Politika bezbednosti predstavlja opšti skup pravila koje koristimo tokom rada, a koji nam služe da obezbedimo sigurnost podataka u informacionom sistemu. Na osnovu politike se definišu konkretne procedure i protokoli – drugim rečima, politika bezbednosti definiše kako da se ponašamo na „bezbedan način“. Politika bezbednosti ne mora da se sprovodi samo u firmama. Svako od nas treba da ima neka znanja i pravila kojih se drži, kako bi obezbedio svoj računar i podatke.
Sada nećemo ulaziti u to kakva bi politika bezbednosti trebala da bude (o tome govorimo u Zaštiti sistema). Ovde ćemo samo razmotriti šta bi ova politika trebala da obuhvati.
Ciljevi politike – koja je uopšte svrha politike bezbednosti (čemu služi i šta definiše). Takođe, politika treba da odredi ko je zadužen za sprovođenje i ko snosi odgovornost za bezbednost sistema.
Politika bezbednosti treba da uključi i procenu rizika i procenu vrednosti informacija. Ova dva parametra su osnova za kasnije određivanje nivoa zaštite. Konkretno, to znači razliku između zaključane kancelarije u kojoj je server i specijalno obezbeđene prostorije sa klimatizacijom, blindiranim vratima i senzorima. Kada se procenjuje vrednost informacija, posebno se obraća pažnja na čuvanje privatnih podataka (npr. matični brojevi, kontakt informacije, nacionalnost, religija, materijalno stanje, stanje bankovnih računa…) – ovo su osetljivi podaci za čije „curenje“ možemo biti zakonski odgovorni. U tom slučaju je korisno predvideti dodatnu zaštitu u vidu nivoa pristupa i enkripcije.
Sledeća stavka koju politika bezbednosti treba da definiše su moguće posledice narušavanja bezbednosti. To znači da moramo biti svesni kakva šteta nastaje ako dođe do „probijanja zaštite“ ili pada sistema. Ove posledice najčešće mogu biti prekid ili usporenje rada, finansijski gubitak i gubitak reputacije.
Dve velike kategorije u politici bezbednosti su zaštita sistema i opreme (fizička bezbednost) i zaštita poverljivih informacija (bezbednost podataka). Zaštita opreme uključuje sledeće stavke:
- definisanje ko može da koristi opremu i u koje svrhe
- odluku o mogućnosti da se prati korišćenje opreme i internet saobraćaj
- odluku o tome da li i na koji način zaposleni može pristutpiti opremi koju koristi drugi zaposleni
- odluku o zabrani korišćenja kompanijske opreme za obavljanje drugih poslova
- definisanje načina rashodovanja zastarele opreme
Zaštita informacija je u stvari najobimnija kategorija i obuhvata nekoliko bitnih stavki:
- skladištenje podataka – gde se podaci fizički nalaze i koji sistem se koristi za pristup
- pristup podacima – definisanje nivoa podataka i mogućnosti pristupa
- udaljeni pristup – da li postoji i na koji način se sprovodi pristup podacima van kompanije
- enkripcija podataka – u kojim situacijama se koristi šifrovanje podataka i na koji način
- backup podataka – koliko redovno i na kojim medijima se vrši čuvanje rezervnih podataka
- kopiranje podataka – da li je i na koji način moguće kopirati podatke
- upotreba portabilnih uređaja – da li je omogućena upotreba flash memorija, prenosnih hard diskova i sl.
- razmena informacija i upotereba e-maila – šta od informacija može da se „otkrije“ u komunikaciji i da li je omogućena njihova razmena putem e-maila
- štampanje – isto što važi za komunikaciju važi i za štampanje podataka
- uklanjanje informacija – na koji način se brišu podaci koji više nisu potrebni i podaci sa zastarelih medija koji se rashoduju
Konačno, politika bezbednosti treba da sadrži i deo koji se odnosi na usklađenost politike sa zakonom. Određene državne službe po zakonu mogu zahtevati pristup podacima i/ili opremi, a kompanija im mora omogućiti ne samo pristup već i obuku za korisšćenje opreme, odnosno softvera. Sa druge strane, zakon može nalagati strogo poštovanje privatnosti građana, zbog čega bi kompanija morala da obezbedi adekvatnu zaštitu osetljivih informacija.
Da li i meni kao običnom korisniku treba ovako ozbiljna politika bezbednosti?
Politiku bezbednosti u obliku dokumenta bi trebale da definišu kompanije. Kada imate više zaposlenih, potrebno je da postoji određena formalna politika sa kojom se ti zaposleni upoznaju – to je praktično dokument kao i ugovor o radu.
Nama, kao običnim korisnicima, svakako ne treba ovakav formalni dokument. Međutim, šteta od obrisanih ili ukradenih podataka i za nas može biti i te kako ozbiljna. Kada razmišljamo o bezbednosti naših ličnih podataka i računara, prosto treba sami sebi da postavimo neka pitanja i odgovorimo na njih.
- Koliko su značajni moji podaci? Da li na računaru imam nešto što ne smem da izgubim?
- Ko sve ima pristup mom računaru? Da li je moguće da neko pristupi računaru bez mog znanja?
- Kome mogu da snimim svoje podatke? Da li se među njima nalazi nešto što ne želim da drugi vide?
- Gde sve na Internetu ostavljam svoje podatke i ko može da ih vidi?
- Kada komuniciram i pristupam servisima na Internetu, preko kojih kanala to radim i da li su oni sigurni?
- Da li su moje šifre dovoljno „jake“ i da li sam ih zapamtio?
- Da li su podaci koje skidam sa Interneta provereni? Da li mogu da u svoj računar ubacim hard disk ili flash memoriju koja je bila u drugom računaru?
- Koliko često pravim sigurnosne kopije i gde ih snimam?
- Da li sam zaštićen od virusa?
Ako sebi stalno postavljate ova pitanja, ne biste trebali da imate problema sa bezbednošću.