Zapewnienie bezpieczeństwa informacji stanowi niezbędny element funkcjonowania każdej organizacji, nie tylko w wyniku praktycznej potrzeby, lecz również z uwagi na wymogi i obowiązki prawne związane z ochroną poufności informacji. Podmioty finansowe są zobowiązane do podejmowania działań mających na celu spełnienie tych wymogów. Polityka bezpieczeństwa, jako dokument o kluczowym znaczeniu strategicznym, określa cele, strategie i działania niezbędne do efektywnego i kompleksowego zarządzania bezpieczeństwem informacji w przedsiębiorstwie.
Czym jest polityka bezpieczeństwa informacji?
Polityka bezpieczeństwa informacji stanowi fundamentalny element ochrony przed zaniedbaniem zasad bezpieczeństwa. Jej nadrzędnym celem jest wskazanie metod skutecznej obrony przed potencjalnymi cyberatakami i naruszeniem bezpieczeństwa danych, co mogłoby prowadzić do znacznych strat finansowych oraz utraty reputacji firmy. Podstawowe zasady polityki obejmują poufność informacji, integralność danych oraz dostępność systemów i danych. Polityka bezpieczeństwa IT powinna być elastycznie dostosowywana do indywidualnych potrzeb danej organizacji. Istotnym aspektem jest precyzyjne określenie, jakie zasoby informacyjne i aktywa powinny być objęte ochroną oraz jakie jest ich znaczenie dla organizacji. Zabezpieczenia obejmą różne zasoby, przy czym jedne chronione będą ze względu na potencjalne krótkotrwałe zakłócenia w funkcjonowaniu organizacji, natomiast inne ze względu na ryzyko utraty ciągłości biznesowej, załamanie kluczowych procesów biznesowych lub poniesienie odpowiedzialności karnej.
Polityka bezpieczeństwa informacji jest jednym z obowiązkowych dokumentów wymaganych przez rozporządzenie DORA. Jeżeli chcesz dowiedzieć się jak ta polityka wpisuje się w ramy zarządzania ryzykiem pobierz listę dokumentów zgodnych z DORA.
ISO/IEC 27001
ISO/IEC 27001, znane w najnowszej wersji jako ISO 27001:2022, to międzynarodowy standard dotyczący Systemów Zarządzania Bezpieczeństwem Informacji. Oferuje strukturę i wytyczne, aby pomóc organizacjom, niezależnie od ich wielkości czy branży, w ustanawianiu, wdrażaniu, utrzymaniu i ciągłym doskonaleniu systemów zarządzania bezpieczeństwem informacji. Normy ISO/IEC z rodziny 27000 umożliwiają organizacjom aktywne zarządzanie ryzykiem związanym z bezpieczeństwem danych, stosując najlepsze praktyki i zasady. Obejmuje aspekty takie jak dokumentacja, odpowiedzialność zarządzania, audyty wewnętrzne, ciągłe doskonalenie oraz działania korygujące i zapobiegawcze.
ISO/IEC 27001 promuje holistyczne podejście do bezpieczeństwa informacji, odnoszące się do ludzi, polityki i technologii. Jest metodą do zarządzania ryzykiem, zwiększania cyberodporności oraz promowania doskonałości operacyjnej. Standard wspomaga organizacje w ochronie krytycznych zasobów informacyjnych i zapewnia zgodność z obowiązującymi przepisami prawnymi. Trzy fundamentalne zasady ISO/IEC 27001 to poufność, integralność i dostępność, mające na celu kontrolowanie dostępu, zapobieganie nieautoryzowanym zmianom oraz zapewnianie dostępności informacji upoważnionym osobom w razie potrzeby.
DORA a polityka bezpieczeństwa informacji
Potrzeba stworzenia polityki bezpieczeństwa informacji wynika z wielu regulacji i norm między innymi dotyczących ochrony danych osobowych, bezpieczeństwa systemów teleinformatycznych, ochrony informacji niejawnych, krajowego systemu cyberbezpieczeństwa, Krajowych Ram Interoperacyjności, czy normy ISO/IEC 27001. Do tego zbioru dochodzi DORA, która wprost wskazuje potrzebę posiadania polityki bezpieczeństwa informacji. Wskazuje ona, jako element ram zarządzania ryzykiem, w artykule 9 (Ochrona i zapobieganie) ustęp 4. a), że: “W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe: a) opracowują i dokumentują politykę bezpieczeństwa informacji określającą zasady ochrony dostępności, autentyczności, integralności oraz poufności danych, zasobów informacyjnych i zasobów ICT, w tym, w stosownych przypadkach danych, zasobów informacyjnych i zasobów ICT swoich klientów”.
Z czego składa się polityka bezpieczeństwa informacji?
DORA w kontekście zarządzania ryzykiem związanym z ICT nakazuje podmiotom finansowym podjęcie szeregu działań. Przygotowanie polityki bezpieczeństwa informacji powinno zostać poprzedzone identyfikacją składowych środowiska ICT, ale również innych, w tym elementów fizycznych. Później stosując analizę ryzyka, podmiot finansowy tworzy skuteczną politykę bezpieczeństwa informacji.
Zasady dostępów
Polityka bezpieczeństwa IT określa sposób wykorzystania kont użytkownika i administratora w systemach oraz ich separację. W obszarze zarządzania hasłami ta polityka powinna określać wymagania dotyczące zarządzania hasłami użytkowników, takie jak okresy ważności, czy zasady siły hasła. Dostęp do tych zasobów jest przyznawany jedynie na potrzeby uzasadnionych i zatwierdzonych funkcji i działań. W tym celu ustanawiane są kompleksowe zestawy polityk, procedur i kontroli, skoncentrowanych na prawidłowym zarządzaniu dostępem. W obszarze bezpieczeństwa uwierzytelniania podmioty finansowe implementują silne mechanizmy uwierzytelniania. Te mechanizmy bazują na odpowiednich standardach, specjalnych systemach kontroli oraz środkach ochrony kluczy kryptograficznych. Dzięki nim dane są szyfrowane zgodnie z wynikami procesów klasyfikacji danych i oceny ryzyka związanego z ICT. Polityka powinna zawierać opis zasad identyfikacji pracowników w przestrzeni fizycznej i określenie poziomów dostępu do miejscach takich jak serwerownie, czy archiwa z dokumentami.
Incydenty, awarie i ciągłość działania
Należy zawrzeć opis programów wykrywających nieautoryzowane zmiany i incydenty oraz wyjaśnić procedurę monitorowania zdarzeń w środowisku ICT. Dokument powinien opisywać sposoby postępowania w przypadku incydentów takich jak nieautoryzowany dostęp fizyczny i cyfrowy. Procedury te obejmują zgłaszanie, analizę, reakcję i raportowanie zdarzeń, w tym incydentów w formie wycieku lub utraty danych. Polityka powinna zawierać procedury awaryjne, obejmujące sytuacje awaryjne, ataki cybernetyczne, czy sytuacje kryzysowe, a także uwzględniać zgodność z obowiązującymi przepisami i regulacjami branżowymi. Wszystko to powinno być dynamicznie dostosowywane do zmieniającego się środowiska biznesowego i nowych zagrożeń związanych z bezpieczeństwem informacji. Wykorzystywane są w tym przypadku odpowiednie techniki, metody i protokoły, obejmujące nawet wdrażanie zautomatyzowanych mechanizmów izolowania zasobów informacyjnych w przypadku potencjalnych cyberataków.
Pracownicy
Powinien to być dokument dostępny dla każdego pracownika danej instytucji oraz osób korzystających z jej informatycznych zasobów. Co więcej, polityka bezpieczeństwa informacji powinna zawierać plan szkoleń i rozwoju świadomości o zagrożeniach. Plan ten obejmuje regularne szkolenia pracowników oraz kampanie edukacyjne. Działania te mają na celu podniesienie świadomości w zakresie bezpieczeństwa informacji.
Telekomunikacja
W kontekście zabezpieczeń telekomunikacyjnych polityka powinna definiować środki bezpieczeństwa w obszarze komunikacji, zarówno pod kątem transmisji danych, jak i ochrony przed atakami typu „man-in-the-middle”. Zarządzanie dostawcami usług ICT to kolejny ważny obszar, obejmujący określenie wymagań bezpieczeństwa informacji w umowach i monitorowanie działań dostawców.
Jasne określenie odpowiedzialności poszczególnych jednostek organizacyjnych i pracowników za wdrożenie i przestrzeganie zasad bezpieczeństwa stanowi kluczowy element polityki bezpieczeństwa.
Zarządzanie zmianą i aktualizacje
Podmioty finansowe powinny zwrócić uwagę na zagadnienie zarządzania zmianą w systemach ICT. Proces ten obejmuje oprogramowanie, sprzęt komputerowy, komponenty oprogramowania sprzętowego, parametry systemowe oraz parametry bezpieczeństwa. Zarządzanie zmianą opiera się na ocenie ryzyka i stanowi integralną część ogólnego procesu zarządzania zmianami w podmiocie finansowym. Ma to na celu zapewnienie kontrolowanego rejestrowania, testowania, oceniania, zatwierdzania, wdrażania i weryfikowania wszelkich zmian w systemach ICT.
Wreszcie podmioty finansowe powinny posiadać odpowiednią i kompleksową udokumentowaną politykę dotyczącą poprawek i aktualizacji. Jest to istotny element zapewniający skuteczne zarządzanie i utrzymanie systemów informatycznych w dynamicznym środowisku technologicznym.
Model PDCA
Warto w tym miejscu wykorzystać normę ISO/IEC 27001, która opiera się na modelu PDCA (Plan, Do, Check, Act) „Planuj – Wykonuj – Sprawdzaj – Działaj”. Poszczególne etapy można rozwinąć jako:
- Planuj – ustanowienie polityki w zakresie bezpieczeństwa informacji, która jest oparta na kompleksowej analizie ryzyka i jest zgodna z celami organizacji.
- Wykonuj – wdrożenie systemu opartego na polityce bezpieczeństwa informacji.
- Sprawdzaj – monitorowanie, mierzeniem wydajności procesów w odniesieniu do polityki i celów.
- Działaj – utrzymanie i doskonaleniu systemu opartego na bazie polityki bezpieczeństwa informacji poprzez podejmowanie działań korygujących i zapobiegawczych na podstawie wyników audytów wewnętrznych i innych informacji.
Zalety wdrożenia polityki bezpieczeństwa informacji
W wielu firmach problematyka związana z cyberbezpieczeństwem jest bagatelizowana, a brak zdefiniowanej polityki bezpieczeństwa oraz niespełnienie jej zaleceń przez pracowników stają się powszechnym zjawiskiem. To nie dotyczy jedynie małych i średnich firm, ponieważ nawet duże, międzynarodowe przedsiębiorstwa często nie posiadają tego dokumentu, a jego brak ujawnia się najczęściej po ataku celowanym, kiedy jest już za późno na skuteczną reakcję.
Wprowadzenie polityki bezpieczeństwa informacji niesie za sobą liczne korzyści. Pierwsza kategoria obejmuje minimalizację strat z powodu naruszenia bezpieczeństwa informacji, ryzyka związane z incydentami, ochrony danych osobowych, przygotowanie na potencjalne incydenty oraz opracowanie scenariuszy działań w przypadku naruszeń. Druga kategoria korzyści dotyczy podniesienia wiarygodności organizacji w oczach klientów, inwestorów i udziałowców, co przyczynia się do zwiększenia przewagi konkurencyjnej poprzez budowanie pozytywnego wizerunku jako firmy dbającej o ochronę praw i interesów partnerów biznesowych i klientów. Po trzecie, posiadanie polityki bezpieczeństwa informacji związane jest z zapewnieniem zgodności z regulacjami, w tym DORA.
