poufności danych, które są przetwarzane,
  • opis budowy zbiorów danych, które wskazują powiązania pomiędzy polami informacyjnymi oraz wskazujące na zawartość określonych pól (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 2004, art. 4).

Istota polityki bezpieczeństwa informacji

Informacja determinuje sukces organizacji, jest jednym z jego najistotniejszych zasobów. Wszyscy pracownicy instytucji powinni ją więc należycie chronić. Bardzo istotna jest odpowiednia ochrona informacji, a co za tym idzie należy spełniać należyty stopień bezpieczeństwa informacji. Aby móc to osiągnąć należy w odpowiedni sposób przygotować zasoby organizacji, a następnie należycie nimi zarządzać. Należy więc właściwie ułożyć, a następnie egzekwować politykę bezpieczeństwa informacji (M. Kowalewski, A. Ołtarzewska 2007, s. 3). Każda organizacja jest w posiadaniu informacji, które muszą być chronione czy to ze względu prawnego, czyli informacje niejawne, dane osobowe czy ze względu na interes organizacji, czyli informacje inwestycyjne, finansowe, patenty itp. (M. Kowalewski, A. Ołtarzewska 2007, s. 3). Do celów w zakresie gwarancji bezpieczeństwa i ochrony informacji należą:

  • zapewnianie poufności informacji,
  • zagwarantowanie bezpiecznego oraz poprawnego funkcjonowania systemów, które zajmują się przetwarzaniem informacji,
  • całkowite zmniejszenie możliwości pojawienia się niebezpieczeństw w stosunku do informacji,
  • gwarancja odpowiedniego poziomu bezpieczeństwa informacji, które są przetwarzane (M. Kowalewski, A. Ołtarzewska 2007, s. 4).

Opracowanie polityki bezpieczeństwa informacji

Po pierwsze należy zdefiniować termin bezpieczeństwo informacji. Jak już wcześniej wspomniałam polityka bezpieczeństwa informacji to asortyment dokumentów, które opisują zasady, jak i metody zapewniania bezpieczeństwa i ochrony informacji. Omawiana polityka powinna zawierać wszelkie zasady przetwarzania, wytwarzania, przesyłania oraz przechowywania informacji pod względem zagwarantowania jej bezpieczeństwa. Bardzo ważne jest to, aby polityka bezpieczeństwa informacji była zgodna z prawem, czyli należy ją opracować na podstawie obecnie obowiązujących rozporządzeń oraz ustaw dotyczących między innymi ochrony praw autorskich i danych osobowych czy ochrony informacji niejawnych (M. Kowalewski, A. Ołtarzewska 2007, s. 5). Aby opracować odpowiednią politykę bezpieczeństwa informacji należy wziąć pod uwagę wiele czynników związanych z daną organizacją takich jak jej:

  • specyfika funkcjonowania
  • procesy, które zachodzą w tej instytucji
  • charakter
  • struktura organizacji

Politykę bezpieczeństwa informacji powinna obejmować wszystkich pracowników określonej instytucji. Powinna ona być stale aktualizowana.

Bibliografia

Autor: Jan Fidowicz

Uwaga.png

Treść tego artykułu została oparta na aktach prawnych.

Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu.