Bezpieczeństwo informacji – podstawowe zasady

Bezpieczeństwo informacji to słowa, które pojawiają się w mediach rzadko. Obecnie ochrona danych osobowych stanowi temat do tego stopnia głośny w mediach, że można by go określić mianem nawet modnego. Dzienniki, magazyny, prasa codzienna czy internetowe serwisy informacyjne prześcigają się wzajemnie w stawianiu niepokojących tez. Przykładem mogą być coraz częściej pojawiające się materiały tylu clickbait, zwłaszcza na społecznościowych odsłonach wydawców prasy, których jedynym celem zdaje się być przekierowanie jak największego ruchu na strony z reklamą, gdzie merytoryka i właściwe interpretowanie przepisów schodzi na drugi plan. Ze względu na nagłaśnianie tematyki ochrony danych osobowych, niezależnie od tego, czy docelowe informacje mają odpowiedni poziom merytoryczny, nawet osoby nie zajmujące się nim zawodowo mają często pojęcie o tym jakie są bazowe zasady, których trzeba przestrzegać.

Należy pamiętać, że ochrona danych osobowych w organizacji powinna nierozerwalnie łączyć się z ochroną informacji w ogóle. Organizacje winny chronić nie tylko dane osobowe, ale również informacje, które są poufne czy stanowią lub mogą stanowić tajemnicę administratora. Chronić należy także wiedzę i informacje technologiczne oraz wszelkie inne informacje, które mogą przy wycieku spowodować utratę przewagi konkurencyjnej. Te same zasady i dobre praktyki możemy stosować zarówno do samej ochrony danych osobowych jak i bezpieczeństwa informacji. Osoby zajmujące się ochroną danych osobowych powinny rozważyć całościowe podejście do tematyki kultury bezpieczeństwa koncentrując się nie tylko na ochronie danych ale również ochronie wszystkich obszarów organizacji przed utratą informacji. Jakie zatem są podstawowe zasady bezpieczeństwa informacji, które powinny być przestrzegane w każdej organizacji?

Wykaz podstawowych zasad bezpieczeństwa informacji

Zdaje się, że nie ma górnej granicy ilości zasad, które mogą przełożyć się na zwiększanie poziomu bezpieczeństwa oraz budowanie kultury bezpieczeństwa. Stałe podnoszenie poziomu ochrony wynikać powinno z dobrej praktyki odpowiadania na rozwijające się i nowe zagrożenia na rynku. Wyróżnić natomiast można kilka głównych, podstawowych zasad, których wdrożenie powinno być realizowane każdorazowo. Warto również uświadamiać swoich współpracowników w tym zakresie ponieważ każda organizacja jest tak bezpieczna jak jej najsłabsze ogniwo. Spośród podstawowych zasad bezpieczeństwa informacji (nazewnictwo może być inne w zależności od organizacji) wyróżnić można między innymi:

  • zasadę prywatności kont w systemach informatycznych,
  • zasadę prywatności haseł i kodów dostępu,
  • zasadę zamkniętego pomieszczenia,
  • zasadę nadzorowania dokumentów,
  • zasadę czystego biurka,
  • zasadę czystej tablicy,
  • zasadę czystego ekranu,
  • zasadę czystego pulpitu,
  • zasadę czystych drukarek,
  • zasadę czystego kosza,
  • zasadę czystego pojazdu,
  • zasadę odpowiedzialności za zasoby,
  • zasadę legalnego komputera.

Ochrona informacji
powinna spełniać swoją rolę, niepożądanym jest jednak by stosowanie zasad ochrony
wpłynęło blokująco czy hamująco na procesy biznesowe

Powyższe zasady służyć mają jako przykład podstawowych reguł zabezpieczania informacji. Powyższa lista nie stanowi zamkniętego wykazu. W zależności od organizacji takich zasad może być znacznie więcej. Dobrze jeśli są spisane w formie instrukcji, a personel administratora ma świadomość ich obowiązywania i wie jak je stosować. Pamiętać należy, że przy kreowaniu nowych zasad bezpieczeństwa informacji, będących odpowiedzią na pojawiające się ryzyka należy stosować podejście zdroworozsądkowe. Ochrona informacji powinna spełniać swoją rolę, niepożądanym jest jednak by stosowanie zasad ochrony wpłynęło blokująco czy hamująco na procesy biznesowe. Powinno szukać się tzw. złotego środka.

Zasada prywatności kont w systemach informatycznych

Zasada prywatności kont w systemach informatycznych mówi o tym, że każdy użytkownik systemów informatycznych powinien zostać zobowiązany do pracy na przypisanym jemu koncie. Zgodnie z rzeczona zasadą zabronione jest udostępnianie konta osobom trzecim i innym użytkownikom. Stosowanie powyższego pozwala dodatkowo administratorowi na spełnienie wymogu rozliczalności wynikającego z art. 5, ust. 2 RODO, który mówi, że jest on odpowiedzialny za przestrzeganie przepisów art. 5, ust. 1 RODO (zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność) oraz jest w stanie to wykazać. W przypadku naruszenia czy wyłomu bezpieczeństwa pozwoli to na ustalenie użytkownika konta, na którym doszło do incydentu. Jest to kluczowe z punktu widzenia notyfikacji, szczegółowego ustalenia powodów zdarzenia bądź odpowiedzialności za zdarzenie. Ponieważ stosując zasadę ograniczamy możliwość dostępu osób niepowołanych i trzecich do zasobów, mitygowane jest ryzyko niekontrolowanej utraty informacji.

Stosowanie
zasady poufności haseł winno być również stosowane w życiu prywatnym

Zasada poufności haseł i kodów

Zasada poufności haseł i kodów dostępu mówi o tym, że każdy użytkownik systemów informatycznych zobowiązany jest do zachowania poufności i nieprzekazywania osobom nieuprawnionym haseł i kodów dostępu. W szczególności dotyczy to jego osobistych haseł dostępu do systemów informatycznych i stref ochronnych. O skutkach utraty loginu oraz hasła dostępowego można było przeczytać na łamach serwisu Niebezpiecznik w artykule poświęconym utracie 4 milionów złotych przez spółkę Cenzin należącą do Polskiej Grupy Zbrojeniowej. Do utraty środków doszło w wyniku przejęcia przez przestępców konta e-mail i wysłaniu fałszywej wiadomości z dokumentem faktury, na którym podmieniony został numer konta. Rzeczona sytuacja pokazuje, że poufność haseł dostępowych ma nie tylko znaczenie dla ochrony danych czy bezpieczeństwa informacji, ale również dla bezpieczeństwa transakcji finansowych organizacji. Stosowanie zasady poufności haseł winno być również stosowane w życiu prywatnym, zwłaszcza ze względu na fakt częstego i negatywnego zjawiska używania tych samych danych logowania w sferze życia prywatnego jak i służbowego. Pracowników organizacji należy uświadamiać w zakresie poufności danych logowania. Dodatkowo warto kłaść nacisk na używanie różnych kodów i haseł dostępu w różnych sferach życia.

Zasada zamkniętego pomieszczenia

Zasada zamkniętego pomieszczenia mówi o tym, że niedopuszczalne jest pozostawienie niezabezpieczonego pomieszczenia służbowego bez nadzoru osoby uprawnionej. Rzeczona zasada obowiązuje zarówno w godzinach pracy, jak i po jej zakończeniu. Reguła ta zazwyczaj nie dotyczy pomieszczeń ogólnie dostępnych. Pracownicy organizacji na zakończenie dnia pracy powinni zadbać dodatkowo o to by ostatnia wychodząca z pomieszczenia osoba, zamknęła wszystkie okna i drzwi oraz zabezpieczyła klucze do pomieszczenia. Stosowanie rzeczonej regulacji zmniejszy znacząco ryzyko dostępu do pomieszczeń, w których gromadzone są zasoby informacyjne, osób trzecich i niepowołanych. Dobrą praktyką jest łączenie zasady z regulacjami w zakresie polityki zarządzania dostępem do kluczu. Pożądanym jest posiadanie w organizacji ewidencji kluczy zawierającej informację o osobach dysponujących dostępem. Często stosowanym narzędziem podnoszącym poziom bezpieczeństwa są dodatkowo elektroniczne dyspozytory kluczy połączone z systemem kart RCP.

