Współczesne technologie cyfrowe są nieodłącznym elementem funkcjonowania większości firm, co niesie za sobą wiele potencjalnych ryzyk. Każde przedsiębiorstwo powinno gwarantować bezpieczeństwo teleinformatyczne, by działać sprawnie, ale też zgodnie z przepisami.
Czym jest bezpieczeństwo teleinformatyczne?
Bezpieczeństwo teleinformatyczne to wszelkie działania podejmowane w celu ochrony systemów teleinformatycznych przed zagrożeniami cyfrowymi, atakami komputerowymi, kradzieżą danych oraz innymi incydentami związanymi z technologią. Bezpieczeństwo teleinformatyczne jest procesem ciągłym, który do swojego poprawnego działania wymaga zaangażowania oraz współpracy wszystkich pracowników w firmie.
Co obejmuje wdrożenie bezpieczeństwa teleinformatycznego?
Wdrożenie bezpieczeństwa teleinformatycznego to wdrożenie niezbędnych środków, procedur i technologii, które mają za zadanie zapewnienia poufności, integralności i dostępności danych oraz systemów teleinformatycznych. Głównym celem jest minimalizacja ryzyka i ochrona przed szkodliwymi działaniami, które mogłyby wpłynąć na bezpieczeństwo, stabilność i funkcjonowanie systemów informatycznych, a tym samym na działalność całej firmy. Na bezpieczeństwo teleinformatyczne składają się takie elementy jak:
- zabezpieczenie sieci przed niepożądanymi dostępami osób trzecich;
- ochrona przed złośliwym oprogramowaniem;
- szyfrowanie danych;
- monitorowanie i wykrywanie incydentów;
- ochrona fizyczna sprzętu i infrastruktury teleinformatycznej;
- polityka bezpieczeństwa;
- szkolenia pracowników;
Dlaczego bezpieczeństwo teleinformatyczne jest tak istotne?
Każda firma w swojej działalności przetwarza dane osobowe i prawie zawsze wykorzystuje do tego systemu informatyczne. Zgodnie z przepisami RODO musi więc w tym zakresie spełniać określone zadania jak na przykład właściwe zabezpieczenie gromadzonych i przetwarzanych danych. Gdyby dostęp do nich uzyskała osoba niepożądana, to może się to wiązać nie tylko z wysokimi karami finansowymi, ale również z utratą zaufania wśród klientów czy kryzysem wizerunkowym firmy. Zatem każdy przedsiębiorca powinien szczególną uwagę przykładać do tej kwestii.
Obowiązek utworzenia specjalnego stanowiska – inspektora bezpieczeństwa teleinformatycznego – dotyczy jedynie podmiotów przetwarzających informacje niejawne (art 52 ustawy o ochronie informacji niejawnych). Jednak wyznaczenie osoby w zakresie obowiązków której znajdowałoby się zajmowanie takimi własnie zagadnieniami moze być niezbędne w każdej organizacji. Zgodnie z wymogami RODO sami musimy ocenić, jakie są uzasadnione, z punktu widzenia ryzyka dla danych, środki bezpieczeństwa. Niemniej, jak wynika to z decyzji UODO, w przypadku wykorzystywania systemów teleinformatycznych należy dokonywać regularnego testowania i analizy podatności takich systemów. Osoby takie muszą posiadać wiedzę specjalistyczną by być w stanie wykonywać powierzone im zadania. W naturalny sposób prowadzi to do konieczności powołania pracownika czy zespołu odpowiedzialnego za wykonywanie takich zadań, i posiadającego wiedzę która umożliwi zapewnienia bezpieczeństwa danych.
Inspektor bezpieczeństwa teleinformatycznego
W przypadku informacji niejawnych mamy do czynienia z konkretnym wymogiem utworzenia stanowiska inspektora bezpieczeństwa teleinformatycznego. Inspektor bezpieczeństwa teleinformatycznego ma za zadanie m.in. kontrolować stan zabezpieczeń systemu teleinformatycznego, weryfikować znajomość i przestrzeganie przez użytkowników zasad ochrony informacji niejawnych. Aby nim zostać należy spełnić kilka warunków, takich jak:
- posiadanie obywatelstwa polskiego;
- posiadanie odpowiedniego poświadczenie bezpieczeństwa lub upoważnienia;
- odbycie przeszkolenie w zakresie ochrony informacji niejawnych;
- odbycie specjalistycznego przeszkolenia z zakresu bezpieczeństwa teleinformatycznego prowadzonego przez ABW albo SKW.
Kto udziela akredytacji bezpieczeństwa teleinformatycznego?
Systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego. Akredytacja jest udzielana na czas określony, nie dłuższy niż 5 lat. Potwierdzeniem udzielenia akredytacji jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego.
ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej. Co do zasady akredytacja bądź odmowa jej udzielenia powinna zostać wydana w terminie 6 miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy.
RK RODO posiada szeroką ofertę dla firm w zakresie bezpieczeństwa teleinformatycznego, w tym zakresie zarządzania danymi w firmie czy też szkoleń pracowniczych. Dlatego jeżeli potrzebujesz wsparcia, skontaktuj się z nami.