Systemy informatyczne:
Tworzymy i optymalizujemy systemy informatyczne:
Bezpieczeństwo informacji
Dbamy o bezpieczeństwo informacji:
Sieci
Tworzymy i zapewniamy bezawaryjne działanie sieci
Polityka bezpieczeństwa informatycznego
- I. Ustawa o ochronie danych osobowych z dnia 27 sierpnia 1997 r. ( Dz. U. 2002 r. r 101 poz. 925 z póżn. zm.) zwana dalej Ustawą,
- II. Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. (Dz. U. 2004 Nr 100, poz. 1024) zwana dalej Rozporządzeniem.
- 1. Polityka bezpieczeństwa,
- 2. Organizacja bezpieczeństwa,
- 3. Zasady i klasyfikacji zasobów informacyjnych,
- 4. Bezpieczeństwo związane z personelem,
- 5. Bezpieczeństwo fizyczne i infrastruktura,
- 6. Zarządzanie oraz obsługa systemów komputerowych i sieci,
- 7. Zarządzanie dostępem do systemów i informacji,
- 8. Rozwijanie i serwisowanie systemów aplikacyjnych,
- 9. Planowanie działań na wypadek poważnych zdarzeń losowych,
- 10. Zgodność z zobowiązaniami prawnymi i ustawowymi.
- Wywiady z wyznaczonymi pracownikami,
- Przegląd ogólnie dostępnych dokumentów wewnątrz przedsiębiorstwa,
- Przegląd niektórych zawartych kontraktów z firmami trzecimi,
- Przegląd zabezpieczeń fizycznych.
Rozporządzenie MSWiA z dnia 29 kwietnia 2004 roku nakłada obowiązek opracowania i posiadania formalnej instrukcji Polityki bezpieczeństwa. To rozporządzenie narzuciło firmom i organizacjom obowiązek wdrożenia przyjętych tam zasad do 29 października 2004 roku. Oferujemy opracowanie i wdrożenie Polityki bezpieczeństwa informacji w Państwa firmie.
Potrzebę stworzenia Polityki bezpieczeństwa informacji narzucają dwa akty prawne:
Tworzenie Polityki bezpieczeństwa informacji polega na ewolucyjnym postępie w budowie i zabezpieczaniu dostępu do informacji będących w posiadaniu firmy, w sposób fizyczny, oraz na zwiększeniu świadomości pracowników o wartości posiadanych i przetwarzanych danych osobowych. Metoda ta to opracowywanie polityki bezpieczeństwa od ogółu do szczegółu.
Sposób opracowania polityki bezpieczeństwa polega na przeprowadzaniu rozmów z pracownikami oraz Zarządem firmy. Zostaje wtedy określony cel biznesowy i poziom zabezpieczenia systemów informatycznych. Po przeprowadzeniu analiz zostają wybrane optymalne mechanizmy zabezpieczające procesy biznesowe firmy.
Opracowanie Polityki bezpieczeństwa informacji obejmuje kilka obszarów tematycznych, zgodnie ze standardem ISO-17799, a mianowicie :
Informacje niezbędne do stworzenia Polityki bezpieczeństwa są zbierane poprzez:
W przypadku zainteresowania przeprowadzeniem i wdrożeniem Polityki bezpieczeństwa informacji w Państwa firmie istnieje możliwość otrzymania oferty szczegółowej, dotyczącej interesującego tematu. W przedstawionej ofercie jest opisany scenariusz postępowania oraz sposób i czas trwania wdrożenia z uwzględnieniem podziału na etapy.
Opracowanie i wdrożenie Polityki bezpieczeństwa zakłada zapewnienie możliwie najwyższego z możliwych zabezpieczeń, ale takiego, które organizacja jest w stanie ponieść. Jednocześnie funkcjonalność systemu informatycznego nie może się radykalnie obniżyć.
Polityka bezpieczeństwa powinna tak być opracowana, aby była dostępna i zrozumiała dla każdego pracownika, żeby jej stosowanie w praktyce dnia codziennego nie było uciążliwe. W związku z tym, jak również dla uniknięcia lub utrudnienia wtargnięcia do systemu przez osoby z zewnątrz, Polityka bezpieczeństwa nie powinna zawierać szczegółów technicznych.
Szczegóły techniczne i procedury opracowane na wypadek sytuacji awaryjnych powinny być znane tylko osobom odpowiedzialnym za dany wycinek funkcjonowania Działu Informatyki lub Pionu IT.
Rozporządzenie MSWiA z dnia 29 kwietnia 2004 roku nakłada obowiązek opracowania i posiadania formalnej instrukcji polityki bezpieczeństwa. Instrukcja obejmuje między innymi:
- zasady tworzenia haseł i częstotliwość ich zmiany,
- nadawania uprawnień,
- tworzenia kopii zapasowych i awaryjnych,
- uwierzytelniania użytkowników w sieciach komputerowych.
W Rozporządzeniu dodatkowo wprowadzono trzy poziomy zabezpieczeń systemów informatycznych.
Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. narzuciło firmom i organizacjom wdrożenie przyjętych tam zasad do 29 października 2004 roku.
W związku ze zmieniającymi się systemami operacyjnymi i systemami informatycznymi eksploatowanymi w firmach, proces dostosowywania się do przepisów Rozporządzenia będzie również musiał być realizowany na bieżąco w momencie zmian w organizacji.
Koszt wykonania usługi oraz czas jej wykonania jest każdorazowo ustalany w trakcie negocjacji i tworzenia umowy. W zakres umowy powinny wchodzić również szkolenia dla kadry menedżerskiej i pracowników organizacji lub firmy.
