Управление на информационната политика в предприятието

Информационната политика в предприятието може значително да се отрази на неговия успех като цяло, затова е необходимо политиката да бъде документирана, предварително огласена и разбрана от всички служители в предприятието, които имат достъп до информацията и информационните системи на предприятието.

Управлението на информационната политиката започва с утвърждаването и от управителя на предприятието и започва да се прилага в рамките на цялата организация. Тя задава рамката на система от мерки, насочени към:

  • Гарантиране на конфиденциалност на информацията,
  • Осигуряване на цялостност на информацията,
  • Осигуряване на достъпност на информацията,
  • Постигане на отчетност на информацията.

Обхват на системата за управление на информационната политика на предприятието.

Всяко предприятие би следвало да създаде своя системата за управление на информационната политика, която обхваща всички документи и информационни активи на предприятието. Системата за управление на информационната политика следва да обхваща процесите на предпечатна подготовка, сканиране, експонация на документите, всички видове информационни ресурси и офиси на организацията.

Целите на информационната политика са:

  • осигуряване на непрекъснатост на бизнес процесите;
  • минимизиране на рисковете за сигурността на информацията, причиняващи загуби или вреди на предприятието, неговите клиенти, партньори и други заинтересовани страни;
  • минимизиране на степента на загуби или вреди, причинени от пробиви в информационната сигурност;
  • осигуряване на необходимите ресурси за поддържане на ефективна информационна система;
  • информиране на служителите за техните отговорности и задължения по отношение на информационната сигурност;
  • осигуряване на съответствие с нормативни и договорни изисквания.

Ръководството на предприятието следва да прилага основни принципи при разработване, внедряване и поддържане на информационна система за сигурност на информацията. Усилията са насочени към

  • критичната (чувствителната) информация и системи да бъдат подлагани на редовен анализ на риска;
  • за критичните (чувствителни) информационни ресурси и системи да бъдат определени „собственици” – служители отговорни за конкретните бизнес приложения, компютри и мрежи;
  • информацията да бъде класифицирана по начин, който показва нейната критичност и чувствителност по отношение на организацията;
  • персоналът да осъзнава проблемите на информационната сигурност; 
  • организацията да се съобразява с лицензите за софтуер, авторските и други свързани права, както и с други правни, регулаторни и договорни задължения;
  • нарушаването на политиката по сигурността и евентуалните недостатъци в системата за информационна сигурност да бъдат докладвани;
  • информационните ресурси да бъдат защитавани от гледна точка на изискванията за конфиденциалност, цялостност и достъпност.

Въвеждането и спазването на политиката по информационна сигурност цели да се забранят:

  • използването на информацията и системите на организацията без оторизация или за цели, които нe са свързани с дейността й;
  • изнасяне на оборудване или информация от офисите и производствените помещения на организацията без оторизация;
  • неоторизирано копиране на информация и софтуер;
  • компрометиране на пароли (например със записване или разпространяване);
  • използване на персонална информация за бизнес цели, освен ако няма изрична оторизация;
  • фалшифициране на доказателства в случай на инцидент, дискриминационни или нападателни изявления, които могат да бъдат противозаконни (например с използване на електронна поща или интернет);
  • разпространение на незаконни материали (например с неприлично или дискриминационно съдържание).

Отговорности на длъжностните лица:

За осъществяване на политика и за осигуряване функционирането на информационна система в която управителят на предприятието е длъжен със заповед да назначи следните длъжностни лица:

  • системни администратори;
  • отговорник по сигурността;
  • собственици на информационния ресурс;
  • потребители.

Потребителите на информационната система, се задължават да следват процедурите и инструкциите по информационна сигурност, да докладват за проблеми и инциденти в информационната система.

Разработването, внедряването и поддържането на Система за управление на информационна сигурност съгласно международния стандарт ISO 27001:2013 е основополагаща цел за реализация на бизнес стратегията на предприятието. Разработването и внедряването на такава система  е в пълно съответствие с политиката, процедурите и практиките на Системата на управление на качеството, внедрена в предприятието в съответствие с международния стандарт ISO 9001:2008.

Политика по оценка на риска е неразделна част от информационната политика и се прилага за всеки актив на организацията или извън нея, обхванат от споразумение с трета страна. Оценката на риска се прилага към цялата информационна система и включва приложения, сървъри, мрежата, и всеки процес или процедура чрез които системата се администрира и/или поддържа.

Политика по вътрешна организация на информационната сигурност също е важна част от цялата система. Ръководството провежда политика за координиране на цялата дейност в организацията по внедряването и поддържането на мерките за защита.

Политика по управление на информационните активи се отнася до служители, договарящи страни, консултанти, временно работещи за фирмата и други, включително и персонал на трети страни. Тази политика се отнася до цялото информационно оборудване, собственост или използвано от предприятието.  Политиката на фирмата за използване на активите цели не да налага ограничения, противоречащи на установената фирмена култура на откритост и доверие, а да защитава служителите на предприятието, нейните партньори и самата фирма от незаконни и увреждащи действия, извършени предумишлено или несъзнателно.

