66
BEZPIECZNA FIRMA
HAKIN9 4/2008
P
rzepisy prawa nie określają, jak
należy chronić aktywa informacyjne,
pozostawiając w tym zakresie pełną
swobodę przedsiębiorcom co do metod i
sposobów ich ochrony.
Ochrona informacji biznesowych
Jak chronić tajemnice przedsiębiorstwa?
Informacja odgrywa w naszych czasach coraz
większa rolę i w funkcjonowaniu przedsiębiorstw
staje się ważniejsza niż dostęp do kapitału. Alvin
Tofler.
Współczesny biznes boryka się z
najróżniejszymi i wciąż mnożącymi się
zagrożeniami. Przetwarzanie coraz większej
ilości informacji w sposób elektroniczny, w
systemach informatycznych, powoduje, że
biznes tradycyjny staje się e-biznesem. Ryzyko
związane z pracą w sieciach komputerowych,
a w szczególności prowadzenie działalności
gospodarczej za pośrednictwem Internetu
sprawia, że zagadnienie ochrony informacji
biznesowych nabiera nowego wymiaru.
Powstaje pytanie, jak przedsiębiorcy mają
chronić swoje tajemnice i informacje biznesowe
posiadające wartość gospodarczą.
Tajemnica przedsiębiorstwa
Z pomocą przychodzi nam instytucja
tajemnicy przedsiębiorstwa. Stanowi ona,
zgodnie z art. 551 kodeksu cywilnego, jeden z
najistotniejszych składników przedsiębiorstwa.
ANDRZEJ GUZIK
Z ARTYKUŁU
DOWIESZ SIĘ
jak zapewnić ochronę
informacjom biznesowym,
jakie zastosować najlepsze
praktyki
i standardy ochrony.
CO POWINIENEŚ
WIEDZIEĆ
znać podstawowe zasady
ochrony informacji.
Art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej
konkurencji definiuje pojęcie tajemnicy
przedsiębiorstwa. Pod pojęciem tajemnicy
przedsiębiorstwa należy rozumieć nieujawnione
do wiadomości publicznej informacje:
techniczne, technologiczne, organizacyjne
przedsiębiorstwa lub inne informacje
posiadające wartość gospodarczą, co do
których przedsiębiorca podjął niezbędne
działania w celu zachowania ich poufności.
Należy nadmienić, że wszystkie powyższe
warunki muszą być spełnione łącznie.
Wówczas dopiero możemy mówić o tajemnicy
przedsiębiorstwa czy tajemnicy przedsiębiorcy.
Z definicji tajemnicy przedsiębiorstwa wynika,
że przedsiębiorca w celu zachowania tajemnicy
musi podjąć tzw. niezbędne działania. W
literaturze przedmiotu za niezbędne działania
uznaje się w szczególności: określenie
typów i rodzajów informacji wewnętrznych
przedsiębiorstwa stanowiących tajemnicę,
zasady i procedury postępowania z
tajemnicą, określenie obowiązku szkolenia,
określenie obowiązku złożenia oświadczenia
o znajomości zasad i przepisów tyczących się
tajemnicy przedsiębiorstwa oraz zobowiązanie
do ich przestrzegania.
W celu ochrony informacji biznesowych
stanowiących tajemnicę przedsiębiorstwa
dokumenty zawierające informację i nośniki
informacji oznacza się stosowną klauzulą,
a ich obieg powinien być nadzorowany
Stopień trudności
Ochrona
informacji
biznesowych
Spośród wszystkich tajemnic prawnie chronionych najbardziej
powszechny charakter w życiu gospodarczym ma tajemnica
przedsiębiorstwa, gdyż dotyczy wszystkich przedsiębiorców.
Instytucja tajemnicy przedsiębiorstwa służy ochronie zasobów
niematerialnych firmy.
67
OCHRONA INFORMACJI BIZNESOWYCH
HAKIN9
4/2008
(kontrolowany) zgodnie z zasadą
rozliczalności. Polskie przedsiębiorstwa
stosują następujące oznaczenia
(klauzule): tajemnica firmy, tajemnica
spółki, tajemnica przedsiębiorcy, poufne
firmy lub oznaczenia angielskie (w
firmach z kapitałem zagranicznym):
commercial in confidence, company
confidence, company secret itp.
Dobrą praktyką w celu ustanowienia
instytucji tajemnicy przedsiębiorstwa
jest przyjęcie i zakomunikowanie
pracownikom woli oraz interesu
najwyższego kierownictwa firmy co do
potrzeby ochrony własnych informacji
biznesowych. Wśród uregulowań
wewnętrznych normalizujących
ochronę tych informacji w
przedsiębiorstwie należy wymienić:
politykę bezpieczeństwa informacji
biznesowych, regulamin ochrony
tajemnicy przedsiębiorstwa, wykaz
informacji stanowiących tajemnicę
przedsiębiorstwa i szczegółowe
procedury bezpieczeństwa obejmujące
swym zasięgiem: bezpieczeństwo
osobowe, bezpieczeństwo fizyczne
i środowiskowe, bezpieczeństwo
dokumentów, nośników informacji i ich
obieg, bezpieczeństwo teleinformatyczne
oraz w szczególnych przypadkach
bezpieczeństwo przemysłowe.
Polityka bezpieczeństwa informacji
biznesowych – jako akt najwyższego
poziomu – powinna wyrażać wolę
najwyższego kierownictwa co do
potrzeby i konieczności ochrony
tych informacji, obowiązki właścicieli
informacji, wymagania techniczne
i organizacyjne oraz zakres
odpowiedzialności za ochronę tych
informacji. Stanowi ona dokument
programowy. Natomiast regulamin
ochrony tajemnicy przedsiębiorstwa,
wykaz informacji stanowiących
tajemnicę przedsiębiorstwa i procedury
bezpieczeństwa stanowią dokumenty
wykonawcze, które przynoszą nam
odpowiedź, w jaki sposób należy chronić
własne informacje biznesowe.
