Drošības politika

Informācijas drošības politikas noteikumi bieži vien tiek izstrādāti kā atsevišķs dokuments, reaģējot uz regulatora, kas nosaka noteikumus uzņēmumiem konkrētā nozarē prasību. Ja drošības politika nav ieviesta, pret pārkāpējiem var tikt vērstas represijas, tostarp arī darbības apturēšana. Uzņēmumā ir svarīga informācijas pārvaldība un konfidencialitāte.

Drošības politika ir arī obligāta noteiktu standartu – vietējo vai starptautisko, sastāvdaļa. Ir jāievēro īpašas prasības, ko parasti izvirza ārējie revidenti, kas pārbauda organizācijas darbību. Drošības politikas trūkums rada negatīvu atgriezenisko saiti un šādi vērtējumi negatīvi ietekmē tādus rādītājus kā reitings, uzticamība, utt.

Drošības politika parādās tad, kad pati augstākā vadība saprot nepieciešamību pēc strukturētas pieejas informācijas drošības tēmai. Šādus risinājumus var likt lietā pēc tehnisko līdzekļu ieviešanas, kad ir apziņa, ka šie līdzekļi ir jāpārvalda, tiem jābūt pastāvīgā kontrolē. Bieži informācijas drošība ietver arī jautājumus par attiecībām ar personālu (darbinieks var tikt uzskatīts ne tikai par aizsargājamo personu, bet arī par objektu, no kura informācija ir jāaizsargā), citi aspekti un faktori, kas pārsniedz darbinieku aizsardzību. Datortīkls un nesankcionētas piekļuves tam novēršana.

Attiecīgo noteikumu esamība norāda uz organizācijas dzīvotspēju informācijas drošības jautājumos. Skaidrs informācijas drošības nodrošināšanas noteikumu formulējums liecina, ka šajā procesā ir panākts būtisks progress.

Lai izveidotu efektīvu informācijas drošības sistēmu, ir jāizstrādā:

• informācijas drošības jēdziens (definē politiku, tās principus un mērķus);
• standarti (informācijas drošības noteikumi un principi);
• procedūra (konkrētu darbību apraksts informācijas aizsardzībai, strādājot ar to: personas dati, piekļuve informācijas nesējiem, sistēmām un resursiem);
• instrukcijas (detalizēts apraksts par to, kas un kā jādara, lai organizētu informācijas drošību un nodrošinātu esošos standartus).
• Visiem iepriekš minētajiem dokumentiem jābūt savstarpēji saistītiem un tie nedrīkst būt pretrunā viens otram.

Tāpat efektīvai informācijas aizsardzības organizēšanai būtu jāizstrādā ārkārtas situāciju plāni. Tie ir nepieciešami informācijas sistēmu atjaunošanas gadījumā.

Galvenās drošības koncepcijas sadaļas ir:

• drošības politikas definīcija;
• drošības struktūra;
• drošības kontroles mehānisma apraksts;
• riska novērtēšana;
• informācijas drošība: principi un standarti;
• katras nodaļas, biroja vai nodaļas pienākumi un atbildība informācijas nesēju un citu datu aizsardzības īstenošanā;
• atsauces uz citiem drošības noteikumiem.
• turklāt sadaļa, kurā aprakstīti galvenie darbības kritēriji svarīgas informācijas aizsardzības jomā, nebūs lieka. Aizsardzības efektivitātes rādītāji ir nepieciešami, pirmkārt, augstākajai vadībai. Tie ļauj objektīvi novērtēt drošības organizāciju, neiedziļinoties tehniskās niansēs. Drošības politikas īpašniekam arī jāzina skaidri kritēriji informācijas drošības efektivitātes novērtēšanai, lai saprastu, kā vadība novērtēs to darbu.

Drošības politika ir jāveido ņemot vērā divus galvenos aspektus:

1. Visas drošības informācijas mērķauditorija ir tiešie vadītāji un darbinieki, kuri nepārzina specifisku tehnisko terminoloģiju, bet kuriem, lasot instrukcijas, ir jāsaprot un jāapgūst sniegtā informācija;
2. Rokasgrāmatai jābūt kodolīgai, taču tajā jāsniedz visa nepieciešamā informācija par politiku. Neviens detalizēti neizstudēs apjomīgu saturu, vēl jo mazāk to iegaumēs.

No iepriekš minētā izriet vēl divas prasības attiecībā uz drošības instruktāžu:

• tie būtu jāraksta vienkāršā valodā, neizmantojot specifiskus tehniskus terminus;
• tekstā par drošību jāietver mērķi, to sasniegšanas veidi un atbildības sadalījums par drošības politikas neievērošanu. 

