Wprowadzając program bezpieczeństwa firmy należy pamiętać, że jednym z kluczowych jego elementów jest bezpieczeństwo systemów informatycznych. A ono z kolei zależy od jakości opracowania Strategii Bezpieczeństwa, Polityki Bezpieczeństwa oraz Procedur Bezpieczeństwa.

W specyficznych warunkach naszego kraju rozwój systemów informatycznych dokonywał się i nadal dokonuje żywiołowo. Dopiero w ostatnich latach coraz bardziej widoczne staje się projektowanie systemów lub ich rozwój na podstawie spójnych metodologii prowadzenia projektów, adaptowanych na potrzeby polskiego rynku informatycznego, a w większych firmach nawet na potrzeby branży czy instytucji. Zaszłość nieładu i żywiołowości skutkowały m.in. tym, iż podczas projektowania systemu informatycznego bezpieczeństwo danych było pojmowane w sposób intuicyjny, a implementacje mechanizmów zabezpieczeń były dokonywane "na szczególne zamówienie" odbiorcy. Mechanizmy te w wielu przypadkach nie były dostosowane do realnych potrzeb, a wraz z upływem czasu traciły pierwotne własności zabezpieczające, stając się jedynie uciążliwym i nieskutecznym balastem systemu. Prawie każdy spotkał się z opinią, że hasła dostępowe do systemów to fikcja, iż w obrębie pokoju lub działu każdy zna hasła innych pracowników oraz aby uniknąć pomyłki podczas autoryzacji do systemu, wszystkie hasła są podobne - pospolite imię lub nazwisko.

Realność troski o bezpieczeństwo danych w instytucji ma dwojaki charakter. Po pierwsze, w przeszłości w instytucjach nie troszczono się o bezpieczeństwo danych aż do momentu, gdy nastąpiła niespodziewana "katastrofa". To nagłe "uświadomienie" powoduje gwałtowny rozwój mechanizmów zabezpieczeń danych oraz wprowadzenie nadmiernie restrykcyjnych zasad korzystania z systemów informatycznych. W sytuacji, gdy zmiany są dokonywane bez przeprowadzenia dogłębnej analizy potrzeb, zagrożeń i ryzyka oraz stosownej metodyki, często dochodzi do sytuacji "paranoi zabezpieczeń". Przykładem może być jedna z instytucji, która w zaledwie kilka miesięcy przeznaczyła na zabezpieczenia systemów informatycznych 50% rocznego dochodu!

Z drugiej strony, dzięki wzrostowi liczby wykształconej i świadomej kadry kierowniczej, gros instytucji wprowadza przemyślany i metodologicznie poprawny, szeroki program bezpieczeństwa, którego jednym z kluczowych elementów jest bezpieczeństwo systemów informatycznych. W tym przypadku nakłady na bezpieczeństwo są znacznie mniejsze, ale dzięki systematyce ich implementacji przynoszą zdecydowanie lepsze efekty.

Projektowanie systemu zabezpieczeń instytucji przebiega w trzech kolejno następujących po sobie fazach: opracowaniu Strategii Bezpieczeństwa, Polityki Bezpieczeństwa oraz Procedur Bezpieczeństwa. W glosariuszu pojęć z zakresu zabezpieczeń systemów informatycznych oraz aktach prawnych dotyczących tej problematyki używane są pojęcia: strategia, polityka i procedury zabezpieczeń. Tu będziemy operowali pojęciem bezpieczeństwo, gdyż opisuje ono, w sposób bardziej ogólny, zestaw środków i mechanizmów podnoszących lub stabilizujących poziom ochrony danych w systemach informatycznych.

Etap 1. Strategia Bezpieczeństwa Systemów Informatycznych

Strategia Bezpieczeństwa jest bardzo specyficznym i istotnym elementem systemu zabezpieczeń instytucji. Powstaje zawsze jako pierwszy z wielu dokumentów, z którego treści następują kolejne odwołania do dokumentów Polityki Bezpieczeństwa czy rozmaitych procedur operacyjnych również z zakresu zabezpieczeń. Dokument Strategii Bezpieczeństwa jest również dokumentem najbardziej ogólnym i prezentującym długookresowy trend planowania, wprowadzania i modyfikacji zabezpieczeń systemów informatycznych. Ze względu na ogólny charakter, Strategia Bezpieczeństwa nie wymaga wprowadzania istotnych zmian w jego treści, a jedynie drobnych korekt wynikających ze zmienności standardu używanej technologii informatycznej.

Treść Strategii Bezpieczeństwa jest uzależniona od wielu czynników. Jej forma jest również związana z przyjętym dla instytucji standardem. Specyficznym elementem odróżniającym Strategię Bezpieczeństwa Systemów Informatycznych od dokumentów strategii biznesowych, rozwoju lub planowania budżetu jest jej głęboko techniczny charakter oraz powiązania z kluczowymi elementami funkcjonowania instytucji, takimi jak zakupy czy budżet. Strategia Bezpieczeństwa ma jeszcze jeden specyficzny element - jest stała i w większości przypadków przenaszalna w ramach instytucji o określonym profilu działalności rynkowej, np. militarnej lub rządowej. Właśnie z tego powodu często można spotkać "skopiowane" dokumenty Strategii Bezpieczeństwa instytucji macierzystej (np. głównego udziałowca), której odmienność wynika jedynie z interpretacji tłumacza. Znacznie gorzej przedstawia się "adaptowanie" na potrzeby instytucji publikacji dostępnych w Internecie. Wówczas taki dokument jest nie tylko nieprzydatny i nielogiczny, ale często również zabawnie brzmiący i śmieszny.