Wykaz informacji stanowiących
tajemnicę przedsiębiorstwa może
mieć charakter zamknięty lub
otwarty (ramowy) i powinien zawierać
rodzaje informacji podlegających
ochronie. Wykaz ten może obejmować
takie informacje, jak: informacje
organizacyjne, informacje kadrowo-
finansowe, informacje handlowe,
informacje techniczne i technologiczne
z ich podziałem na informacje
strategiczne, taktyczne i operacyjne.
Zasady ochrony tajemnicy
przedsiębiorstwa określone w
regulaminie powinny bazować na
najlepszych praktykach wynikających
z normy ISO 17799 i przepisów
wykonawczych do ustaw: ustawy o
ochronie danych osobowych i ustawy o
ochronie informacji niejawnych. Poziom
ochrony powinien być adekwatny do
wartości informacji: podstawowy – dla
informacji operacyjnych (bieżących),
mających krótkotrwałe znaczenie,
podwyższony – dla informacji
taktycznych (ważność tych informacji
określa się na okres od kilku miesięcy
do roku czasu) oraz wysoki – dla
informacji strategicznych (ważność tych
informacji określa się na okres powyżej roku).
Oczywiście podział ten jest umowny. Dobrą
praktyką jest, aby każda jednostka/komórka
organizacyjna przedsiębiorstwa określiła, jakie
informacje podlegają ochronie w jej ramach,
jaką wartość przedstawiają te informacje, z
jakim ryzykiem się wiążą i wreszcie – jakie
ewentualne straty dla firmy może przynieść
utrata ich poufności z tytułu nieuprawnionego
ujawnienia. O nadaniu dokumentowi
klauzuli 'tajemnica przedsiębiorstwa'
decyduje osoba podpisująca dokument.
To właściciel informacji najlepiej zna jej
wartość. Podstawą klasyfikacji informacji
jest wykaz informacji stanowiących
tajemnicę przedsiębiorstwa. Należy mieć
świadomość, że informacje stanowiące
tajemnicę przedsiębiorstwa chronimy nie
tylko w firmie, ale również poza firmą, w
trakcie spotkań czy delegacji, a także w
domu podczas rozmów.
Rysunek 1.
Zależności pomiędzy elementami bezpieczeństwa
Tabela 1.
Zawartość polityki bezpieczeństwa informacji biznesowych
Lp. Zawartość polityki bezpieczeństwa informacji biznesowych
1
Cel
2
Zakres
3
Zobowiązanie kierownictwa organizacji
4
Obowiązki kadry kierowniczej
5
Wymagania organizacyjne i techniczne przetwarzania informacji biznesowych
6
Odpowiedzialność za ochronę informacji biznesowych
7
Zakres rozpowszechnienia polityki
������
�
�
�
�
�
�
��
��
��
��
��
��
��
�
��
��
��
��
��
��������
����������
����������������������
�������������������
���������������
������������
����������
BEZPIECZNA FIRMA
68
HAKIN9 4/2008
OCHRONA INFORMACJI BIZNESOWYCH
69
HAKIN9
4/2008
Ograniczenia w dostępie
do tajemnic przedsiębiorstwa
Przepisy ustawy – prawo zamówień
publicznych dopuszczają pewne
ograniczenia związane z zasadą
jawności postępowania. (Co do zasady,
postępowanie o udzielenie zamówienia
publicznego jest jawne.) Przykładem
takiego ograniczenia jest zapis art. 8 ust.
3 ww. ustawy stanowiący, że zamawiający
nie może ujawniać informacji
zastrzeżonych przez wykonawcę jako
tajemnicę przedsiębiorstwa. Aby tak się
stało, wykonawca musi wyraźnie zastrzec,
że nie mogą one być udostępniane
zarówno innym przedsiębiorcom
biorącym udział w przetargu, jak i
każdej zainteresowanej osobie. Jest
to zapis, który warto wykorzystywać w
postępowaniu o zamówienie publiczne.
Również ustawa o dostępie do informacji
publicznej zawiera ograniczenia w
dostępie do tych informacji. Zgodnie z
treścią art. 5, prawo dostępu do informacji
publicznej podlega ograniczeniu w
zakresie i na zasadach określonych
w przepisach o ochronie informacji
niejawnych oraz o ochronie innych
tajemnic ustawowo chronionych (ust. 1), a
także ze względu na prywatność osoby
fizycznej lub tajemnicę przedsiębiorcy
(ust. 2). Warto korzystać z tej zasady.
System ochrony
tajemnicy przedsiębiorstwa
W celu ochrony informacji biznesowych
należy zbudować system ochrony
tajemnicy przedsiębiorstwa. W pierwszej
kolejności należy dokonać analizy
ryzyka, następnie dokonać klasyfikacji
informacji i dobrać zabezpieczenia.
Skuteczny system ochrony powinien być
kompleksowy i obejmować wszystkie
obszary działania przedsiębiorstwa. Na
system bezpieczeństwa firmy powinny
składać się przedsięwzięcia dotyczące
następujących segmentów (zagadnień):
po pierwsze – bezpieczeństwo
osobowe, po drugie – bezpieczeństwo
fizyczne i środowiskowe, po – trzecie
bezpieczeństwo dokumentów, nośników
informacji oraz ich obieg, po czwarte
– bezpieczeństwo teleinformatyczne
i (w szczególnych wypadkach)
bezpieczeństwo przemysłowe.
Bezpieczeństwo osobowe
Człowiek jest najsłabszym elementem
systemu ochrony informacji. Jak wynika
ze statystyk, około 80 % incydentów
związanych z przetwarzaniem informacji
spowodowanych jest przez czynnik
ludzki. Powiedzenie kadry decydują
o wszystkim jest jak najbardziej
prawdziwe.
Przetwarzanie informacji
biznesowych stanowiących tajemnicę
przedsiębiorstwa wymaga, aby
personel spełniał dodatkowe
wymagania. W przypadku przetwarzania
informacji niejawnych pracownik
powinien posiadać poświadczenie
bezpieczeństwa uprawniające do
dostępu do dokumentów i materiałów
o określonej klauzuli tajności (ściśle
tajne, tajne, poufne, zastrzeżone).
