Pracownicy w systemie zarządzania bezpieczeństwem informacji


Waldemar Gełzakowski
Konsultant Centrum Doskonalenia Zarządzania MERITUM

W obecnych czasach informacja jest jednym z najważniejszych czynników wpływających na efektywne funkcjonowanie organizacji. Dla firmy ważnym jest, aby informacja była w „zasięgu ręki” wtedy, kiedy jest niezbędna, żeby była zawsze aktualna oraz poufna – dostępna tylko dla tych osób, dla których jest przeznaczona. Coraz częściej rozpoczynane są wdrożenia systemów informacyjnych, informatycznych, polityk bezpieczeństwa lub systemów zarządzania bezpieczeństwem informacji w nadziei, że pomoże to w zapanowaniu nad panującym w organizacji chaosem informacyjnym. W efekcie stosowane są różne zabezpieczenia: techniczne i organizacyjne, mające na celu zapewnienie bezpieczeństwa informacji, czyli jej poufności, integralności i dostępności.

W dobie wszech obecnie panującej informatyzacji kierownictwo wielu firm widzi w wykorzystaniu skomplikowanych systemów informatycznych rozwiązanie wszystkich swoich problemów. Niestety żadne techniczne zabezpieczenia nie zabezpieczają w 100% przed utratą, zniekształceniem czy ujawnieniem informacji. Najsłabszym ogniwem całego systemu bezpieczeństwa są zawsze ludzie. Naruszenia bezpieczeństwa niekoniecznie powodowane są przez świadome działanie pracowników, bardzo często są one efektem niewiedzy lub braku przewidywania skutków swojego postępowania.

Standard bezpieczeństwa

Coraz popularniejszy staje się w Polsce system zarządzania bezpieczeństwem informacji zgodny z wymaganiami normy ISO 27001. Zawiera on m.in. propozycję 134 rodzajów zabezpieczeń, które mogą być zastosowane w firmie w celu zwiększenia ochrony informacji. Zabezpieczenia te podzielone zostały na grupy:

1. Polityka bezpieczeństwa

2. Organizacja bezpieczeństwa

3. Zarządzanie aktywami

4. Bezpieczeństwo osobowe

5. Bezpieczeństwo fizyczne i środowiskowe

6. Zarządzanie systemami i sieciami

7. Kontrola dostępu

8. Rozwój i utrzymanie systemu

9. Zarządzanie incydentami

10. Zarządzanie ciągłością działania

11. Zgodność

Każda z grup obejmuje kilka lub kilkanaście konkretnych zabezpieczeń, co do stosowania których organizacja musi się zadeklarować. Znaczna część zabezpieczeń odnosi się do sfery zabezpieczeń technicznych, takich jak struktury sieci, urządzenia aktywne, pasywne, oprogramowanie itp. Kolejną, równie liczną, grupa zabezpieczeń jest związana bezpośrednio lub pośrednio z ludźmi i ich działalnością.

Zarządzanie bezpieczeństwem

Podstawowymi zasadami przy tworzeniu struktur zarządzających bezpieczeństwem są:

  • bezwzględne oddzielenie funkcji zarządzających i kontrolnych od funkcji wykonawczych
  • uniemożliwienie nadużyć i maksymalne ograniczenie błędów popełnianych przez pojedyncze osoby w ramach ich odpowiedzialności
  • zapewnienie niezależności i bezinteresowności osób dokonujących audytu bezpieczeństwa przy zapewnieniu gwarancji zachowania tajemnicy

Wszystkie procesy bezpieczeństwa, a także rozwiązania bezpieczeństwa oraz organizacja jego zapewniania, muszą być zgodne z powyższymi zasadami.

Polityka bezpieczeństwa

Zarząd jest odpowiedzialny za całość bezpieczeństwa informacji w przedsiębiorstwie. Swój pomysł na realizację i zapewnienie bezpieczeństwa wyraża w polityce bezpieczeństwa. Dokument ten powinien być udostępniony wszystkim pracownikom oraz współpracownikom w celu zaznajomienia ich z wymaganiami systemu bezpieczeństwa organizacji.

Forum bezpieczeństwa

System bezpieczeństwa obejmuje wszystkie obszary działania organizacji. Do skutecznego zarządzania nim powinno się zaangażować reprezentantów kluczowych obszarów funkcjonowania: przedstawiciela HR (dział personalny), IT (dział informatyki), ochrony, działu prawnego itp. Taka struktura zapewnia uwzględnienie potrzeb, ale i oczekiwań różnych środowisk w organizacji.

