Polityka bezpieczeństwa - trzy poziomy
Tworząc politykę bezpieczeństwa dla przedsiębiorstwa dokonuje się podziału na trzy poziomy: poziom organizacji, poziom infrastruktury i poziom pojedynczego komputera (użytkownika).
Wynika to z różnej specyfiki ochrony zasobów. Przy czym ochrona zasobów, to nie tylko zasoby informacyjne, ale także materialne.
Stworzenie polityki bezpieczeństwa to nic innego, jak przygotowanie pewnych zasad i reguł, które będą obowiązywały poszczególnych użytkowników i systemy, funkcjonujące w danej firmie. Każde przedsiębiorstwo, czy instytucja tworzy swoją własną politykę bezpieczeństwa, a ich wewnętrzna organizacja w dużej mierze determinuje przyjęcie konkretnych rozwiązań.
Polityka bezpieczeństwa na poziomie instytucji dotyczy wytycznych ustalonych dla całej instytucji. Na tym poziomie chronione są: reputacja firmy, zdolność do świadczenia usług, ciągłość procesów biznesowych itp.
Polityka bezpieczeństwa na poziomie infrastruktury dotyczy systemów informatycznych. Na tym poziomie ustala się zasady, reguły i wskazówki praktyczne, które określają jak zasoby informatyczne są zarządzane, jak chronione i dystrybuowane w obrębie instytucji. Na tym poziomie ochronie podlegają zasoby informacyjne, oprogramowanie, sprzęt i dokumenty.
Polityka bezpieczeństwa na poziomie użytkownika dotyczy najsłabszego ogniwa – czyli człowieka ;-) Wydaje mi się, że na tym poziomie należy najbardziej szczegółowo określać politykę bezpieczeństwa. To na tym poziomie mamy do czynienia z różnymi komputerami i ludźmi je obsługującymi. Należy zadbać o to, aby pracownicy mieli dostęp tylko do tych danych, które są im potrzebne do wykonywania pracy. Należy również zadbać o odpowiednie przeszkolenie użytkowników.
Wydaje mi się, że spójność poziomów PBP jest warunkiem koniecznym skuteczności całej PBP (Polityki Bezpieczeństwa Przedsiębiorstwa).
Powinien to być dokument zwięzły, obejmujący swoim zasięgiem cały system. Informacje niespójne mogą prowadzić do przeświadczenia, że w momencie wystąpienia sytuacji kryzysowej nie przyda się on w rozwiązaniu problemu. Takie przeświadczenie wśród pracowników może prowadzić do obniżenia czujności nawet w tych obszarach, które zostały dokładnie opisane w PBP.
Aby wszystkie poziomy były ze sobą spójne, odpowiednie poziomy powinny odnosić się do bezpieczeństwa instytucji jako takiej, bezpieczeństwa systemów teleinformatycznych danej instytucji oraz bezpieczeństwa konkretnego systemu.
Poziom związany z bezpieczeństwem instytucji, dotyczy głównie kwestii organizacyjno-prawnych. Są one punktem wyjścia do opracowania spójnej polityki bezpieczeństwa w całej instytucji i powiązania jej z informatyką.
Poziom bezpieczeństwa systemów informatycznych instytucji to płaszczyzna, na której powstają polityki bezpieczeństwa poszczególnych, eksploatowanych w firmie systemów. Polityki te budowane są na podstawie różnego rodzaju norm, wynikających ze specyfiki tych systemów.
Warto jednak zaznaczyć, że PBP powinna być także elastyczna i skalowalna! Trzeba pamiętać, że niektóre fragmenty PBP mogą stanowić tajemnicę firmy i nie powinny zostać upublicznione! Ale z kolei spora część będzie przekazana odpowiednim grupom i stanie się informacją publiczną. Istotne jest przy tym to, aby zarówno te tajne, jak i te upublicznione fragmenty, ściśle do siebie pasowały, stanowiąc spójny jeden dokument i aby mogły być poddawane modyfikacjom wraz ze zmianami w organizacji.
Uważasz, że artykuł był ciekawy i chcesz otrzymywać powiadomienia o moich kolejnych wpisach lub projektach?
Wpisz swoje imię oraz adres e-mail a następnie kliknij "ZAPISZ MNIE"
Podobne wpisy
By accepting you will be accessing a service provided by a third-party external to https://www.slawop.net/