System teleinformatyczny firmy jest stale zagrożony różnorodnymi niebezpieczeństwami: awarie, włamania z zewnątrz, wydarzenia losowe i wiele innych. Eliminowanie tych zagrożeń wmaga dużego nakładu sił i środków. Jednym z niezbędnych działań jest opracowanie i stała aktualizacja dokumentu 'Polityka bezpieczeństwa firmy'.

1 Wdrażanie kompleksowej polityki bezpieczeństwa

Szczególnym przełomem w rozwoju informatyki, mającym wpływ na wagę zagadnienia bezpieczeństwa, było wprowadzenie łączności zdalnej z użytkownikami, które z systemu informatycznego uczyniło teleinformatyczny, a jednocześnie szerzej otworzyło go na zagrożenia zewnętrzne. W przeciwdziałaniu im ważne okazało się uzyskanie równowagi między wprowadzonym poziomem zabezpieczeń a związaną z tym utratą swobody i elastyczności bieżącego działania systemu oraz kosztami takich zabezpieczeń.

Ukoronowaniem działań w zakresie stosowania różnych rozwiązań zabezpieczających jest opracowanie kompleksowego dokumentu "Polityka bezpieczeństwa firmy". Powinien analizować on strukturę i organizację systemu teleinformatycznego odniesioną do charakterystyki funkcjonalnej firmy, opisywać z uzasadnieniem przyjęte rozwiązania zabezpieczające, wskazywać słabe punkty, formułować plan dalszego podnoszenia bezpieczeństwa. Dokument taki powinien być systematycznie weryfikowany i aktualizowany. Przy jego prowadzeniu zalecane jest podejmowanie współpracy z uznanymi podmiotami specjalizującymi się w tworzeniu standardów i dobrej praktyki w dziedzinie bezpieczeństwa informatycznego.

1.1 Ciągłość działania systemu

Ciągłość działania jest swoistym miernikiem uzyskanego stopnia zabezpieczenia systemu. Ustalenie planu zapewnienia ciągłości działania polega na przewidywaniu, z możliwie dużą znajomością tematu i wyobraźnią, rozmaitych zagrożeń oraz scenariuszy ich materializowania się. Kwestią ogromnej wagi jest przyjęcie dużego marginesu na zjawiska nieprzewidziane. Całość zebranych scenariuszy powinna zostać uporządkowana według stopnia rozmiaru zagrożenia. Kryteria takiego porządkowania powinny być dostosowane do założenia polityki planowego wycofywania się na z góry upatrzone pozycje, tj. stopniowego, odpowiadającego narastaniu zagrożenia, rezygnowania z funkcji mniej istotnych na rzecz ochrony tego, co stanowi właściwy, nie do ustąpienia, sens istnienia danej instytucji¹.

1.2 Bezpieczeństwo sieci

W systemach teleinformatycznych właśnie sieć łączności stanowi ich najbardziej charakterystyczny, zarazem newralgiczny i najbardziej zagrożony składnik².

Architektura sieci

Polska Norma PN-92 T-20001/02 - "Współdziałanie systemów otwartych - Podstawowy model odniesienia. Architektura zabezpieczeń", która jest tłumaczeniem normy międzynarodowej ISO 7498-2:1989, określa współdziałanie różnych systemów komputerowych, tak aby można było osiągnąć użyteczną i bezpieczną komunikację między procesami aplikacyjnymi. Na potrzeby tej normy zdefiniowano wiele zagadnień, takich jak usługi i mechanizmy zabezpieczeń³. Norma posługuje się opracowanym przez ISO modelem OSI⁴, w którym całość zagadnień związanych z problematyką łączenia systemów podzielono na siedem niezależnych warstw. Każda z nich ma nazwę, dziedzinę działania i oddzielne procedury bezpieczeństwa.

Warstwa fizyczna

To warstwa ściśle sprzętowa, a zalicza się do niej opis fizycznych aspektów przesyłania informacji. Przedmiotem ochrony w tej warstwie jest fizyczny strumień danych i poufność jego ruchu. Wykorzystywane są następujące usługi zabezpieczania: poufność połączenia i strumienia ruchu.

Warstwa liniowa

Praktycznie jest to również warstwa sprzętowa, choć część oprogramowania podstawowego i aplikacji może się odwoływać bezpośrednio do niej. Definiuje ona protokoły, tj. reguły przesyłania i otrzymywania informacji poprzez łącze fizyczne między dwoma systemami. W tej warstwie realizowane są dwie usługi zabezpieczające: poufność połączenia i poufność w komunikacji bezpołączeniowej.