Polityka bezpieczeństwa informacji

Ten artykuł od 2012-03 wymaga uzupełnienia źródeł podanych informacji. Informacje nieweryfikowalne mogą zostać zakwestionowane i usunięte. Aby uczynić artykuł weryfikowalnym, należy podać przypisy do materiałów opublikowanych w wiarygodnych źródłach.

Polityka bezpieczeństwa informacji (ang. information security policy) – jest zbiorem spójnych, precyzyjnych reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione.

Polityka powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).

Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym i znanym oraz zrozumianym przez pracowników organizacji korzystających z zasobów informatycznych. Dotyczy to także klientów organizacji (użytkowników jej zasobów).

Przy projektowaniu polityki należy rozważyć, czy organizacja będzie w stanie ponieść koszty wprowadzania tej polityki w życie. Podwyższanie poziomu bezpieczeństwa organizacji/systemu odbywa się najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy ułatwiające zastosowanie w praktyce. Podstawowym zadaniem jest przeprowadzenie analizy ryzyka i ustalenie akceptowalnego poziomu ryzyka.

Polityka powinna odnosić się następujących zagadnień:

• co podlega ochronie?
  • informacja (dane)
  • systemy teleinformatyczne (sprzęt)
• jak chronimy krytyczne zasoby?

Projektując mechanizmy ochrony informacji należy określić następujące elementy:

• model bezpieczeństwa
• mechanizmy kontroli dostępu
• poziomy uprawnień (jakie poziomy uprawnień istnieją i jakie są zasady ich przyznawania)
• mechanizmy identyfikacji i zapewnienie autentyczności (na poziomie fizycznym i systemów)
• śledzenie zdarzeń w systemie (jakie mechanizmy/programy/procedury stosowane są do śledzenia zmian w systemach)

Zobacz też [edytuj]

• bezpieczeństwo teleinformatyczne
• BS 7799
• ISO/IEC 27001
• PN-I-07799-2:2005
• Przykładowa polityka bezpieczeństwa