W przypadku niektórych rodzajów informacji
przepisy prawa będą jasno precyzować sposoby przechowywania

Zasada nadzorowania dokumentów

Zasada nadzorowania dokumentów mówi o tym, że po godzinach pracy wszelkie dokumenty podlegające tajemnicy powinny zostać schowane. Dotyczy to nie tylko dokumentów podlegających ochronie danych osobowych, ale również stanowiących tajemnicę przedsiębiorstwa. W szczególny sposób rzeczona zasada pomaga administratorom chronić dokumenty zawierające szczególne kategorie danych osobowych. W praktycznym zastosowaniu regulacji chodzi o to, by wszelkie papierowe nośniki informacji poufnych przechowywać w zamkniętych szafach lub szufladach zabezpieczonych przed dostępem osób nieuprawnionych. Należy zauważyć, że w przypadku niektórych rodzajów informacji przepisy prawa będą jasno precyzować sposoby przechowywania. Przykładem takim może być Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 roku w sprawie dokumentacji pracowniczej. Rozporządzenie w § 8 mówi o konieczności zapewnienia odpowiednich warunków zabezpieczających dokumentację pracowniczą prowadzoną i przechowywaną w formie papierowej przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych. Przepis mówi również o zapewnieniu odpowiednich warunków w pomieszczeniu w zakresie temperatury, wilgotności czy dostępu. W związku z powyższym przechowywanie rzeczonych dokumentów kadrowych w szafie, która może zostać choćby zalana lub jej zamek wyrwany silnym szarpnięciem, może być rozwiązaniem niewystarczającym.

Zasada czystego biurka

Zasada czystego biurka mówi o tym, że należy unikać pozostawiania na biurku bez nadzoru dokumentów stanowiących tajemnicę przedsiębiorstwa oraz podlegających ochronie danych osobowych. Zgodnie z wytyczną każdy pracownik po zakończeniu pracy powinien zostać zobowiązany do schowania do szafy zamykanej na klucz wszystkich poufnych, wrażliwych i stanowiących tajemnicę dokumentów oraz zapisanych nośników danych. Zasada ta winna być stosowana nie tylko po zakończonym dniu pracy, ale również w sytuacjach, w których pracownik opuszcza pomieszczenie pracy nie zabezpieczając go jednocześnie przed dostępem osób trzecich. Możliwym do zrozumienia jest to, że w toku pracy nierzadko ciężko jest każdorazowo ukrywać dokumenty przed dostępem osób trzecich. Pamiętać należy jednak, że każda organizacja narażona jest choćby na działanie tzw. Insidera czyli osoby atakującej organizację z wewnątrz. Dlatego pozostawienie w miejscu ogólnodostępnym dokumentów i nośników zawierających informacje poufne narazić może organizację na incydent, którego reperkusje mogą być znaczące. O przykładowych typach Insidera można przeczytać choćby na stronie Securelist, gdzie wskazano w artykule rodzaje osób atakujących z wewnątrz oraz wskazano jak rozpoznawać różne typy takich osób.