  • Na poziomie strategicznym ustalana jest polityka bezpieczeństwa informacji, uwzględniająca wyniki analizy ryzyka. W procesy decyzyjne tego poziomu zaangażowane jest najwyższe kierownictwo Spółki, określające zasadnicze kryteria bezpieczeństwa informacji.
  • Na poziomie taktycznym tworzone są standardy bezpieczeństwa informacji oraz zasady kontroli ich przestrzegania. W te procesy decyzyjne zaangażowane jest głównie kierownictwo.
  • Na poziomie operacyjnym prowadzona jest administracja bezpieczeństwem informacji pod kątem pełnego stosowania standardów bezpieczeństwa oraz rozwiązywania sytuacji zakłóceń wynikających z naruszenia tych standardów (intencjonalnego lub przypadkowego).

Zarządzanie aktywami

Najwyższe kierownictwo, wspierane przez forum bezpieczeństwa, ustala ogólne kierunki rozwoju systemu bezpieczeństwa oraz podstawowe zasady jego funkcjonowania. Na poziomie taktycznym niezbędne jest operacyjne zarządzanie aktywami. Zgodnie z przyjętą polityką bezpieczeństwa, kierownictwu przypisuje się odpowiedzialność za poszczególne aktywa (informacje, dokumenty, systemy informacyjne, informatyczne itp.). Właściciele aktywów określają zasady postępowania ze swoimi aktywami: co wolno, czego nie wolno, komu i w jaki sposób oraz są odpowiedzialni za codzienną ochronę swoich aktywów.

Bezpieczeństwo osobowe

Bezpieczeństwo związane z ludźmi można podzielić na trzy etapy:

  • Przed zatrudnieniem
  • Podczas zatrudnienia
  • Zakończenie lub zmiana zatrudnienia

Przed zatrudnieniem pracownika, współpracownika należy jasno określić role i zakresy odpowiedzialności, zobowiązania oraz obowiązki w zakresie bezpieczeństwa. Często stosowanym zabezpieczeniem jest postępowanie sprawdzające potencjalnych kandydatów wg kryteriów zgodnych z polityką bezpieczeństwa organizacji.

Podczas zatrudnienia kierownictwo organizacji oczekuje i egzekwuje realizacji wymagań polityki bezpieczeństwa, z drugiej strony zobowiązane jest do uświadamiania pracownikom zagadnień dotyczących bezpieczeństwa.

W celu zagwarantowania skuteczności funkcjonowania systemu bezpieczeństwa informacji zaleca się traktowanie zmiany zatrudnienia (np.: zmiana stanowiska, istotna zmiana zakresu obowiązków) jako zakończenia a następnie rozpoczęcia zatrudnienia. Co to znaczy? Wyobraźmy sobie sytuację, że pracownik w ramach zmiany zatrudnienia przechodzi z jednego działu do drugiego. W takim przypadku możemy postąpić na dwa sposoby. Możemy nadać nowe uprawnienia, wynikające z nowego przydziału (nowa karta, hasła, sprzęt), usunąć dotychczasowe ze starego działu i jednocześnie pozostawić resztę bez zmian. Taki sposób wydaje się rozsądny. Ale tu pojawiają się zagrożenia. Im dłużej pracownik funkcjonuje w firmie, tym w coraz większej ilości zmian mniejszych lub większych brał udział: a to chwilowy dostęp do systemu finansowego, związany z koniecznością np. przygotowania oferty, czy zastępstwo kolegi z powodu jego choroby. Bardzo rzadko fakt nadania/zmiany uprawnień, szczególnie tych drobniejszych, jest rejestrowany. W efekcie chcąc zmodyfikować stare uprawnienia de facto nie jesteśmy w stanie tego zrobić skutecznie, ponieważ nie mamy informacji nt. wszystkich ich modyfikacji.

Dobrą praktyką jest traktowanie zmiany jako zakończenia i zatrudnienia od nowa. Zakończenie powinno gwarantować skuteczne usunięcie wszystkich uprawnień (np. przekazanie informacji o zakończeniu zatrudnienia do wszystkich właścicieli aktywów, a oni są odpowiedzialni za sprawdzenie swoich systemów i usunięcie z nich uprawnień danej osoby, zapewnienie zwrotu aktywów, z których dany pracownik korzystał – komputer, samochód, telefon itp.). A następnie nadanie nowych praw „od zera”. Jest to sposób wymagający nieco większego nakładu pracy, ale jednocześnie zapewniający, że żadne uprawnienie nie zostanie pominięte – szczególnie w przypadku wprowadzania zmian.