Много важен момент е да се определи политика за използване на социалните мрежи и средствата за масова информация от служителите, какво могат да говорят и какво не!

Политика по сигурност, свързана с човешките ресурси. Човешките ресурси са основен елемент от системата и най-рисковото звено. Политиката по сигурността на човешките ресурси на предприятието е насочена основно към осъзнаване на необходимостта от осигуряване на информационната сигурност чрез адекватно дефиниране на отговорности и обучение.

Политика по физическа сигурност и сигурност на заобикалящата среда. Предприятието провежда политика на защита на средствата за обработка и съхранение на информацията чрез определяне на граници на физическа сигурност и организация на зони за сигурност.

Политика по контрол на достъпа в предприятието е базирана на принципите „необходимо да знае” или „необходимо да се ограничи”, „всеки достъп, който не е изрично разрешен е забранен” и минимализиране на привилегиите.

Политика по разработване, внедряване и поддържане на информационните системи в предприятието по разработване, внедряване, изменение и поддържане на информационните системи е базирана на принципа на превантивната оценка на риска от измененията, включително ъпгрейд на съществуващи и внедряване на нови елементи от системата, разделение на средата за изпитване от действащата информационна система и планирана поддръжка на цялата информационна система.

Политика по управление на информационни инциденти и подобряване на сигурността на информацията. С цел намаляване на риска и произтичащите от появата на инциденти разходи Предприятието е разработила и внедрила политика за управление на инциденти, която е насочена към разработване и внедряване на процедури и средства за ефективно третиране на слабостите и пробивите, свързани със сигурността на информацията. Мерките обхващат непрекъснато наблюдение, реагиране, оценяване, подобряване и цялостно управление на слабостите и инцидентите.

Политика за осигуряване на непрекъснатостта на бизнеса. Ръководството на Организацията разбира необходимостта от планиране непрекъснатостта на бизнеса. То осъзнава, че има значителен риск за неговите критични процеси при потенциални и неочаквани разрушителни събития. Увеличаващото се развитие на процеси базирани на технологии и силната зависимост от информационните технологии е основание за създаване на план за непрекъснатост на работа.

Лицензионна политика. Политиката на организацията е създадена с цел да се спазват всички авторски права на компютърния софтуер, както и условията по софтуерните лицензи, по които тя е страна. Организацията предприема всички необходими действия за предотвратяване на копирането на лицензиран софтуер от потребителите, както и използването на свързана с него документация в офисите на организацията или на друго място, освен ако не съществува изрично разрешение за това съгласно договора с лицензодателя. Забранява се на служителите да използват софтуера по начин, който не съответства на лицензионния договор, включително предоставяне или получаване на софтуер или шрифтове от клиенти, изпълнители по договори, потребители и други.

Политика за защита на авторските права също следва да е  изцяло съобразена със Закона за авторското право и сродните му права.

Политика за защита на личните данни е много модерно явление наложено с Европейски регламент и  съобразена със Закона за защита на личните данни. Предприятието може да събира лични данни единствено за уреждане на трудово-правните взаимоотношения със служителите. Информацията не би трябвало да се използва повторно за цели, несъвместими с първоначалните. Информацията, която Предприятието може да събира, включва данни от лични карти, здравни досиета, телефонни и факс номера, адрес за електронна поща, и др. Изрично се забранява събирането на информация, която:  

  • разкрива расов или етнически произход; 
  • разкрива политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели; 
  • се отнася до здравето, сексуалния живот или до човешкия геном.

Предприятието няма да продава, отдава, търгува с всякаква лична информация, получена от служителите си или от подизпълнителите. Определените отговорни служители, обработващи лични данни, са задължени да третират информацията като конфиденциална. Предприети са мерки за физическа и логическа защита на личните данни и са ограничени правата за достъп до тях. Всеки служител, за когото се отнасят данните („субект на данни“) има право на достъп до своите данни, както и да изиска тяхното коригиране.

Заключение

Управлението на информационната политика включва някои много важни моменти относно информацията и нейната сигурност в предприятието, особено когато е разпространена до трети страни, които имат достъп до информацията и системите на организацията. Политиката по информационна сигурност следва да се преглежда редовно на базата на установен процес и да се вземат под внимание променящите се обстоятелства. Всеки служител, който прецени, че има злоупотреба с настоящата политика в организацията, трябва да уведоми Отговорника по сигурността или да носи дисциплинарна и наказателна отговорност когато наруши политиката.

Литература:

  1. Николов, И. Съвременни тенденции при формиране на политики за информационна сигурност.  Научни трудове на русенския университет – 2015, том 54, серия 3.2
  2. Регламент (ЕС) 2016/679 на Европейския парламент от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (GDPR).
  3. Закон за защита на класифицираната информация, Обн. ДВ. бр.45 от 30 Април 2002 г., изм. ДВ. бр.17 от 26 Февруари 2019 г.
  4. БДС ISO/IEC 27000:2010 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Общ преглед и речник.