Strażnik bezpieczeństwa

W czasach, kiedy można postawić znak równości pomiędzy bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych firmy a bezpieczeństwem samej firmy, znacząco wzrasta rola pracowników zajmujących stanowisko IT Security Officer, czyli osób zajmujących się bezpieczeństwem teleinformatycznym.

W czasach, kiedy można postawić znak równości pomiędzy bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych firmy a bezpieczeństwem samej firmy, znacząco wzrasta rola pracowników zajmujących stanowisko IT Security Officer, czyli osób zajmujących się bezpieczeństwem teleinformatycznym.

Przeanalizowałam praktykę funkcjonowania IT Security Officerów, wykorzystując wyniki ankiet przeprowadzonych przeze mnie wśród osób zajmujących się bezpieczeństwem teleinformatycznym oraz osób odpowiedzialnych w organizacjach za bezpieczeństwo teleinformatyczne. Ankieta skierowana była do pracowników sektora bankowego, telekomunikacyjnego i konsultingowego oraz do przedstawicieli administracji publicznej. Aczkolwiek nie mogłam z przyczyn organizacyjnych objąć ankietami reprezentatywnej próby, to ich wyniki wskazują na wiele prawidłowości.

Pojęcie "IT Security Officer"

Używanie przeze mnie nazwy anglojęzycznej w odniesieniu do funkcji osoby zajmującej się bezpieczeństwem teleinformatycznym jest działaniem celowym. Określenie to można spotkać w standardach międzynarodowych. Cechuje je szerokie znaczenie, obejmujące potencjalnie pełen obszar zadań związanych z zapewnianiem bezpieczeństwa teleinformatycznego. Do tej pory nie doczekaliśmy się jednolitej, polskiej nomenklatury odnoszącej się do tej funkcji.

IT Security Officer występuje w polskim ustawodawstwie jako "inspektor bezpieczeństwa systemów teleinformatycznych" w przepisach o ochronie informacji niejawnych, "administrator bezpieczeństwa informacji" w przepisach o ochronie danych osobowych, jak również "inspektor bezpieczeństwa" i "inspektor ds. audytu" w przepisach o podpisie elektronicznym. Podejmowano już próby ujednolicenia pojęcia "IT Security Officer" w polskiej praktyce; ostatnio spotkałam się z pojęciem "oficer bezpieczeństwa". Podobnie jak w przypadku większości "kalek językowych" nie jest to akceptowalny synonim - z uwagi na polskie znaczenie słowa "oficer" wprowadza niepotrzebny zamęt terminologiczny. Tymczasem wydaje się, że pojęcie "IT Security Officer" z powodzeniem można byłoby zamienić na "inspektor bezpieczeństwa teleinformatycznego".

Trochę historii

IT Security Officer w polskiej praktyce pojawił się w latach 80. w wojsku, kiedy to wyodrębniono specjalność informatyczną o nazwie "technolog systemów". Zakres jego odpowiedzialności obejmował m.in. zadania dzisiejszego inspektora bezpieczeństwa teleinformatycznego. Banki i firmy zagraniczne zaczęły implementować rozwiązania dotyczące bezpieczeństwa systemów teleinformatycznych już w połowie lat 90., czerpiąc jeszcze z roboczych prac ISO/IEC nad II częścią normy 13335. W tym i nieco późniejszym czasie szereg banków zagranicznych (także polski bank centralny) miało już przeszkolonych specjalistów, zwanych inspektorami zabezpieczenia systemów i ochrony danych. Znaczącą rolę w propagowaniu tej specjalności odegrała Komisja Normalizacyjna nr 182 w Polskim Komitecie Normalizacyjnym (aktualnie Komitet Techniczny nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych).

Pod koniec lat 90. przedstawiciele środowiska związanego z bezpieczeństwem teleinformatycznym zainicjowali na łamach IT Security Magazine dyskusję na temat potrzeby usankcjonowania w polskich przepisach obowiązującego prawa funkcji IT Security Officera. Funkcja ta została po raz pierwszy zaproponowana w 1997 r. w przepisach o ochronie danych osobowych pod postacią administratora bezpieczeństwa informacji. Etapem przełomowym było pojawienie się w 1999 r. przepisów o ochronie informacji niejawnych, które pociągnęły za sobą m.in. uruchomienie specjalistycznego szkolenia inspektora bezpieczeństwa teleinformatycznego przez UOP (ABW).