Odpowiedzialności w praktyce

Poniższy schemat prezentuje przypisanie odpowiedzialności za poszczególne obszary zarządzania bezpieczeństwa do właściwych struktur organizacyjnych w przedsiębiorstwie. System bezpieczeństwa obejmuje wszystkie komórki organizacyjne przedsiębiorstwa. Informacja jest na tyle bezpieczna, na ile jest to zapewnione przez najsłabszy element systemu. Szczególnie istotnym elementem jest ustalenie oraz przekazanie odpowiednich zakresów odpowiedzialności wszystkim pracownikom i innym osobom mającym wpływ na bezpieczeństwo (współpracownikom, kontrahentom, klientom itp.).

Przykładowe zakresy odpowiedzialności:

Zarząd odpowiada za:

  • całość bezpieczeństwa informacji; za nadzór nad realizacją Polityki Bezpieczeństwa Informacji oraz innych dokumentów wewnętrznych związanych z ochroną informacji;
  • decydowanie o współpracy w zakresie bezpieczeństwa z innymi podmiotami;
  • wyrażanie zgody na udostępnienie stronom trzecim informacji stanowiących tajemnicę firmy;

Pełnomocnik ds. Bezpieczeństwa Informacji jest odpowiedzialny za:

  • nadzór nad przestrzeganiem zasad ochrony informacji obowiązujących w firmie;
  • koordynację zapewnienia bezpieczeństwa informacji oraz związanych z nim polityk i procedur;
  • podejmowanie odpowiednich działań w przypadku wykrycia naruszeń bezpieczeństwa informacji lub prób takich naruszeń;
  • zapewnienie przetwarzania danych osobowych zgodnie z Ustawą o ochronie danych osobowych oraz innymi przepisami prawa;
  • monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczenia danych oraz dostosowanie systemu do wymagań prawnych;

Właściciele aktywów – odpowiadają za:

  • bezpieczeństwo informacji w zakresie nad którym sprawują nadzór;
  • przeciwdziałanie dostępowi do informacji chronionych osób niepowołanych;
  • podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie;

Administrator Sieci i Systemów:

  • uczestniczy w opracowaniu szczególnych wymagań bezpieczeństwa i procedur bezpieczeństwa;
  • nadzoruje i kontroluje konfigurację systemu w zakresie dostępu do sieci teleinformatycznej;

Kierownicy komórek organizacyjnych odpowiadają za:

  • przestrzeganie zasad ochrony informacji przez nich samych jak i przez podległych im pracowników,
  • identyfikowanie zagrożeń zachowania bezpieczeństwa informacji,

Pracownicy

  • Odpowiedzialność za bezpieczeństwo informacji w organizacji ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Każdy pracownik zobowiązany jest dbać o bezpieczeństwo powierzonych mu do przetwarzania, archiwizowania lub przechowywania informacji zgodnie z obowiązującymi przepisami wewnętrznymi

Ochrona Danych Osobowych

Polskie prawo nakłada na Administratorów Danych Osobowych (zarząd firmy) obowiązek ich zabezpieczenie i ochrony przed ujawnieniem, uszkodzeniem, udostępnieniem osobom nieupoważnionym itp. Badania przeprowadzone w krajach Unii Europejskiej wskazują, że w Polsce jest najwyższy poziom świadomości dotyczący ochrony danych osobowych. I pomimo takich wyników, tylko niewielki odsetek polskich firm i organizacji spełnia formalne wymogi ustawy, choćby w zakresie posiadania niezbędnej dokumentacji: Polityki bezpieczeństwa oraz instrukcji przetwarzania danych osobowych w systemach informatycznych. Czy coś grozi za brak spełnienia wymagań ustawowych? W planowanej nowelizacji ustawy kary pozbawienia wolności dla osób odpowiedzialnych za niewłaściwe postępowanie z danymi osobowymi zostały zamienione na wysokie kary finansowe.

Artykuł ukazał się w magazynie “Eurofirma”, wydanie styczeń/luty 2009 r.