Poświadczenie bezpieczeństwa daje
rękojmię zachowania tajemnicy przez
zainteresowanego. W przypadku
przetwarzania danych osobowych
administrator danych wydaje osobie
przetwarzającej dane osobowe
upoważnienie do przetwarzania danych
osobowych. Z kolei dostęp do tajemnicy
przedsiębiorstwa (przedsiębiorcy)
wymaga od pracownika podpisania
zobowiązania do zachowania tajemnicy.
Warto w tym miejscu również
przytoczyć zapisy § 3 Rozporządzenia
Ministra Pracy i Polityki Socjalnej z dnia
28 maja 1996 r. w sprawie zakresu
prowadzenia przez pracodawców
dokumentacji w sprawach związanych
ze stosunkiem pracy oraz sposobu
Tabela 3.
Przykłady tajemnicy przedsiębiorstwa
Lp. Przykłady tajemnicy przedsiębiorstwa
1
wynalazki dające się do opatentowania
2
plany kampanii marketingowych
3
plany restrukturyzacji
4
wzory użytkowe lub zdobnicze
5
plany techniczne
6
sposoby zbierania informacji
7
listy klientów
8
metody kontroli jakości towarów i usług
9
sposoby marketingu
10 sposoby organizacji pracy
11 wyniki badań prowadzonych w przedsiębiorstwie
12 dane o wielkości produkcji i sprzedaży
13 źródła zaopatrzenia
14 miejsca zbytu
15 know-how (informacje produkcyjne, handlowe, projekty racjonalizatorskie)
Tabela 2.
Zawartość regulaminu ochrony tajemnicy przedsiębiorstwa
Lp.
Zawartość regulaminu ochrony tajemnicy przedsiębiorstwa
1
Postanowienia ogólne
2
Zasady klasyfikacji informacji
3
Zasady ochrony tajemnicy przedsiębiorstwa
4
Zasady udostępniania tajemnicy przedsiębiorstwa
5
Zakaz konkurencji
6
Szkolenie pracowników z zakresu ochrony tajemnicy przedsiębiorstwa
7
Odpowiedzialność za ochronę tajemnicy przedsiębiorstwa
8
Postanowienia końcowe
BEZPIECZNA FIRMA
68
HAKIN9 4/2008
OCHRONA INFORMACJI BIZNESOWYCH
69
HAKIN9
4/2008
prowadzenia akt osobowych. Ww.
paragraf stanowi, że: Pracodawca
przed dopuszczeniem pracownika
do pracy uzyskuje jego pisemne
potwierdzenie zapoznania się z treścią
regulaminu pracy oraz z przepisami i
zasadami dotyczącymi bezpieczeństwa
i higieny pracy, a także z zakresem
informacji objętych tajemnicą określoną
w obowiązujących ustawach dla
umówionego z pracownikiem rodzaju
pracy. Warto na co dzień korzystać z
tego zapisu.
Również w obrocie gospodarczym,
przed rozpoczęciem negocjacji
handlowych, coraz częściej obserwujemy
wśród przedsiębiorców praktykę
podpisywania umów o poufności.
Ryzyko wycieku informacji
gospodarczych z organizacji zmusza
przedsiębiorców do zajęcia się
problemem bezpieczeństwa personelu.
Najczęściej z firmy wyciekają informacje
biznesowe, dane personalne klientów
oraz własność intelektualna: pomysły
nowych rozwiązań czy kody źródłowe
oprogramowania. O bezpieczeństwie
kadrowym musimy myśleć już na
etapie rekrutacji personelu, następnie
monitorować je w czasie trwania
stosunku pracy, aż do momentu
rozwiązania z pracownikiem umowy o
pracę. Dotyczy to zwłaszcza kluczowego
personelu. Z menedżerami najwyższego
szczebla należy podpisać umowy o
zakazie konkurencji. Ważne jest, aby na
co dzień przestrzegać zasady 'wiedzy
koniecznej' (ang. need to know), a nie
zasady 'przyjemnie byłoby wiedzieć'
(ang. nice to know). W oparciu o role
w organizacji pracownicy powinni
posiadać określone prawa i mieć
zdefiniowany zakres dostępu do
zasobów informacyjnych, zwłaszcza w
systemach informatycznych. Uprawnienia
te powinny być okresowo przeglądane
i weryfikowane. Zgodnie z normą ISO
17799 bezpieczeństwo osobowe ma
na celu ograniczenie ryzyka błędu
ludzkiego, kradzieży, oszustwa lub
niewłaściwego użytkowania zasobów.
W aktach osobowych pracownika
powinny znaleźć się stosowne zapisy
dotyczące zachowania poufności lub
nieujawniania informacji pozyskanych
w czasie stosunku pracy, jak i po jego
zakończeniu (np. umowa o zakazie
Tabela 4.
Stopnie dojrzałości organizacji do zarządzania bezpieczeństwem informacji
Stopnie dojrzałości organizacji do zarządzania bezpieczeństwem informacji
Stopień
Nazwa
Charakterystyka
0
Brak świadomościt
brak zdefiniowania wymagań bezpieczeństwa
bezpieczeństwo traktowane jest jako problem poszczególnych użytkowników
I
Początkowy
świadomość potrzeby
kierownictwo uważa to za problem IT (typu: prawa dostępu, ochrona antywirusowa)
II
Intuicyjny
próby tworzenia zabezpieczeń
brak jednolitego podejścia
efekty zależne od zaangażowania osób zainteresowanych
III
Zdefiniowany
zdefiniowane zasady (w tym Polityka bezpieczeństwa) w całej organizacji
procedury bezpieczeństwa są utrzymywane i komunikowane
brak kontroli stosowania
IV
Zarządzany
jednolite podejście dla wszystkich komórek i wszystkich rozwiązań
obowiązuje perspektywa biznesu
funkcjonuje mechanizm kontroli stosowania
V
Optymalizowany
świadome zarządzanie ryzykiem
zgodność strategii bezpieczeństwa ze strategią biznesową
zapewnienie bezpieczeństwa traktowane jako proces (wiedza, doskonalenie)
Tabela 5.
Atrybuty informacji podlegających ochronie
Atrybuty
informacji
Bezpieczeństwo informacji
ISO
17799
Informacje
niejawne
Dane
osobowe
Tajemnica
przedsiębiorstwa
Tajemnica
przedsiębiorstwa
Poufność
Tak
Tak
Tak
Tak
Tak
Integralność
Tak
Tak
Tak
–
–
Dostępność
Tak
Tak
–
–
–
Rozliczalność
Tak
–
Tak
–
–
Autentyczność
Tak
–
–
–
–
Niezaprzeczalność Tak
–
–
–
–
Niezawodność
Tak
–
–
–
–
BEZPIECZNA FIRMA
70
HAKIN9 4/2008
OCHRONA INFORMACJI BIZNESOWYCH
71
HAKIN9
4/2008
konkurencji) i zapisy dotyczące
odpowiedzialności pracownika za
ochronę (bezpieczeństwo) informacji.
Kevin Mitnick w swojej książce
Sztuka podstępu pisze łamałem ludzi
nie hasła. Dlatego też należy cyklicznie
szkolić własny personel, uświadamiać
zagrożenia i wskazywać na potrzebę
ochrony informacji biznesowych.
Tematem szkoleń powinny być procedury
bezpieczeństwa wynikające z przyjętej
w organizacji polityki bezpieczeństwa
informacji, zwłaszcza zasady dostępu
do informacji i obiegu dokumentów,
procedury udostępniania i powierzania
przetwarzania informacji posiadających
wartość gospodarczą.
Kluczowe znaczenie dla
bezpieczeństwa ekonomicznego
organizacji ma odporność własnego
personelu na działania i metody
socjotechniczne stosowane przez
osoby zatrudnione w wywiadzie
konkurencyjnym i gospodarczym.
Kształtowanie świadomości pracowników
to najlepsza, najbardziej skuteczna,
najtańsza i wciąż niedoceniana
metoda ochrony informacji, na którą
stać wszystkich przedsiębiorców
– bez względu na wielkość instytucji.
Poddaję to pod rozwagę kierujących
organizacjami.
Bezpieczeństwo
fizyczne i środowiskowe
Ochrona fizyczna jest najstarszą
metodą ochrony zasobów materialnych
i informacyjnych. Stanowi pierwszą
linię obrony. Jeżeli w przedsiębiorstwie
nie wdrożono podstawowych środków
ochrony fizycznej, to nie można mówić
o jakimkolwiek bezpieczeństwie.
Zastosowane środki ochrony fizycznej
kształtują wizerunek firmy wśród klientów
i zapewniają poczucie bezpieczeństwa jej
pracownikom.
Norma ISO 17799 dotycząca
zarządzania bezpieczeństwem informacji
stanowi, że celem bezpieczeństwa
fizycznego i środowiskowego jest
zapobieganie nieuprawnionemu
dostępowi, uszkodzeniom i ingerencji w
pomieszczenia instytucji i jej informację.
Natomiast urządzenia do przetwarzania
krytycznych lub wrażliwych informacji
powinny być ulokowane w obszarach
bezpiecznych, chronionych wyznaczonym
obwodem zabezpieczającym z
odpowiednimi barierami i kontrolą
wstępu.
Polityka w zakresie ochrony fizycznej
instytucji powinna wynikać z jej strategii
biznesowej. Dobór zabezpieczeń należy
wykonywać w oparciu o przeprowadzaną
okresowo analizę ryzyka. Zastosowane
zabezpieczenia powinny być
współmierne do zidentyfikowanych
zagrożeń. Z uwagi na koszty należy
rozważyć wdrożenie następujących
środków ochrony:
• działania organizacyjne
(opracowanie regulaminów,
procedur),
• ochrona czynna (np. wynajęcie firmy
ochroniarskiej),
• ochrona bierna (wdrożenie systemu
zabezpieczeń architektoniczno-
budowlanych, mechanicznych i
elektronicznych: systemu włamania
i napadu, systemu kontroli dostępu,
systemu sygnalizacji pożarowej,
systemu telewizji dozorowej, systemu
nagłośnienia ewakuacyjnego
budynku, systemu zasilania
awaryjnego, zintegrowanego systemu
bezpieczeństwa i w niezbędnym
Tabela 6.
Podstawowe zasady ochrony informacji
Podstawowe zasady ochrony informacji
Lp. Zasada
Treść zasady
1
Zasada przywilejów koniecznych
Każdy użytkownik systemu informatycznego posiada prawa ograniczone wyłącznie do tych,
które są konieczne do wykonywania powierzonych mu zadań
2
Zasada wiedzy koniecznej
Pracownicy posiadają wiedzę o systemie informatycznym, ograniczoną wyłącznie do
zagadnień, które są konieczne do realizacji powierzonych zadań
3
Zasada usług koniecznych
Zakres dostępnych usług systemu jest ograniczony tylko do tych, które są konieczne do
prawidłowego funkcjonowania organizacji
4
Zasada asekuracji zabezpieczeń Ochrona systemu informatycznego nie może opierać się wyłącznie o jeden mechanizm
zabezpieczenia, nawet gdy zastosowana technologia jest uznawana za wysoce
zaawansowaną i niezawodną
5
Zasada pracy zbiorowej
Wszyscy użytkownicy systemu informatycznego są świadomi konieczności ochrony
wykorzystywanych zasobów
6
Zasada indywidualnej
odpowiedzialności
Za utrzymanie właściwego poziomu bezpieczeństwa poszczególnych elementów systemu
informatycznego odpowiadają konkretne osoby, które mają świadomość tego za co są
odpowiedzialne i jakie konsekwencje poniosą jeżeli zaniedbają swoje obowiązki
7
Zasada obecności koniecznej
Prawo przebywania w określonych pomieszczeniach mają wyłącznie osoby, które są do tego
upoważnione lub posiadają tymczasową zgodę wydaną przez odpowiedni organ nadzorczy
8
Zasada stałej gotowości
System ochrony jest przygotowany do odparcia wszystkich realnych zagrożeń. Pod żadnym
pozorem nie może zdarzyć się sytuacja tymczasowego wyłączenia zabezpieczeń, która
pozostawi określone elementy systemu informatycznego bez ochrony
9
Zasada najsłabszego 'ogniwa
łańcucha'
Poziom bezpieczeństwa systemu informatycznego wyznacza najsłabszy (najmniej
zabezpieczony ) element tego systemu. Z reguły, włamanie do systemu odbywa się poprzez
wyszukiwanie luk w systemie ochrony
BEZPIECZNA FIRMA
70
HAKIN9 4/2008
OCHRONA INFORMACJI BIZNESOWYCH
71
HAKIN9
4/2008
zakresie
• asekuracja (zawarcie umowy
ubezpieczeniowej).
