Rys. B. Brosz

Reguły ochrony informacji nie mogą istnieć w oderwaniu od codziennego funkcjonowania organizacji oraz praktycznych narzędzi i technik ich wdrażania. Zasady te mają wartość tylko wtedy, gdy dotyczą bezpośrednio ludzi, procesów i procedur oraz stanowią centralne repozytorium informacji o bezpieczeństwie organizacji z uwzględnieniem odpowiedzialności pracowników, szkoleń, innych reguł oraz kontroli technicznej.

Procedury te są podstawą strategii bezpieczeństwa oraz cennym narzędziem komunikacyjnym. Powinny być oparte na dokładnej analizie czynników ryzyka i zagrożeń oraz ich ewentualnych skutków dla reputacji i efektywności organizacji. Opisują one sposób zarządzania bezpieczeństwem we wszystkich obszarach działalności - od księgowości, przez pomoc techniczną i audyt, po tworzenie systemów. Efektywne zasady ochrony informacji muszą być zawsze wspierane przez kierownictwo wyższego szczebla i stanowią podstawę do utworzenia rady zarządzania informacjami.

Miejsce informacji w procesach

Badania wykazują, że najpoważniejsze incydenty dotyczące bezpieczeństwa występują na skutek awarii systemu, uszkodzenia danych, zarażenia wirusami, ataków hakerów czy kradzieży danych poufnych. Skutki takich incydentów dla instytucji mogą być różne - od niewielkich zakłóceń w pracy po ogromne straty. W przypadku instytucji publicznych największą katastrofą będzie prawdopodobnie utrata poufnych danych obywateli. Może upłynąć nawet kilka miesięcy, zanim zdarzenie takie zostanie zauważone lub zgłoszone, co dodatkowo pogarsza jego skutki.

Rosnącą popularność Internetu w coraz większym stopniu wykorzystuje tzw. przestępczość zorganizowana. Oprócz udoskonalonych wersji tradycyjnych zagrożeń pojawiają się nowe - np. botnety, za pomocą których hakerzy kontrolują jednocześnie wiele zarażonych komputerów. Wraz z rozwojem globalnej sieci "rozkwita" podziemie cyberprzestępczości - powstaje system ekonomiczny, którego celem jest kradzież poufnych danych z zamiarem ich sprzedaży lub wykorzystania. Na tym nowym rynku wartościowym towarem są dane osobowe przechowywane przez urzędy, a to niesie poważne ryzyko.

Zacznijmy od sprecyzowania tego, co należy chronić. Można powiedzieć, że wszystkie dane mają charakter poufny i żadne nie powinny opuszczać strefy bezpieczeństwa instytucji. W praktyce jednak trudno obronić takie stanowisko. Niektóre informacje i systemy są zdecydowanie ważniejsze i bardziej poufne niż inne. Ponadto niektórzy pracownicy muszą wykonywać swoje obowiązki z domu, a instytucja musi udostępniać swoje dane zewnętrznym podmiotom.

Systemy teleinformatyczne i informacje można też zaklasyfikować według ich "wrażliwości" i reguł określających, kto będzie miał do nich dostęp i w jaki sposób mają być one chronione.

[...]

Autor jest szefem technicznym firmy Trend Micro w regionie Europy Środkowo-Wschodniej, Rosji i Wspólnoty Niepodległych Państw. W przeszłości zarządzał zespołami IT, zajmował się wdrożeniami projektów z zakresu bezpieczeństwa infrastruktury teleinformatycznej, a także tworzeniem i utrzymywaniem systemów informatycznych.