Każdy podmiot gospodarczy dysponuje określoną ilością informacji; udowadnianie znaczenia informacji dla prowadzenia działalności gospodarczej, szczególnie w sferze szeroko rozumianego bezpieczeństwa, wydaje się być – z punktu widzenia Czytelnika – stratą czasu. Jeśli jednak zmienimy nieco perspektywę i spojrzymy na informacje stosując kryterium zasadności ich ochrony, a więc zachowania ich w poufności, sprawa staje się bardziej skomplikowana.

We współczesnym przedsiębiorstwie mamy do czynienia z kilkoma kategoriami informacji. Dostęp do części z nich podlega określonym ustawowo procedurom, które – pomimo wspólnego mianownika, jakim jest bezwzględna konieczność ich ochrony – różnią się między sobą. Mamy więc kategorię informacji niejawnych (ściśle tajnych, tajnych, poufnych i zastrzeżonych), które podlegają ochronie na mocy ustawy o ochronie informacji niejawnych. Mamy także dane osobowe, chronione na mocy RODO, mamy wreszcie cały szereg informacji objętych tzw. tajemnicą zawodową, np. radcy prawnego czy doradcy podatkowego. Mamy wreszcie tajemnicę przedsiębiorstwa, której ustawodawca nie zdefiniował, stanowiąc jedynie, iż są to informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób; warunkiem uznania ich za tajemnicę jest podjęcie przez przedsiębiorcę działań mających na celu zachowanie ich w tajemnicy. Różne zatem kategorie, różne wymagania, różne procedury.

Brak uporządkowania kwestii ochrony informacji w przedsiębiorstwie jest przyczyną narastającej dezorganizacji i chaosu, nie wspominając już o możliwości naruszenia obowiązujących przepisów czy utracie kontroli nad dostępem do informacji kluczowych dla funkcjonowania przedsiębiorstwa. Rozwiązaniem jest wprowadzenie polityki ochrony informacji w przedsiębiorstwie powiązanej ze strategią bezpieczeństwa i innymi politykami bezpieczeństwa tak, by tworzyły one spójny i efektywnie działający system.

Zatem po kolei. Po pierwsze musimy określić, które informacje podlegają ochronie, na jakiej podstawie prawnej, wedle jakich procedur i w jakim zakresie. Wymogi prawne spełnić musimy, pozostają te, które co prawda obowiązkowe nie są, ale ich wprowadzenie warunkuje bezpieczeństwo informacyjne przedsiębiorstwa. Konieczne jest zatem określenie, jakie informacje podlegają ochronie, kto może mieć do nich dostęp – wedle znanej zasady need to know – jakie są procedury dostępu do informacji i rozliczania tego dostępu (a zatem odnotowania kto miał dostęp do danej informacji, kiedy, na jakiej podstawie), jakie są zasady przechowywania tego typu informacji (a mówiąc precyzyjnie – ich nośników) etc. To krok pierwszy.

Po drugie, to powiązanie polityki bezpieczeństwa informacyjnego z innymi politykami bezpieczeństwa. Jeśli bowiem chcemy mówić o systemie, jego poszczególne elementy muszą wchodzić w interakcje zarówno pomiędzy sobą, jak i z systemem jako całością.

Zatem: jak wygląda kwestia ochrony informacji z punktu widzenia technicznego? Jakie posiadamy szafy/sejfy, jak są chronione pomieszczenia, w których przechowywane są nośniki informacji, czy są zaopatrzone w systemy alarmowe, monitoring CCTV etc. Gdzie pomieszczenia te są umieszczone w siedzibie przedsiębiorstwa – w strefie ogólnodostępnej czy też w strefie o dostępie ograniczonym, wejście do której wymaga specjalnej zgody, przepustki, pozwolenia.

W jaki sposób chronione są komputery, w których przetwarzane są informacje chronione? Programy antywirusowe, firewalle, hasła dostępu, monitoring ze strony administratora sieci czy też może są w ogóle odłączone od internetu?

Wreszcie – powiązania z polityką bezpieczeństwa osobowego. To sprawa najtrudniejsza.

Przede wszystkim należy zauważyć, iż bezpieczeństwo osobowe dzieli się na trzy fazy. Po pierwsze, to proces rekrutacji i zatrudnienia nowego pracownika. W procesie tym powinien uczestniczyć przedstawiciel pionu bezpieczeństwa, którego zadaniem jest dokonanie oceny, czy kandydat daje w podstawowym zakresie gwarancje zachowania powierzonych mu informacji w poufności.

Po formalnym zatrudnieniu nowoprzyjęty pracownik powinien przejść stosowne szkolenie, a w jego ramach zostać m.in. poinformowany o katalogu informacji chronionych, podpisać zobowiązanie obowiązku o zachowaniu tych informacji (tzw. klauzula poufności).

W trakcie trwania stosunku pracy pracownik podlegać powinien rutynowej kontroli prowadzonej przez pion bezpieczeństwa pod kątem przestrzegania przez niego zasad ochrony informacji.

Po ustaniu stosunku pracy pracodawca może zakazać odchodzącemu pracownikowi podejmowania pracy w podmiotach konkurencyjnych. Konieczne jest w tym przypadku zaistnienie dwóch przesłanek: pracownik podczas trwania stosunku pracy dostęp do szczególnie ważnych informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę oraz w trakcie trwania stosunku pracy zawarto z pracownikiem stosowną umowę o takim zakazie. Oczywiście, określa się w niej m.in. czas trwania zakazu i koszty pracodawcy, którego zadaniem jest wyrównanie byłemu pracownikowi strat, jakie ponosi nie mogąc zatrudnić się w przedsiębiorstwie konkurencyjnym.

Nie trzeba dodawać, iż wszystkie te kwestie powinny pozostawać w gestii pionu bezpieczeństwa.

Rzecz jasna, wdrożenie i prowadzenie polityki bezpieczeństwa informacyjnego generuje koszty. To prawda. Czy można obyć się bez niej? Można, tak jak można jeździć samochodem bez wykonywania obowiązkowych przeglądów czy ważnego OC – do czasu. To mit, że bezpieczeństwo kosztuje. Tak naprawdę kosztuje brak bezpieczeństwa. 

 

Tomasz Aleksandrowicz

Pin It