Warto zauważyć, że nie wszystkie zasoby
informacyjne warto zabezpieczać lub
chronić – należy określić poziom ryzyka
akceptowalnego. Ważne jest, aby przyjęte
rozwiązania organizacyjne, środki
zabezpieczeń i ochrony oraz asekuracja
wzajemnie się uzupełniały.
Kształtowanie właściwej polityki
bezpieczeństwa fizycznego zasobów
(ochrona osób, mienia i informacji)
wymaga kompleksowego podejścia,
a nie działania na zasadzie intuicji.
Możemy wówczas mówić o prawdziwym
bezpieczeństwie, a nie o pozorach
bezpieczeństwa, tym bardziej, że
bezpieczeństwo fizyczne sporo kosztuje.
Poddaję to pod rozwagę zarządzającym
organizacjami.
Bezpieczeństwo
teleinformatyczne
Pierwszym standardem obejmującym
kompleksowo zarządzanie
bezpieczeństwem informacji jest norma
ISO 17799 (PN-ISO/IEC 17799: 2007).
Zawiera ona wytyczne zarządzania
bezpieczeństwem informacji. Dotyczy
następujących obszarów: bezpieczeństwa
fizycznego i środowiskowego,
bezpieczeństwa osobowego,
bezpieczeństwa IT, zarządzenia ciągłością
działania i zapewnienia zgodności z
przepisami prawa.
Zgodnie z normą informacja jest
aktywem, który – podobnie jak inne ważne
aktywa biznesowe – ma dla instytucji
wartość i dlatego należy ją odpowiednio
chronić. Z kolei bezpieczeństwo informacji
oznacza ochronę informacji przed różnymi
zagrożeniami w taki sposób, aby zapewnić
ciągłość działania – realizację celów
statutowych instytucji, zminimalizować
straty i zmaksymalizować zwrot nakładów
na inwestycje i działania o charakterze
biznesowym. Norma ISO 17799 odnosi się
do 7 aspektów informacji podlegających
ochronie: poufności, integralności,
dostępności, rozliczalności, autentyczności,
niezaprzeczalności i niezawodności.
W przypadku informacji biznesowych
stanowiących tajemnicę przedsiębiorstwa
największe znaczenie dla bezpieczeństwa
informacji ma ochrona poufności,
tzn. zapewnienie, żeby informacja
nie była udostępniana lub ujawniana
nieautoryzowanym osobom, podmiotom
lub procesom. Jak wynika z praktyki,
najczęściej z firm informacje wyciekają
za pośrednictwem poczty elektronicznej,
komunikatorów internetowych i sieci
bezprzewodowych. Cenne informacje
pracownicy wynoszą na płytach CD/DVD,
nagrane na pamięciach USB lub w postaci
dokumentów papierowych (kserokopie).
Zdarzają się przypadki podkupywania
pracowników, kradzieży sprzętu,
prowadzenia podsłuchów, czy szpiegostwa
gospodarczego i przemysłowego.
Oprócz normy ISO 17779 istnieją inne
standardy dotyczące bezpieczeństwa.
Przykładem może być standard
Wytyczne w sprawie bezpieczeństwa
systemów informacyjnych, wydany przez
Organizację Rozwoju i Współpracy
Gospodarczej (OECD), która zrzesza
najbardziej uprzemysłowione kraje
świata, w tym Polskę. Wytyczne te mogą
stanowić uzupełnienie norm dotyczących
bezpieczeństwa informacji.
Podstawą zarządzania
bezpieczeństwem informacji jest analiza
i zarządzanie ryzykiem. W oparciu o
wyniki procesu analizy ryzyka następuje
dobór zabezpieczeń. Zastosowane
zabezpieczenia powinny być efektywne
kosztowo i uwzględniać wymagania
wynikające z przepisów prawa,
wymagania biznesowe i wymagania z
analizy ryzyka zasobów posiadających
wartość dla działania instytucji. Ryzyko,
jakie powstaje po wprowadzeniu
zabezpieczeń, nazywamy ryzykiem
szczątkowym.
Przyjęta strategia analizy ryzyka
powinna uwzględniać warunki
charakterystyczne dla przedsiębiorstwa i
koncentrować się na działaniach związanych
z bezpieczeństwem, tam gdzie są one
Rysunek 2.
Związki w zarządzaniu ryzykiem
���������
����������
�������
������
������
��������������
�
�
�
�������
��������
�
�����������������
�
����������
���������
��������
����������
���������
������������
����������
����������
�������������
�������������
�����������������
��������������
���������������������
Tabela 7.
Dobre praktyki w przetwarzaniu dokumentów
Lp.
Dobre praktyki w przetwarzaniu dokumentów
1
obieg dokumentów kontrolowany (przekazywanie za pokwitowaniem odbioru)
2
dostęp do dokumentów elektronicznych zgodny z przyznanymi uprawnieniami
3
udostępnianie dokumentów tylko osobom uprawnionym
4
określona osobista odpowiedzialność za przetwarzanie dokumentów
5
dokumenty źródłowe odpowiednio chronione
6
dostęp do pomieszczeń kontrolowany
7
zapewnione warunki środowiskowe w pomieszczeniach
8
kopie awaryjne wykonywane i odpowiednio przechowywane
BEZPIECZNA FIRMA
72
HAKIN9 4/2008
OCHRONA INFORMACJI BIZNESOWYCH
73
HAKIN9
4/2008
naprawdę potrzebne.