Ponad połowa ankietowanych, zapytanych o przyczyny powołania inspektorów bezpieczeństwa teleinformatycznego w ich firmach wskazała na wymagania wynikające z przepisów obowiązującego prawa - w szczególności z przepisów o ochronie informacji niejawnych oraz o ochronie danych osobowych. Reszta powiedziała, że chodziło o "inne przyczyny" - miejmy nadzieję, że nie były to brzemienne w skutki incydenty bezpieczeństwa…

Praktyka wygląda często następująco: gdy firma posiada informacje niejawne, to organizuje całą infrastrukturę spełniającą wymagania przepisów o ochronie tych informacji. Podobnie jest w przypadku danych osobowych, tyle że gdy firma posiada jednocześnie wymienione dwie kategorie informacji - często posiada też dwie niezależne od siebie struktury, dublując część zadań związanych z bezpieczeństwem.

Nie jest to zbyt efektywne rozwiązanie, zwłaszcza pod względem kosztów. Gdy firma nie jest zobowiązana przepisami prawa do ochrony informacji przetwarzanych w jej systemach teleinformatycznych, to wówczas jej kierownictwo często nie widzi większej potrzeby ich odpowiedniego zabezpieczania. Tymczasem zdawałoby się, że wystarczy zadać sobie proste pytanie, co się stanie, gdy dane niezbędne do funkcjonowania firmy staną się dostępne dla osób niepowołanych (np. konkurencji), czy zostaną bezpowrotnie utracone?

Zaobserwowałam ponadto inną niepokojącą prawidłowość - firmy "optymalizując koszty" zatrudniają tylko jednego IT Security Officera, i to najchętniej na stanowisku kierowniczym (aby zagwarantować sobie jego nienormowany czas pracy), odpowiedzialnego za wszystkie kwestie związane z bezpieczeństwem teleinformatycznym w organizacji. Nie jest to rekomendowane rozwiązanie, bo sprzeczne z dobrymi praktykami, przewidującymi zakaz łączenia ról i odpowiedzialności w bezpieczeństwie teleinformatycznym.

Kim oni są

Można już mówić o zróżnicowanej ze względu na posiadane wykształcenie grupie zawodowej. Wbrew pozorom, do osób zajmujących się bezpieczeństwem teleinformatycznym należą nie tylko te z kierunkowym wykształceniem technicznym. Osoby te co prawda należą do większości, ale wśród IT Security Officerów nie brakuje również prawników i ekonomistów.

Konieczność zaangażowania prawników do problematyki bezpieczeństwa teleinformatycznego już dosyć dawno spostrzegli i docenili Amerykanie.

Prawnicy odgrywają znaczącą rolę w kilku istotnych zadaniach związanych z bezpieczeństwem:

  • opracowywaniu wewnętrznych regulacji prawnych, np. polityki bezpieczeństwa, regulaminów i instrukcji, na wyższym stopniu ogólności, w przeciwieństwie do procedur operacyjnych, które zazwyczaj piszą osoby z wykształceniem technicznym;

  • opracowywaniu umów, które przewidują do ich realizacji dostęp do systemów teleinformatycznych organizacji;

  • wiążącej weryfikacji i opiniowania dokumentacji;

  • udziału w kontrolach i audytach bezpieczeństwa, w szczególności w kontrolach zgodności z prawem ochrony informacji (audyt lub kontrola zgodności);

  • biorą udział w obsłudze incydentów bezpieczeństwa.
Praktyka wskazuje zaś, iż zdecydowana większość organizacji nie zatrudnia jeszcze prawników do prac związanych z bezpieczeństwem, co jest o tyle zastanawiające, że w dużej części wymagania bezpieczeństwa wynikają z przepisów obowiązującego prawa. Udział prawników, w szczególności w opracowywaniu dokumentacji związanej z bezpieczeństwem informacji, stanowi znaczącą wartość dodaną, która najczęściej jest doceniana dopiero w sytuacjach krytycznych, konfliktowych (spory wynikające z umów), bądź wreszcie w przypadku nierzadkich zewnętrznych (również państwowych) postępowań kontrolnych i audytorskich. Ekonomiści odgrywają natomiast znaczącą rolę przy dokonywaniu analiz ryzyka.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200