Polska Norma PN-ISO/IEC 27001
Jednym z najważniejszych dokumentów określających wymagania dotyczące bezpieczeństwa informacji jest Polska Norma PN-ISO/IEC 27001. Dokument ten zawiera wytyczne odnoszące się do wdrożenia systemu zarządzania bezpieczeństwem informacji – ISMS (ang. information security management system), czyli obowiązujących w firmie odpowiednio udokumentowanych reguł zapewniających bezpieczeństwo informacji.
Nawet jeśli firma nie ma wdrożonego i nie zamierza wdrażać systemu zarządzania bezpieczeństwem informacji, warto stosować się do wielu wymagań zawartych w tej normie. Pozwoli to ustrzec firmę przed różnymi problemami natury prawnej oraz finansowej, wynikającymi z naruszenia regulacji dotyczących ochrony informacji. Warto zdawać sobie sprawę, że bezpieczeństwo informacji jest niezbędne do:
- utrzymania konkurencyjności (czasowe ograniczenie działań firmy spowodowane np. awarią systemu informatycznego i związane z tym trudności w obsłudze klientów mogą sprawić, że część klientów w tym czasie skorzysta z usług konkurencji, a nawet przeniesie do niej swoje zamówienia na stałe),
- zachowania płynności finansowej firmy (ujawnienie niektórych danych może wiązać się z wypłatą znacznych odszkodowań, zapłatą grzywien lub zapłatą kar umownych),
- osiągania zysku (utrata np. informacji stanowiących know-how firmy może zachwiać działalnością firmy, a nawet doprowadzić do jej upadku),
- zachowania zgodności działań firmy z przepisami prawa dotyczącymi gromadzenia, udostępniania i przetwarzania informacji,
- kreowania pozytywnego wizerunku firmy (utrata danych klientów może znacząco obniżyć wiarygodność firmy).
Dostępność, integralność i poufność
Bezpieczeństwo informacji (ang. information security) jest ważnym aktywem biznesowym polegającym na zachowaniu dostępności, integralności i poufności informacji. W Polskiej Normie PN-ISO/IEC 27001 pojęcia te są zdefiniowane następująco:
- dostępność (ang. availability) – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu,
- integralność (ang. integrity) – właściwość polegająca na zapewnieniu dokładności i kompletności informacji,
- poufność (ang. confidentiality) – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom.
Bezpieczeństwo informacji zapewnia się przy pomocy odpowiednich środków technicznych oraz zasad organizacyjnych wskazanych w adekwatnych dokumentach firmy. W praktyce ochrona informacji sprowadza się do ochrony dokumentów firmy, ochrony własności intelektualnej, ochrony dokumentacji powierzonej przez klientów oraz ochrony danych osobowych i prywatności osób.
Warto też pamiętać, że brak konieczności zgłoszenia zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) nie oznacza zwolnienia z konieczności opracowania, stosowania i doskonalenia zasad ochrony informacji zawartych w tych zbiorach. Z kolei zgodnie z ustawą o rachunkowości z dnia 29 września 1994 r. (Dz. U. 1994 Nr 121 poz. 591 art. 71 ust. 1) „...księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, zwane dalej także "zbiorami", należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.” (innymi słowy należy zapewnić dostępność, integralność i poufność tych danych).
Zabezpieczanie dokumentacji elektronicznej
Dostęp do informacji jest zazwyczaj czynnikiem decydującym o sukcesie realizowanych przedsięwzięć. W przypadku kluczowych danych kilka dni bez dostępu do nich może zadecydować o tym, czy firma przetrwa na rynku, nie wspominając o dotkliwych stratach finansowych i wizerunkowych. Firma, definiując tajemnice przedsiębiorstwa związane z realizacją wyrobów, powinna również wyznaczyć własne standardy ochrony tego typu informacji (np. dokumentacji projektowej, rysunków technicznych, kodów sterowania obrabiarkami numerycznymi itp.). Systemy informatyczne ułatwiają dostęp i przetwarzanie olbrzymich ilości informacji, stanowią więc naturalne miejsce zagrożenia dla informacji i z tego powodu powinny być odpowiednio zabezpieczone. Dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeśli w sposób ciągły są spełnione łącznie następujące warunki:
- zapewniona jest jej dostępność wyłącznie dla osób uprawnionych,
- jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem,
- są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.
Zabezpieczenie dokumentacji prowadzonej w postaci elektronicznej wymaga w szczególności:
- systematycznego dokonywania analizy zagrożeń,
- opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania,
- stosowania środków bezpieczeństwa adekwatnych do zagrożeń i wartości informacji,
- bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów.
Inne ważne akty prawne
Oprócz wspomnianej już Polskiej Normy PN-ISO/IEC 27001, opracowując dla firmy wymagania związane z bezpieczeństwem informacji, warto zapoznać się również z innymi dokumentami dotyczącymi ochrony informacji:
- USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883),
- USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. 1999 nr 11 poz. 95),
- USTAWA z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. 1994 Nr 24 poz. 83),
- USTAWA z dnia 29 września 1994 r. o rachunkowości (Dz. U. 1994 nr 121 poz. 591).