Raport techniczny ISO/IEC TR 13335-
3 przedstawia 4 warianty podejścia do
analizy ryzyka: podejście podstawowego
poziomu bezpieczeństwa, podejście
nieformalne, szczegółową analizę ryzyka
i podejście mieszane. Podstawowa
różnica pomiędzy nimi dotyczy stopnia
szczegółowości analizy ryzyka.
Podejście podstawowego poziomu
bezpieczeństwa polega na wprowadzeniu
standardowych zabezpieczeń niezależnie
od ryzyka wynikającego z analizy
zasobów, zagrożeń i podatności. Podejście
nieformalne polega na wykorzystaniu wiedzy
i doświadczenia ekspertów, koncentruje
się na zasobach narażonych na wysokie
ryzyko. Z kolei szczegółowa analiza ryzyka
wymaga identyfikacji i wyceny aktywów,
oszacowania zagrożeń oraz oszacowania
podatności. Podejście czwarte, podejście
mieszane obejmuje dwa etapy. W
pierwszym etapie przeprowadza się ogólną
analizę ryzyka dla wszystkich zasobów z
uwzględnieniem ich wartości biznesowej
i ryzyka, na które są one narażone. Dla
wszystkich zidentyfikowanych zasobów, które
są ważne dla przedsiębiorstwa i narażone
na wysokie ryzyko, przeprowadza się później
szczegółową analizę ryzyka. W drugim
etapie dla pozostałych zasobów należy
zastosować podejście podstawowego
poziomu bezpieczeństwa.
Przyjęcie podejścia mieszanego
zalecane jest dla większości przedsiębiorstw.
Jest ono najbardziej efektywne
– szczegółowa analiza ryzyka dla zasobów
posiadających wartość lub narażonych
na wysokie ryzyko, a dla pozostałych
zasobów zastosowanie podstawowego
poziomu bezpieczeństwa, czyli wdrożenie
standardowych zabezpieczeń. Aby
skutecznie zarządzać bezpieczeństwem
informacji w przedsiębiorstwie,
należy wdrożyć system zarządzania
bezpieczeństwem informacji (SZBI).
Powinien on stanowić część składową
systemu zarządzania przedsiębiorstwem
i być oparty na podejściu wynikającym
z ryzyka biznesowego. Norma zaleca
podejście systemowe oparte na ciągłym
doskonaleniu zgodnie z cyklem PDCA
(Plan-Do-Check-Act) Deminga obejmującym:
ustanowienie SZBI, wdrożenie i eksploatację
SZBI, monitorowanie i przeglądy SZBI oraz
utrzymanie i doskonalenie SZBI.
Do certyfikacji systemów zarządzania
bezpieczeństwem informacji przeznaczona
jest norma BS 7799-2 (PN-ISO/IEC 27001:
2007). Norma 27001 umożliwia budowę w
przedsiębiorstwie zintegrowanego systemu
zarządzania jakością w oparciu o normę
ISO 9001 i normę ISO 17799. Wdrożenie
zintegrowanego systemu zarządzania
w przedsiębiorstwie pozwala osiągnąć
wymierne korzyści: objąć systemem
wszystkie obszary działania firmy, zwrócić
uwagę na ochronę informacji biznesowych
i ich wartość, zwiększyć zainteresowanie
w firmie technologiami ICT, spowodować
prowadzenie analizy i zarządzania
ryzykiem, zapewnić opracowanie planów
ciągłości działania, uzyskać przewagę nad
konkurencją i poprawić wizerunek firmy.
Bezpieczeństwo
dokumentów i nośników
Podstawowym warunkiem ładu
dokumentacyjnego w przedsiębiorstwie
jest ustalenie systemu obiegu
dokumentów i nośników oraz systemu
przechowywania i archiwowania
dokumentacji. Instrukcje wewnętrzne
ustalające ład dokumentacyjny (instrukcja
kancelaryjna, instrukcja archiwalna)
tworzy się na podstawie obowiązujących
przepisów prawa, wymagań otoczenia
instytucjonalnego oraz potrzeb
biznesowych. Ład dokumentacyjny
określają przede wszystkim: ustawa
o narodowym zasobie archiwalnym
i archiwach oraz rozporządzenia
wykonawcze do ustawy, przepisy
podatkowe, przepisy o rachunkowości,
przepisy o ubezpieczeniach społecznych
i zdrowotnych, o rentach i emeryturach,
przepisy prawa pracy oraz inne. Przepisy
prawa archiwalnego dotyczą całej
Podstawowe akty prawne związane z ochroną
informacji biznesowych:
• Ustawa – Kodeks cywilny – 1964 rok,
• Ustawa – Kodeks pracy – 1974 rok,
• Ustawa o narodowym zasobie archiwalnym i archiwach – 1983 rok,
• Ustawa o zwalczaniu nieuczciwej konkurencji – 1993 rok,
• Ustawa o prawie autorskim i prawach pokrewnych – 1994 rok,
• Ustawa o rachunkowości – 1994 rok,
• Ustawa o ochronie danych osobowych – 1997 rok,
• Ustawa o ochronie osób i mienia – 1997 rok,
• Ustawa – Kodeks karny – 1997 rok,
• Ustawa o ochronie informacji niejawnych – 1999 rok,
• Ustawa – Prawo własności przemysłowej – 2000 rok,
• Ustawa – Kodeks spółek handlowych – 2000 rok,
• Ustawa o dostępie do informacji publicznej – 2001 rok,
• Ustawa o udostępnianiu informacji gospodarczych – 2003 rok,
• Ustawa o przeciwdziałaniu nieuczciwym praktykom rynkowym – 2007 rok.
Terminologia
Podstawowe pojęcia związane z ochroną informacji biznesowych:
• tajemnica przedsiębiorstwa – nieujawnione do wiadomości publicznej informacje techniczne,
technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość
gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich
w poufności,
• dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej,
• informacje niejawne – informacje, które wymagają ochrony przed nieuprawnionym
ujawnieniem, stanowiące tajemnicę państwową lub służbową,
• czyn nieuczciwej konkurencji – działanie sprzeczne z prawem lub dobrymi obyczajami,
jeżeli zagraża to lub narusza interes innego przedsiębiorcy lub klienta. Czynem nieuczciwej
konkurencji jest w szczególności naruszenie tajemnicy przedsiębiorcy,
• poufność – właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana
nieautoryzowanym osobom, podmiotom lub procesom.
