5698910586

Rozdział 2. Ochrona systemu

2.1 Polityka bezpieczeństwa

Każda firma może posiadać dane dotyczące własnej działalności, których dostanie się w niepowołane ręce mogłoby być uznane za niedopuszczalne z punktu widzenia jej własnego interesu. Informacje takie zasługują na szczególne traktowanie i powinny być chronione przy pomocy niezbędnych sił i środków. Konieczność ochrony pewnych danych w firmie nie jest jednak dzisiaj już tylko kwestią wyboru czy wolnej woli kierownictwa firmy albo administratora sieci. Od

13    listopada 1997 obowiązuje bowiem w Polsce ustawa „Ochrona danych osobowych¹⁴", która określa „zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych(...)¹⁵". W ujęciu tej ustawy, dane osobowe mogą być przetwarzane wyłącznie ze względu na dobro osoby, której one dotyczą. Oznacza to, że firma, w której posiadaniu się one znajdują, nie może pozwolić na ich nieautoryzowany przepływ do firm lub osób trzecich.

Z tego względu pojawia się potrzeba przyjęcia pewnej strategii postępowania względem tych danych. Strategia ta przyjmuje materialną postać dokumentu zwanego polityką bezpieczeństwa. Polityka bezpieczeństwa jest ogółem przyjętych w danej sieci ustaleń, których celem jest uzyskanie i utrzymanie pożądanego poziomu bezpieczeństwa. Opisuje ona sposób, w jaki wykorzystywane będą konta użytkowników dostępne w systemie oraz kto, i na jakich warunkach, będzie miał dostęp do danych, które system przechowuje lub przetwarza.

Istnieje kilka generalnych zasad dotyczących polityki bezpieczeństwa. Pierwsza z nich głosi, że nie istnieje gotowy wzorzec dokumentu, który firma mogłaby wykorzystać. Plan ochrony danych jest w swej naturze bardzo złożony i bardzo ściśle uzależniony od charakteru działalności danej firmy, jej struktury

14    Z późniejszymi zmianami, datowanymi na 1 maja 2004.

15    Dziennik Ustaw Nr 99.11.95.

15