Kontynuujemy cykl artykułów na temat bezpieczeństwa w telekomunikacji.
Jak już pisaliśmy zapewnienie bezpieczeństwa sieci, usług, danych i przekazów to obowiązek operatora. Ustawa prawo telekomunikacyjne z 16 lipca 2004 r. zobowiązuje dostawcę publicznie dostępnych usług telekomunikacyjnych oraz operatora publicznej sieci telekomunikacyjnej do podjęcia środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa sieci, usług, danych oraz przekazu komunikatów (treści informacji przesyłanej w sieci telekomunikacyjnej).
Ze względu na dość dużą objętość opis tych dokumentów zawarliśmy w dwóch częściach. W pierwszej opisaliśmy zawartość i sposób wykonania dokumentacji obejmującej inwentaryzację i wartościowanie zasobów, a także postępowanie związane z ryzykiem i skutkami zaistnienia zagrożeń dla aktywów przedsiębiorstwa.
Dziś skupimy się na opisie dokumentacji obejmującej zasady i procedury ochrony i dostępu do kluczowej infrastruktury i przetwarzanych danych, bezpiecznego zdalnego przetwarzania danych oraz zawierania umów dotyczących przedsięwzięć mających istotny wpływ na bezpieczeństwo sieci, usług, danych lub przekazów telekomunikacyjnych.
Zasady i procedury ochrony i dostępu do kluczowej infrastruktury i przetwarzanych danych
Na ogół przedsiębiorca ustala zasady dostępu do kluczowej infrastruktury oraz zabezpiecza, monitoruje dostęp do niej, określa sposoby i środki reagowania na nieuprawniony dostęp lub próbę takiego dostępu. Warto jednak opracować te zasady w formie dokumentu, wdrożyć je do stosowania a następnie bezwzględnie stosować.
Na ogół część tych zasad zawarto również w „Polityce bezpieczeństwa informacji”, „Instrukcji zarządzania bezpieczeństwem systemem informatycznym służącym do przetwarzania informacji”, „Polityce bezpieczeństwa danych osobowych, „Regulaminie ochrony informacji stanowiącej tajemnicę przedsiębiorstwa” i tym podobnych dokumentach stosowanych w przedsiębiorstwie.
Warto jednak opracować i wdrożyć „Regulamin ochrony fizycznej” oraz „Instrukcję gospodarki kluczami od pomieszczeń, obiektów, urządzeń, włazów, szaf technicznych”.
Opracowanie i wdrożenie np. Instrukcji gospodarki kluczami powoduje uporządkowanie miejsc i sposobu przechowywania kluczy, konieczność ewidencji tych kluczy, wskazanie osób odpowiedzialnych za poszczególne pomieszczenia oraz klucze do tych pomieszczeń, itp.
W instrukcji tej sugerujemy określić sprawy dotyczące, w szczególności:
– ochrony fizycznej infrastruktury,
– zabezpieczenia pomieszczeń, obiektów, włazów, urządzeń, szaf technicznych i postępowanie z kluczami
– postępowania z kluczami użytku bieżącego oraz z kluczami zapasowymi,
– zapewnienie bezpieczeństwa w trakcie sprzątania pomieszczeń.
Zasady bezpiecznego zdalnego przetwarzania danych, w tym Regulamin pracy zdalnej
Pandemia COVID-19 przekonała wielu z nas, że praca zdalna jest również efektywna co praca w miejscu pracy. Praca zdalna wiąże się ze zdalnym przetwarzaniem informacji.
Pamiętać należy, że nawet pracując w stałym miejscu pracy na ogół zdalnie przetwarzamy dane. Przetwarzanie informacji wyłącznie na lokalnym komputerze jest już niezwykle rzadkie.
Zasady przetwarzania danych przy wykorzystaniu systemów komunikacji elektronicznej powinno zostać określone w dokumentach określających bezpieczne przetwarzanie informacji oraz uzupełnione w instrukcji opisującej pracę zdalną.
Opracowując dokumentację regulującą pracę zdalną proponuję uwzględnić zmiany w tym zakresie wprowadzone nowelizacją ustawy Kodeks Pracy, obowiązujące od 7 kwietnia 2023 r.
Zasady zawierania umów dotyczących przedsięwzięć mających istotny wpływ na bezpieczeństwo sieci, usług, danych lub przekazów telekomunikacyjnych.
Prowadząc działalność gospodarczą bardzo często zawieramy umowy współpracy z innymi podmiotami.
Za wyjątkiem przypadków określonych w przepisach prawa powszechnego, można zawierać umowę przez dokonanie czynności faktycznych, w formie ustnej, pisemnej lub elektronicznej.
Umowy mające istotne znaczenie dla przedsiębiorstwa sugerujemy zawierać w formie pisemnej lub elektronicznej, ze względu na łatwiejsze wykazanie, że umowa tak została zawarta. W czasie sporu jest to bardzo pomocne. Pamiętajmy, że umowę zawieramy na trudne czasy, to znaczy na czasy, gdy pojawią się wątpliwości poprawności realizacji postanowień zawartej umowy.
Przedsiębiorcy średniej i dużej wielkości na ogół mają własne komórki prawne lub zatrudniają zawodowych prawników. MiŚOT korzysta z kancelarii prawnej. Często istnieje konieczność bardzo szybkiego zawarcia umowy. Na kontakt z kancelarią prawną i wykonanie przez nią projektu umowy może nie być czasu. Pomocną w takiej sytuacji będzie opracowanie zasad zawierania umów dotyczących przedsięwzięć mających istotny wpływ na bezpieczeństwo przedsiębiorstwa. Zasady te można wykorzystać do zawierania również umów dotyczących innych przedmiotów.
Tak przygotowane, wdrożone a co najważniejsze stosowane zasady pozwolą podnieść poziom bezpieczeństwa w przedsiębiorstwie na wyższy poziom, co w bardzo wielu przypadkach przełoży się to na korzyści finansowe (większe zyski lub brak strat) a ponadto zostanie wypełniony kolejny ustawowy obowiązek nałożony na przedsiębiorcę telekomunikacyjnego.
Opis pozostałej części dokumentów dotyczących bezpieczeństwa sieci, usług, danych i przekazów telekomunikacyjnych już wkrótce.
