Polityka bezpieczeństwa
Z Wikipedii
Polityka bezpieczeństwa (ang. security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione.
Polityka powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).
Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym i znanym oraz zrozumianym przez pracowników organizacji korzystających z zasobów informatycznych. Dotyczy to także klientów organizacji (użytkowników jej zasobów).
Przy projektowaniu polityki należy rozważyć, czy organizacja będzie w stanie ponieść koszty wprowadzania tej polityki w życie. Podwyższanie poziomu bezpieczeństwa organizacji/systemu odbywa się najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy ułatwiające zastosowanie w praktyce.
Polityka powinna adresować następujące zagadnienia:
- co podlega ochronie ?
- informacja (dane)
- systemy teleinformatyczne (sprzęt)
- jak chronimy krytyczne zasoby ?
Projektując mechanizmy ochrony informacji należy określić następujące elementy:
- model bezpieczeństwa
- mechanizmy kontroli dostępu
- poziomy uprawnień (jakie poziomy uprawnień istnieją i jakie są zasady ich przyznawania)
- mechanizmy identyfikacji i zapewnienie autentyczności (na poziomie fizycznym i
systemów)
- śledzenie zdarzeń w systemie (jakie mechanizmy/programy/procedury stosowane sa do śledzenia zmian w systemach)
Zobacz też: bezpieczeństwo teleinformatyczne, BS 7799, ISO / IEC 27001 , PN-I-07799-2:2005