Polityka bezpieczeństwa informacji (ang. information security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione.
Polityka powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania). Ochrona informacji jest tematem złożonym, a powodzenie jej realizacji zależy od umiejętnego zarządzania bezpieczeństwem poszczególnych rodzajów informacji, poziomu świadomości pracowników dopuszczonych do przetwarzania informacji oraz odpowiednio dobranych rozwiązań technicznych.
Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym i znanym oraz zrozumianym przez pracowników organizacji korzystających z zasobów informatycznych. Dotyczy to także klientów organizacji (użytkowników jej zasobów).
Przy projektowaniu polityki należy rozważyć, czy organizacja będzie w stanie ponieść koszty wprowadzania tej polityki w życie. Podwyższanie poziomu bezpieczeństwa organizacji/systemu odbywa się najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy ułatwiające zastosowanie w praktyce. Podstawowym zadaniem jest przeprowadzenie analizy ryzyka i ustalenie akceptowalnego poziomu ryzyka.
Polityka powinna odnosić się następujących zagadnień:
co podlega ochronie?
informacja (dane)
systemy teleinformatyczne (sprzęt)
jak chronimy krytyczne zasoby?
Projektując mechanizmy ochrony informacji należy określić następujące elementy:
model bezpieczeństwa
mechanizmy kontroli dostępu
poziomy uprawnień (jakie poziomy uprawnień istnieją i jakie są zasady ich przyznawania)
mechanizmy identyfikacji i zapewnienie autentyczności (na poziomie fizycznym i systemów)
śledzenie zdarzeń w systemie (jakie mechanizmy/programy/procedury stosowane są do śledzenia zmian w systemach)
Zatem konieczność wdrożenia polityki bezpieczeństwa informacji wynika z dwóch aspektów: biznesowego i prawnego.
Aspekt biznesowy to dbałość o interesy firmy, a przede wszystkim ochrona jej tajemnic. Kluczową sprawą jest tutaj ochrona tzw. tajemnicy przedsiębiorstwa, zdefiniowanej w Ustawie z 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji (Dz.U., Nr 47, poz.211).
Aspekt prawny konieczności wdrożenia Polityki Bezpieczeństwa Informacji wiąże się z konkretnymi wymaganiami w celu ochrony danego rodzaju informacji, a zarazem z poniesieniem przez organizację niezbędnych kosztów.
Źródło: