Podjęcie działań w celu zapewnienia bezpieczeństwa sieci, usług, danych oraz przekazu komunikatów, czyli treści informacji przesyłanej w sieci telekomunikacyjnej, jest obowiązkiem wynikającym wprost z ustawy prawo telekomunikacyjne. Spoczywa on na dostawcach publicznie dostępnych usług telekomunikacyjnych oraz operatorach publicznej sieci telekomunikacyjnej. Co to oznacza w praktyce?
Wskazane obowiązki zawarto w rozdziale VIIA ustawy prawo telekomunikacyjne. Nosi on tytuł „Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych”. Brzmi to trochę dziwnie, gdyż integralność to jeden z podstawowych elementów bezpieczeństwa. Poprawnie w moim przekonaniu, tytuł ten powinien brzmieć: „Bezpieczeństwo sieci, usług, danych lub przekazów telekomunikacyjnych”.
Wypełnieniem wskazanych w ustawie obowiązków (a zarazem utrzymaniem na odpowiednio wysokim poziomie bezpieczeństwa firmy) jest opracowanie, wdrożenie i stosowanie w przedsiębiorstwie zasad zapewnienia bezpieczeństwa sieci telekomunikacyjnych, usług, danych lub przekazów komunikatów. Czyli w praktyce przygotowanie dokumentów opisujących procedury związane z bezpieczeństwem. Ustawa ani inne przepisy nie określają jednak formy lub szczegółowo zawartości tych dokumentów. Ich uzupełnieniem powinny być ponadto polityki bezpieczeństwa, regulaminy, instrukcje, procedury.
Sugeruję aby w przedsiębiorstwie opracować, wdrożyć i stosować dokumentację zawierającą zasady bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych oraz traktować te zasady jako wstęp do dokumentacji opisującej ochronę informacji (np. danych osobowych, tajemnicy telekomunikacyjnej, tajemnicy przedsiębiorstwa), ale również BHP, p.poż itp.
Jednocześnie chciałbym zauważyć, że bardzo często czynności opisane w omawianych dokumentach są realizowane w przedsiębiorstwie, brak tylko ich sformalizowania lub udokumentowania.
Dokumenty o dużej objętości
Ze względu na dość dużą objętość, opis tych dokumentów zawrzeć je można w trzech częściach.
W pierwszej opisujemy zawartość i sposób wykonania dokumentacji obejmującej:
1. Inwentaryzację i wartościowanie zasobów,
2. Postępowanie z ryzykiem i skutkami zaistnienia zagrożeń dla aktywów przedsiębiorstwa.
Druga część zawierać będzie opis dokumentacji obejmującej:
3. Zasady i procedury ochrony i dostępu do kluczowej infrastruktury i przetwarzanych danych,
4. Zasady bezpiecznego zdalnego przetwarzania danych,
5. Zasady zawierania umów dotyczących przedsięwzięć mających istotny wpływ na bezpieczeństwo sieci, usług, danych lub przekazów telekomunikacyjnych.
W trzeciej opiszemy dokumentację obejmującą:
6. Monitorowanie i dokumentowanie funkcjonowania sieci telekomunikacyjnych i usług mające na celu wykrycie naruszenia ich bezpieczeństwa,
7. Zgłaszanie naruszeń bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych,
8. Eliminację przekazu komunikatu, przerwanie lub ograniczenie świadczenia usług w związku z zapewnieniem bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych
9. Umożliwienie użytkownikom końcowym dokonywanie zgłoszeń naruszeń bezpieczeństwa, sieci, usług, danych lub przekazu telekomunikacyjnego.
10. Bezpieczeństwo osobowe.
Pierwszym krokiem na długiej drodze zapewnienia bezpieczeństwa jest zdefiniowanie przedmiotu ochrony oraz niebezpieczeństw grożącym tym przedmiotom. Oznacza to, że w pierwszym kroku należy przeprowadzić inwentaryzację posiadanych zasobów, ocenić ich wartość i znaczenie dla działalności biznesowej, zidentyfikować oszacować te zagrożenia, ocenić skutki zaistnienia zagrożeń oraz zaproponować podjęcie środków ochronnych.
