5698910587

organizacyjnej, obiektów, które mają być chronione oraz tzw. mapy zagrożeń¹⁶. Wszystkie te czynniki mają charakter swoisty dla danej organizacji, dlatego też politykę bezpieczeństwa każda firma powinna opracowywać indywidualnie -zgodnie z odczuciami osób za nią odpowiedzialnych.

Przyjęte jest również, że polityka bezpieczeństwa powinna być przedstawiona w postaci pisemnej i stanowić dokument, który jasno definiuje cel swego istnienia. Wszyscy pracownicy (jak również osoby nowo przyjmowane do pracy) firmy powinni go poznać i zrozumieć. Z tego powodu dokument ten powinien posługiwać się prostym, zwięzłym i zrozumiałym dla użytkowników językiem, ponieważ uzyskanie zrozumienia w oczach pracowników jest jednym z bardzo istotnych elementów praktycznej realizacji ochrony danych.

Definiowanie zabezpieczeń organizacyjnych sprowadza się do precyzyjnego udzielenia odpowiedzi na takie pytania jak np:

•    kto i kiedy może mieć dostęp do systemu komputerowego, komu i na jakich zasadach administrator zakłada konto,

•    w jaki sposób przebiega identyfikacja,

•    czy możliwy jest dostęp do systemu dla osób nie załogowanych w systemie,

•    czy z jednego konta może korzystać kilka osób, dotyczy to zarówno innych pracowników instytucji ale również np. członków ich rodzin czy znajomych,

•    na jakich zasadach konta są likwidowane, np. w przypadku osób, które odeszły z pracy,

•    jakie zasady określają system haseł, tj. jakie są wymagania co do ich długości, stopnia skomplikowania oraz okresu ich ważności,

•    jakie oprogramowanie może być użytkowane w firmie, np. czy użytkownikom wolno samodzielnie instalować programy,

16 Mapa zagrożeń powstaje w wyniku uświadomienia sobie, jakie są możliwe zagrożenia i gdzie znajdują się najsłabsze punkty systemu. W stworzeniu mapy może pomóc lektura literatury fachowej, testy penetracyjne lub skorzystanie z usług firm trzecich.

16