Kad informācijas drošības politika ir gatava, ir nepieciešama plānota organizācija, lai to ieviestu ikdienas darbā. Lai to izdarītu, ir nepieciešams:

• Iepazīstināt komandu ar apstiprināto informācijas politiku;
• nodrošināt, ka ar politiku tiek iepazīstināti visi jaunie darbinieki (piemēram, organizējot informatīvus seminārus vai kursus, kuros sniegti visaptveroši skaidrojumi).
• veikt rūpīgu esošo uzņēmējdarbības procesu pārskatīšanu, lai identificētu un mazinātu riskus;
• izstrādāt detalizētus norādījumus un informatīvos materiālus un instrukcijas, kas papildina politiku (piemēram, interneta piekļuves piešķiršanas noteikumus, procedūras, kā strādāt ar informācijas sistēmām, u.c.);
• atjaunot pieņemto drošības politiku, kā arī nepārtraukti uzraudzīt un pētīt esošos drošības apdraudējumus.

Potenciālie ārējie drošības apdraudētājii:

• Biroja apmeklētāji;
• Iepriekš atlaisti darbinieki (īpaši tie, kuri aizgāja ar skandālu un zina, kā piekļūt informācijai);
• Hakeri;
• Trešo pušu struktūras, tostarp konkurenti, kā arī noziedzīgi grupējumi.

Potenciālie iekšējie lietotāji:

• Datortehnikas lietotāji no darbinieku vidus;
• Programmētāji, sistēmu administratori;
• Tehniskais personāls.

Lai organizētu drošu informācijas aizsardzību no katras no uzskaitītajām grupām ir nepieciešami savi noteikumi. Katrs no gadījumiem ir informācijas noplūde. Pirmkart ir jāizstrādā noteikumi personāla uzvedībai birojā, otrkārt gadījumā ķerties pie tehniskiem līdzekļiem, kas paaugstina informācijas drošību, novērš noplūdes no datortīkliem. Izstrādājot informācijas drošību, nepieciešams ņemt vērā uzskaitīto grupu specifiku un nodrošināt efektīvus pasākumus informācijas noplūdes novēršanai katrai no tām.

Informācijas drošības nodrošināšana ir priekšnoteikums veiksmīgai uzņēmuma darbībai. Drošības politikas nodrošināšana ietver jebkuru darbību, kuru mērķis ir aizsargāt informācijas resursus un atbalstīt infrastruktūru. Politika attiecas uz visām automatizētajām un telekomunikāciju sistēmām, kas ir īpašumā un kuras tiek lietotas iestādē. Galvenais mērķis, kuram ir paredzēti visi šīs politikas noteikumi, ir aizsargāt informācijas resursus no iespējamiem materiālajiem zaudējumiem, fiziska, morāla vai cita veida kaitējuma, kas radies nejaušas vai tīšas darbības rezultātā.

Visi aizsargājamie informācijas resursi jāklasificē pēc nozīmīguma un pieejamības pakāpes. Informāciju klasificē un apstiprina iestādes vadība. Periodiski klasifikācija jāpārskata, lai to atjauninātu atbilstoši resursu kategorijai. Resursiem, kas satur konfidenciālu vai kritiski svarīgu informāciju jābūt izceltiem pārējo vidū. 

Iestādei jānosaka drošības prasības, izmantojot metodiskus riska novērtējums. Risku novērtējumos jāprioritizē riski saskaņā ar iestādes riska pieņemšanas kritērijiem un uzņēmējdarbības mērķiem. Novērtējuma rezultātiem būtu jānosaka atbilstoša vadības reakcija, prioritātes un kontroles mehānismi, lai aizsargātu pret šiem riskiem. Riska novērtējums ietver sistemātisku riska analīzes un riska novērtēšanas apvienojumu.

Aprakstītie pienākumi informācijas resursu drošības nodrošināšanā saskaņā ar iestādes drošības politiku jāpaziņo darbiniekam, kad tas tiek pieņemts darbā un kad noteikumi ir iekļauti viņa oficiālo pienākumu klāstā. Tam jāietver gan vispārīgie pienākumi saistīti ar drošības politikas ieviešanu un uzturēšanu, kā arī konkrēti pienākumi par to kā aizsargāt resursus un veikt īpašas ar drošību saistītas darbības.

Visiem pieņemtajiem darbā darbiniekiem ir jāapstiprina un jāparaksta viņu darba līgumi, kas nosaka viņu atbildību par informācijas drošību. Līgumā jāiekļauj darbinieka piekrišana uzņēmuma kontroles pasākumu veikšanai par drošības politikas prasību ievērošanas pārbaude, kā arī konfidenciālas informācijas neizpaušanas pienākumi. Līgumā jāapraksta veicamie pasākumi darbinieka drošības politikas prasību neievērošanas gadījumā.