Inwentaryzacja i wartościowanie zasobów.
Bardzo ważnym, wręcz kluczowym, przedsięwzięciem jest wykonanie inwentaryzacji zasobów mających istotne znaczenie dla funkcjonowania przedsiębiorstwa. Jako zasób rozumiemy wszystko to co ma znaczenie w działalności przedsiębiorstwa, zapewne będą to elementy infrastruktury telekomunikacyjnej, urządzenia, oprogramowanie, procesy (kadrowy, handlowy, logistyczny), dane (osobowe, telekomunikacyjne, biznesowe) itp. Z tych zasobów, na potrzeby Zasad bezpieczeństwa, wybieramy tylko te, których wyłączenie funkcjonalności będzie miało istotny (kluczowy) negatywny wpływ na działalność przedsiębiorstwa.
Pod pojęciem „zasobów” lub czasami zwanymi „aktywami” rozumiemy wszystko to co ma wartość dla przedsiębiorstwa, są to elementy infrastruktury, urządzenia, systemy informatyczne, programy informatyczne, procesy, ludzie itp.
Po sporządzeniu wykazu zasobów kluczowych należy przeprowadzić ich wartościowanie, to znaczy oszacować znaczenie ocenianych aktywów w realizacji działań lub procesów biznesowych. Oceniając aktywa należy mieć na względzie skutki niewłaściwego funkcjonowania aktywu dla działalności biznesowej przedsiębiorstwa, bezpieczeństwa pracowników, klientów itp., ochrony informacji, poniesionych strat finansowych (np. spowodowane nieobecnością osoby funkcyjnej, utrata, kradzież, uszkodzenie przedmiotu lub urządzenia, naruszenia bezpieczeństwa zbiorów danych, systemów informatycznych, itp.). To wartościowanie nie należy utożsamiać z określeniem wartości księgowej.
Postępowanie z ryzykiem i skutkami zaistnienia zagrożeń dla aktywów przedsiębiorstwa
Proces zarządzania ryzykiem składa się z ustanowienia kontekstu, szacowania (identyfikowanie, analiza, ocena) ryzyka, postępowania z ryzykiem, akceptowania ryzyka, informowania o ryzyku oraz monitorowania i przeglądu ryzyka.
Ustawa nie określa metody, sposobu przeprowadzenia ryzyka. Jednak niezależnie od przyjętej metody i sposobu zarządzanie ryzykiem, na ogół zarządzane ryzykiem obejmuje:
- identyfikację i inwentaryzację kluczowych zasobów – o czym pisałem wyżej.
- identyfikacja wystąpienia zagrożeń.
- oszacowanie prawdopodobieństwa wystąpienia zagrożenia oraz wartości skutków wystąpienia zagrożeni.
- obliczenie pierwotnego poziomu ryzyka oraz wskazanie zagrożeń powodujących poziom ryzyka znacznie przekraczający poziom ryzyka akceptowalnego.
- wskazanie działań mających na celu zmniejszenie poziomu ryzyka początkowego, w przypadku gdy poziom ryzyka przekroczy wartość akceptowalną. działaniami takimi mogą być wdrożenie dodatkowych zabezpieczeń,
- określenie końcowego poziomu ryzyka.
- w przypadku gdy końcowy poziom ryzyka przekroczy wartość akceptowalną należy podjąć kolejne działania obniżający ten poziom do akceptowalnego.
Systematycznie, nie rzadziej niż raz na dwa lata należy wykonywać opisane wyżej czynności. Również takie działania podjąć po każdym istotnym zdarzeniu w przedsiębiorstwie, mającym wpływ na jego funkcjonowanie.
Opis pozostałej części dokumentów dotyczących Bezpieczeństwa sieci, usług, danych i przekazów telekomunikacyjnych już wkrótce w następnym artykule.
Czytaj także: