Zaštita informacija u poslovnom okruženju nije samo stvar tehnologije. Odluka o načinu njenog sprovođenja treba da stigne sa vrha…

Radi zaštite informacija preduzeće treba da implementira pravila, kontrolu i sisteme koji ih obrađuju i čuvaju. Ovo se može postići kroz implementaciju politike bezbednosti, standarda, smernica i procedura.

Politika

Politika bezbednosti informacija sastoji se od deklaracije koja se odnosi na zaštitu informacija koje se prostiru kroz poslovanje cele firme. Takva deklaracija treba da potekne od najviše upravljačke strukture kompanije.

Politika odredjuje uloge i odgovornosti, definiše obim informacija koje treba zaštititi i pruža opširan opis kontrole koja se mora uspostaviti radi zaštite informacija. Pored toga, treba da naznači standarde i smernice koji to podržavaju.

Preduzeće može da ima jedinstvenu sveobuhvatnu politiku ili više posebnih politika koje se odnose na različite sektore, kao što je politika elektronske pošte ili politika prihvatljivog korišćenja informacija. Sa zakonske tačke gledišta, politika informacione bezbednosti često se posmatra kao posvećenost glavnog menadžmenta zaštiti informacija.

Dokumentovana politika je čest zahtev za ispunjavanje zakonskih propisa, kakvi su oni koji se odnose na privatnost i finansije.

Standardi

Standarde čine obavezne kontrole niskog nivoa, koje pomažu u sprovodjenju i podržavaju politiku informacione bezbednosti. Najčešće primenjivani standard informacione bezbednosti u Srbiji je ISO 27001.

Standardi pomažu da se uspostavi doslednost bezbednosti u čitavom preduzeću i uglavnom sadrže bezbednosne provere koje se odnose na implementaciju određene tehnologije, hardvera ili softvera. Na primer, standardi za lozinku mogu da postave pravila o njenoj kompleksnosti.

Smernice

Smernice su sačinjene od preporučenih provera. Ove provere nisu obavezne, ali podržavaju standarde ili služe kao preporuka u slučaju kada standard ne može da se primeni.

Na primer, na osnovu standarda se može zahtevati lozinka od 8 znakova ili više, dok smernicama može biti preporučeno i da svaka lozinka treba da istekne i bude zamenjena u roku od 30 dana.

Procedure

Procedure se sastoje od postupnih instrukcija koje pomažu zaposlenima da implementiraju različite politike, standarde i smernice.

Na primer, procedura može da bude napisana tako da detaljno objašnjava kako bezbedno instalirati Windows, kako bi zadovoljio politiku, standard i smernice koje važe u kompaniji.

Okvir politike bezbednosti

Svi dokumenti predstavljeni u tekstu namenjeni su različitim grupama korisnika u preduzeću. Oni zajedno čine okvir politike bezbednosti, a kako to izgleda u praksi predstavili smo na primeru zaštite prilikom prenošenja ili skladištenja podataka.

Politika označava sve poslovne informacije koje moraju biti adekvatno zaštićene kada se prenose ili skladište.

Standard za upravljanje informacijama zahteva da sve osetljive informacije budu kriptovane korišćenjem određenog tipa kriptografije i da se svi prenosi podataka beleže (loguju).

Smernice objašnjavaju najbolju praksu za beleženje prenosa osetljivih informacija i daju šeme za beleženje prenosa i rukovanje osetljivim informacijama.

Procedure daju postupne instrukcije kako da se izvrši kriptovanje pri prenosu podataka i kako da se osigura usklađenost sa politikom, standardima i smernicama.

Jovana Samardžić