BEZPIECZNA FIRMA
72
HAKIN9 4/2008
OCHRONA INFORMACJI BIZNESOWYCH
73
HAKIN9
4/2008
dokumentacji przedsiębiorstwa, bez
rozróżniania jej na dokumentację jawną
i dokumentację niejawną. Oznacza
to, że zasady wydzielania, oceny i
brakowania dokumentacji niejawnej są
takie same, jak dla dokumentacji jawnej.
Różnica polega jedynie na zasadach
ochrony przed nieuprawnionym jej
ujawnieniem. Zgodnie z ustawą o
narodowym zasobie archiwalnym i
archiwach, dokumentację dzieli się na
dokumentację archiwalną i dokumentację
niearchiwalną. Dokumentację archiwalną
przechowuje się wieczyście i oznacza
się symbolem A według kategorii
archiwalnej dokumentacji. Zgodnie
z przepisami ustawy dokumentację
archiwalną stanowią wszelkiego rodzaju
akta i dokumenty, korespondencja,
dokumentacja finansowa, techniczna
i statystyczna, mapy i plany, fotografie,
filmy i mikrofilmy, nagrania dźwiękowe i
wideofonowe oraz inna dokumentacja,
bez względu na sposób jej wytworzenia,
mająca znaczenie jako źródło
informacji o wartości historycznej
Państwa Polskiego, jego organów
i innych państwowych jednostek
organizacyjnych oraz o jego stosunkach
z innymi państwami, o rozwoju życia
społecznego i gospodarczego, o
działalności organizacji o charakterze
politycznym, społecznym i gospodarczym,
zawodowym i wyznaniowym, o
organizacji i rozwoju nauki, kultury i
sztuki, a także o działalności samorządu
terytorialnego i innych samorządowych
jednostek organizacyjnych – powstała w
przeszłości i współcześnie. Dokumentacja
niearchiwalna ma jedynie czasową,
praktyczną wartość dla przedsiębiorstwa
i podlega brakowaniu po upływie
obowiązujących okresów przechowywania.
Dokumentację tę oznacza się symbolem
B według kategorii archiwalnej
dokumentacji, uzupełnionym cyfrą arabską
lub literą i cyfrą arabską. Cyfra określa
okres przechowywania dokumentacji, który
liczy się w pełnych latach kalendarzowych,
od 1 stycznia roku następnego, w którym
została zakończona teczka akt spraw.
Podział rodzajowy dokumentacji dotyczący
poszczególnych spraw określa rzeczowy
wykaz akt, który każda firma powinna
opracować.
Nadzór nad prawidłowym
kwalifikowaniem akt na kategorie
w państwowych i samorządowych
jednostkach organizacyjnych sprawują
archiwa państwowe, w pozostałych
jednostkach odpowiedzialność
spoczywa na ich kierownikach.
Czas przechowywania akt jest
zróżnicowany, np. akta osobowe i
płacowe oraz dokumentację składek
ubezpieczeniowych do celów
emerytalnych i rentowych przechowuje
się przez 50 lat (kategoria B50), dowody
księgowe przez 5 lat (kategoria B5)
– zgodnie z ustawą o rachunkowości,
kopie deklaracji rozliczeniowych,
imiennych raportów miesięcznych i
dokumentów korygujących składanych
do ZUS przez 10 lat (kategoria B10)
– zgodnie z ustawą o systemie
ubezpieczeń społecznych. Czas
przechowywania dokumentacji
niearchiwalnej nieokreślony w
przepisach prawnych ustala się na
podstawie własnej oceny przydatności
praktycznej, biorąc pod uwagę potrzeby
teraźniejsze i przyszłe przedsiębiorstwa.
Aby zapewnić bezpieczeństwo
dokumentów, oprócz zgodności z
przepisami prawa należy zapewnić
prawidłową rejestrację dokumentów
wpływających do firmy – również tych,
które wpłynęły drogą elektroniczną
(wcześniej należy je wydrukować)
i nadzorować ich obieg. Najlepiej,
aby obieg dokumentów odbywał
się za pokwitowaniem odbioru. Dla
dokumentów zawierających tajemnicę
przedsiębiorstwa należy opracować
procedury związane z powielaniem i
kopiowaniem dokumentów, procedury
przechowywania i archiwizacji oraz
procedury wynoszenia dokumentów poza
teren firmy, a wreszcie zapewnić ochronę
fizyczną pomieszczeń z dokumentacją.
Rysunek 3.
Model PDCA stosowany w procesach SZBI
���������������
�������������
���������������
�������������
���������������
������������������
���������������
���������������
����������������
������
������
������������
���������
�������
�������
�����������������
�������
������
���������������
�������������
�����������������
�����������������
������������������
�����������������
����������������
���������������
�����������������
BEZPIECZNA FIRMA
74
HAKIN9 4/2008
Bezpieczeństwo
przemysłowe
Na koniec warto wspomnieć jeszcze
o bezpieczeństwie przemysłowym.
Problem bezpieczeństwa
przemysłowego dotyczy tylko tych
przedsiębiorców, którzy ubiegają się o
realizację umów lub zadań związanych
z dostępem do informacji niejawnych
stanowiących tajemnicę państwową
(informacje niejawne oznaczone
klauzulą tajne lub ściśle tajne).
Wykonawca umowy lub zadania musi
posiadać świadectwo bezpieczeństwa
przemysłowego.
Służby ochrony państwa wydają ww.
świadectwo po przeprowadzeniu
procedury postępowania
bezpieczeństwa przemysłowego.
W zależności od stopnia zdolności
do ochrony informacji niejawnych,
przedsiębiorcy mogą uzyskać
świadectwo bezpieczeństwa
przemysłowego I, II lub III stopnia. Ale to
temat na odrębny artykuł.
Odpowiedzialność
za naruszenie tajemnicy
Naruszenie tajemnicy przedsiębiorstwa
stanowi czyn nieuczciwej konkurencji.
Zgodnie z zapisami art. 11 ust. 1 ustawy
o zwalczaniu nieuczciwej konkurencji,
czynem nieuczciwej konkurencji jest
przekazanie, ujawnienie lub wykorzystanie
cudzych informacji stanowiących
tajemnicę przedsiębiorstwa albo ich
nabycie od osoby nieuprawnionej,
jeżeli zagraża to lub naraża interes
przedsiębiorcy.
Odpowiedzialność cywilna
W razie dokonania czynu nieuczciwej
konkurencji, przedsiębiorca, którego
interes zastał zagrożony lub naruszony,
może żądać m. in.: zaniechania
niedozwolonych działań lub usunięcia
ich skutków, złożenia oświadczenia
o odpowiedniej formie i treści,
naprawienia wyrządzonej szkody,
wydania bezpodstawnie uzyskanych
korzyści i zasądzenia odpowiedniej
sumy pieniężnej na określony cel
społeczny – jeżeli czyn nieuczciwej
konkurencji był zawiniony. Roszczenia z
tytułu nieuczciwej konkurencji ulegają
przedawnieniu z upływem trzech lat.
Odpowiedzialność karna
Odpowiedzialność karną za naruszenie
tajemnicy przedsiębiorstwa określa art.
23 ustawy o zwalczaniu nieuczciwej
konkurencji. Osoba, która wbrew
ciążącemu na niej obowiązkowi
ujawnia lub wykorzystuje we własnej
działalności informacje stanowiące
tajemnicę przedsiębiorstwa w przypadku,
gdy wyrządza to poważną szkodę
przedsiębiorcy, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia
wolności do lat 2. Tej samej karze podlega
ten, kto uzyskawszy bezprawnie informację
stanowiącą tajemnicę przedsiębiorstwa,
ujawnia ją lub wykorzystuje we własnej
działalności gospodarczej.
Również w kodeksie karnym w rozdziale
XXXIII – Przestępstwa przeciwko ochronie
informacji, znajdziemy zapisy dotyczące
odpowiedzialności za ujawnienie lub
wykorzystanie informacji. Art. 266 § 1
stanowi: Kto, wbrew przepisom ustawy
lub przyjętemu na siebie zobowiązaniu,
ujawnia lub wykorzystuje informację, z którą
zapoznał się w związku z pełniona funkcją,
wykonywaną pracą, działalnością publiczną,
społeczną, gospodarczą lub naukową,
podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat
2. Ściganie ww. przestępstw następuje na
wniosek pokrzywdzonego.
Odpowiedzialność
dyscyplinarna
Zgodnie z art. 100 § 2 ust. 4 i 5 kodeksu
pracy, pracownik jest obowiązany w
szczególności zachować w tajemnicy
informacje, których ujawnienie mogłoby
narazić pracodawcę na szkodę oraz
przestrzegać tajemnicy określonej w
odrębnych przepisach. Należy zdać sobie
sprawę z tego, że nieprzestrzeganie
przez pracownika ww. zobowiązań
stanowi ciężkie naruszenie obowiązków
pracowniczych niezależnie od tego, czy
dotyczy to tajemnicy przedsiębiorstwa,
czy innych informacji. Zgodnie z art. 52 §
1 pracodawca może w takim przypadku
rozwiązać umowę o pracę z winy
pracownika. Warto o tym pamiętać.
Podsumowanie
Przepisy prawa nie określają metod i
sposobów ochrony informacji biznesowych
stanowiących tajemnicę przedsiębiorstwa,
tak jak ma to miejsce w przypadku
danych osobowych czy informacji
niejawnych, dla których to informacji
ustawodawca szczegółowo – w przepisach
wykonawczych – określił ich zasady
ochrony. W przypadku instytucji tajemnicy
przedsiębiorstwa ustawodawca pozostawił
przedsiębiorcom i przedsiębiorstwom
wolną rękę co do sposobu zabezpieczenia
tych informacji.
W praktyce firmy najczęściej
adaptują rozwiązania wynikające z
rozporządzeń wykonawczych do ww.
ustaw oraz stosują polskie normy
dotyczące bezpieczeństwa informacji,
które stanowią źródło tzw. dobrych praktyk,
a w szczególności PN-ISO/IEC 17799:
2007 Technika informatyczna – Techniki
bezpieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem informacji
i PN-ISO/IEC 27001: 2007 Technika
informatyczna – Techniki bezpieczeństwa
– Systemy zarządzania bezpieczeństwem
informacji – Wymagania, w których
to znajdziemy cenne zalecenia
dotyczące bezpieczeństwa osobowego,
bezpieczeństwa fizycznego i
środowiskowego, bezpieczeństwa
dokumentów, nośników informacji i
bezpieczeństwa teleinformatycznego.
Krótko mówiąc, do ochrony informacji
biznesowych potrzebny jest system
zarządzania bezpieczeństwem informacji,
opracowanie planu bezpieczeństwa,
wdrożenie go w życie i ciągłe
doskonalenie. Na nic zdają się działania
doraźne, które usuwają jedynie skutki
niepożądanych działań lub zachowań, a
nie dotykają przyczyn zjawisk związanych z
wyciekaniem informacji z przedsiębiorstw.
Bezpieczeństwo informacji to proces, a
nie jednorazowy akt. W 80 procentach
to proces zarządczy, a w 20 procentach
– technologia, która wspiera zarządzanie.
Poddaję to pod rozwagę zarządzającym.
Reasumując, aby zapewnić
bezpieczeństwo informacji biznesowych,
potrzeba trochę wiedzy, trochę procedur,
trochę dobrej woli i trochę pieniędzy.
Andrzej Guzik
Audytor systemów zarządzania jakością i zarządzania
bezpieczeństwem informacji, specjalista w zakresie
ochrony informacji prawnie chronionych, redaktor portalu
www.ochronainformacji.pl.
Kontakt z autorem: a.guzik@ochronainformacji.pl