Zasada czystej tablicy

Zasada czystej tablicy mówi o tym, że po zakończonej pracy należy uprzątnąć wszystkie materiały, które wykorzystywane były jako merytoryczne pomoce w trakcie spotkań, prezentacji czy szkoleń oraz wyczyścić tablicę, flipchart lub inne nośniki. Podczas spotkań wewnętrznych i prezentacji na tablicach i flipchartach pojawiać się mogą informacje dotyczące technologii, planów, projektów organizacji, wyników finansowych oraz innych informacji, które stanowić będą tajemnicę przedsiębiorstwa. Pozostawienie danych na flipchartach skutkować może wyciekiem informacji. Pomijając fakt dostępu do informacji przez osoby trzecie w organizacji dodatkowy ryzykiem mogą być działania służb sprzątających, które częstokroć nieświadome ryzyka wyrzucają duże, zapisane informacjami papierowe karty z tablic bez odpowiedniego zniszczenia. Osoby zainteresowane pozyskaniem tajemnic organizacji w rzeczonej sytuacji nie muszą się nawet wysilać by pozyskać dane, które ogólnie dostępne znajdują się częstokroć w śmietniku na zewnątrz budynku.

iezabezpieczony komputer w organizacji pozostawiony bez opieki
narażony jest chociażby na działanie Insidera

Zasada czystego ekranu

Zasada czystego ekranu mówi o tym, że każdy komputer powinien mieć ustawiony, włączający się automatycznie w przypadku bezczynności użytkownika, wygaszacz ekranu wyłączany po podaniu hasła. Dodatkowo przed pozostawieniem włączonego komputera bez opieki użytkownicy powinni zablokować go lub w przypadku dłuższej nieobecności wylogować się z systemu. Niezabezpieczony komputer w organizacji pozostawiony bez opieki narażony jest chociażby na działanie Insidera. W ramach organizacji zachodzi również zjawisko dostępu do informacji zgodnie z zasadą minimalnej wiedzy koniecznej. Pomijajac kwestię ryzyka związanego z dostępem do informacji osoby niepowołanej, niepożądanym jest by pracownicy nie zajmujący się kwestiami kadrowymi mieli przykładowo wgląd w składniki wynagrodzenia i wysokość wynagrodzenia współpracownika w efekcie uzyskania dostępu do niezabezpieczonego komputera. Sytuacja taka może prowadzić w skrajnych przypadkach do zjawiska dyskryminacji.

Zasada czystego pulpitu i czystego nośnika

Zasada czystego pulpitu i czystego nośnika mówi o tym, że na pulpicie komputera powinny znajdować się jedynie ikony standardowego oprogramowania i aplikacji służbowych. Dodatkowo na pulpicie powinny znajdować się skróty do folderów pod warunkiem, że w nazwie nie zawierają informacji o realizowanych projektach czy klientach. Urządzenia przenośne takie jak pendrive lub zewnętrzne dyski, zgodnie z zasadą mogą być używane do przenoszenia informacji, jednak po przeniesieniu informacji plik należy usunąć. Przy przenoszeniu informacji zawierających dane osobowe powinno się stosować szyfrowanie. Pomijając kwestie bezpieczeństwa informacji strategicznych z punktu widzenia organizacji, dane osobowe, w zależności od sytuacji mogą należeć do odmiennych kategorii. Bardzo często z kontekstu wynikać może to, czy dane należą do szczególnej kategorii, stąd szyfrowanie nośników winno być stałą praktyką stosowaną w organizacjach. Przykładowo jeśli organizacja straci niezaszyfrowany nośnik elektroniczny zawierający imię i nazwisko pracowników uczestniczących w szkoleniu z ochrony danych osobowych będziemy mogli mówić wysokim prawdopodobieństwie ryzyka dostępu do danych osoby trzeciej ale też niewielkim wpływie. Jeśli natomiast na nośniku elektronicznym znalazłaby się taka sama lista, zawierająca tylko imię i nazwisko uczestników, ale z tytułu listy wynikałoby, że jest to ewidencja obecności rodziców dzieci cierpiących na chorobę przewlekłą będziemy mieli do czynienia z dużym wpływem na osoby, których dane dotyczą ponieważ w grę wchodzić będą dane dotyczące stanu zdrowia dzieci.

Faktem niezaprzeczalnym jest, że obecne urządzenia drukujące w
organizacjach częstokroć spełniają cechy komputera, mają dysk twardy, system
operacyjny i możliwość podłączenia do sieci

Zasada czystych drukarek

Zasada czystych drukarek mówi o tym, że dostęp do drukarek sieciowych oraz faksów powinien być ograniczony odpowiednimi uprawnieniami. Uprawnienia te winny być nadawane na wniosek bezpośredniego przełożonego pracownika. Informacje drukowane powinny być zabierane z drukarek natychmiast po wydrukowaniu. W przypadku nieudanej próby wydrukowania użytkownik powinien skontaktować się z osobą odpowiedzialną za eksploatacje urządzenia. Dodatkowo należy zwrócić uwagę na fakt, że drukarki sieciowe często są zabezpieczone w niewłaściwy sposób. Postulowana jest często w artykułach branżowych teza, że sieć jest tak samo bezpieczna jak bezpieczna jest drukarka sieciowa. Faktem niezaprzeczalnym jest, że obecne urządzenia drukujące w organizacjach częstokroć spełniają cechy komputera, mają dysk twardy, system operacyjny i możliwość podłączenia do sieci. Niezabezpieczona programowo drukarka, pomimo wysokiego poziomu bezpieczeństwa na stacjach roboczych i mikrosegmentacji sieci stanowić może poważne zagrożenie dla bezpieczeństwa zasobów informatycznych. Wystarczy, że atakujący organizację uzyska dostęp do fragmentu obszaru sieci podpiętego do drukarki, wtedy przez niezabezpieczone urządzenie drukujące z otwartymi wszystkimi portami uzyska dostęp w inne miejsca. Na drukarce z systemem operacyjnym istnieje możliwość uruchamiania dodatkowego oprogramowania, które nierzadko może być szkodliwe dla organizacji. W internecie można znaleźć wiele przykładów takiego działania, jak choćby uruchomienie na urządzeniu drukującym marki Canon gry Doom.

Zasada czystego kosza

Zasada czystego kosza mówi o tym, że dokumenty papierowe, z wyjątkiem materiałów promocyjnych, marketingowych i innych publicznie dostępnych, powinny być niszczone w sposób uniemożliwiający ich odczytanie. Stosowane podczas niszczenia mogą być niszczarki lub dokumenty można umieszczać w specjalnie do tego przeznaczonych pojemnikach gdy organizacja posiada zawartą odpowiednią umowę z firmą zajmującą się takim usuwaniem dokumentacji. W toku zewnętrznego audytu organizacji bardzo często można spotkać się z nieprawidłowym usuwaniem różnego rodzaju dokumentów. Dochodzi do sytuacji, w których w śmietnikach znajdują się nie tylko dokumenty zawierające dane osobowe, ale również bilingi, zestawienia finansowe, umowy, wydrukowane e-maile, dokumentacja technologiczna. Śmietnik stanowi wąskie gardło bezpieczeństwa informacji dla organizacji. Ciężko oczekiwać od służb sprzątających przeglądania zawartości kosza w poszukiwaniu dokumentów, które nie powinny się tam znaleźć.

Zasada czystego pojazdu

Zasada czystego pojazdu mówi o tym, że niedopuszczalne jest pozostawianie dokumentów, nośników elektronicznych lub urządzeń zawierających informacje objęte tajemnicą przedsiębiorstwa lub podlegające ochronie danych osobowych w pojazdach bez opieki. Tyczyć się to będzie nie tylko samochodów służbowych, prywatnych czy prywatnych używanych w celach służbowych, ale również innych takich jak choćby wózki widłowe, mobilne podnośniki itp. Osoby pracujące w organizacji powinny mieć świadomość, że należy co najmniej schować dokumenty, nośniki lub urządzenia do schowka zamykanego na klucz. Po opuszczeniu pojazdu dokumenty, nośniki lub urządzenia (o ile nie chowamy ich do zamykanego na klucz schowka) powinny być zabrane z pojazdu. O zasadności takiej regulacji mówić może przykład skutków pozostawienia torby ze służbowym komputerem na siedzeniu samochodu służbowego w momencie, w którym pracownik zatrzymuje się na przykład zrobić szybkie zakupy. Jeżeli pojazd stoi w miejscu nie objętym zasięgiem kamery to na drodze przestępcy do urządzenia stać będzie jedynie szyba, którą można zwyczajnie zbić.

Należy zwrócić uwagę na fakt, że pliki pobierane z sieci
internet mogą być zainfekowane choćby szkodliwym oprogramowaniem typu ransomware

Zasada odpowiedzialności za zasoby

Zasada odpowiedzialności za zasoby mówi o tym, że każdy użytkownik odpowiada za udostępnione mu zasoby (komputer, oprogramowanie, systemy, konta, nośniki, dokumenty itp.). Użytkownik powinien mieć każdorazowo świadomość, że zasoby te przeznaczone są do realizacji celów służbowych. Aby zminimalizować przypadkowe naruszenie bezpieczeństwa danych sprzęt powierzony (m. in. stacje robocze, laptopy, drukarki, nośniki danych) nie powinien być wykorzystywany przez użytkownika systemów informatycznych do celów prywatnych, ani też udostępniany osobom trzecim. Wykorzystywanie ich do celów prywatnych powinno być możliwe jedynie w ograniczonym wewnętrznymi przepisami zakresie. Użytkownikowi posiadającemu dostęp do systemów informatycznych organizacji należy odradzać lub uniemożliwić pobierania z sieci, kopiowania, przechowywania lub rozprowadzania oprogramowania, danych multimedialnych (filmy, muzyka) oraz innych plików, których używanie może powodować naruszenia praw do własności intelektualnej. Należy zwrócić uwagę na fakt, że pliki pobierane z sieci internet mogą być zainfekowane choćby szkodliwym oprogramowaniem typu ransomware, którego celem jest  blokowanie dostępu do systemu informatycznego lub uniemożliwienie odczytu zapisanych w nim danych.

Zasada legalnego komputera

Zasada legalnego komputera mówi o tym, że każdy użytkownik komputera powinien odpowiadać za użytkowane przez siebie oprogramowanie i przetwarzane przez siebie treści. Zabronione powinno być wykorzystywanie oprogramowania, które nie jest konieczne do wykonywania obowiązków na danym stanowisku. Zabronione powinno być instalowanie i użytkowanie oprogramowania niezgodnie z warunkami licencji. Niedopuszczalne winno być podłączanie do sieci komputerowej jakichkolwiek urządzeń nieposiadających autoryzacji. Wyjątek może stanowić dedykowana dla gości sieć. W przypadku korzystania z urządzenia przez kilku użytkowników wyznaczyć się powinno osobę odpowiedzialną za sprzęt, określając jednocześnie uprawnienia i obowiązki dotyczące użytkowania sprzętu przez wszystkich jego współużytkowników.

Powyższe zasady nie stanowią skończonego zbioru, który może być stosowany w organizacji w celu podniesienia poziomu bezpieczeństwa informacji oraz budowania kultury bezpieczeństwa. Ich wprowadzenie i stosowanie, oraz budowanie świadomości pracowników organizacji w tym zakresie, przełożyć się powinno na mitygowanie ryzyka wycieku informacji poufnych, stanowiących tajemnicę organizacji, a także danych osobowych.

Podstawy prawne:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 roku w sprawie dokumentacji pracowniczej

Hasła kluczowe:

Bezpieczeństwo informacji w organizacji

Jak chronić informacje poufne

Bezpieczeństwo danych osobowych i informacji

Prywatność kont w systemach informatycznych

Prywatność haseł i kodów dostępu

Bezpieczeństwo pomieszczeń

Nadzorowanie dokumentów

Zasada czystego biurka

Zasadę czystej tablicy

Zasadę czystego ekranu

Zasadę czystego pulpitu

Zasadę czystych drukarek

Zasadę czystego kosza

Zasadę czystego pojazdu

Odpowiedzialność za zasoby

Legalny komputer

AUTOR: Tomasz Wącirz