Ochrona informacji niejawnych

Podstawowe pojęcia

Ochrona informacji niejawnych

Zgodnie z definicją zawartą w Słowniku

współczesnym języka polskiego informacja
oznacza „element wiedzy przekazywanej
za pomocą języka lub innego kodu i
stanowi czynnik zmniejszający stopień
niewiedzy

o

jakimś

zjawisku,

umożliwiający człowiekowi polepszenie
znajomości otoczenia i sprawniejsze
przeprowadzenie celowego działania".

Ochrona informacji niejawnych

Określenie „dane" używa się najczęściej

do

oznaczania

informacji

nie

przetworzonej, czyli są to surowe liczby i
fakty odzwierciedlające pojedynczy aspekt
otaczającej nas rzeczywistości.

Natomiast dane zaprezentowane w

sposób mający określone znaczenie, tzn.
opracowane, są „informacjami"

Ochrona informacji niejawnych

Nośnik informacji to przedmiot

umożliwiający fizyczne zapisanie danego
rodzaju informacji, a także jej późniejsze
odczytanie (odtworzenie).

Natomiast pod pojęciem

 informatyczny nośnik danych należy
rozumieć „materiał lub urządzenie służące
do

zapisywania,

przechowywania

i

odczytywania danych w postaci cyfrowej”

Ochrona informacji niejawnych

Pożądane cechy informacji:
• jakość,
• aktualność,
• ilość,
• istotność (przydatność dla potrzeb zarządzania),
• dokładność,
• elastyczność,
• jednoznaczność,
• rzetelność,
• wartość i wystarczalność.

Ochrona informacji niejawnych

Jakość oznacza, że im informacja

jest dokładniejsza, tym ma wyższą
jakość i z tym większą pewnością
kierownicy mogą na niej polegać przy
podejmowaniu

decyzji.

Koszt

uzyskania informacji rośnie wraz ze
wzrostem jej jakości.

Ochrona informacji niejawnych

Aktualność - aby móc podjąć

właściwe

i

skuteczne

decyzje,

informacje

muszą

trafiać

we

właściwym czasie. Nawet dokładna
informacja, ale po czasie, jest
bezużyteczna.

Ochrona informacji niejawnych

Ilość - brak informacji powoduje,

że nie można opracować właściwych
działań, jednak z drugiej strony ich
nadmiar sprawia, iż szefowie nie
mogą wyłowić w zalewie wielu innych
tej potrzebnej i muszą tracić czas na
ich analizowanie.

Ochrona informacji niejawnych

Istotność

-

związek

pomiędzy

otrzymywanymi

informacjami,

a

realizowanymi zadaniami jednostki
organizacyjnej

i

jej

zakresem

uprawnień.

Ochrona informacji niejawnych

Dokładność - oznacza stopień

bliskości uzyskanej wartości atrybutu
z wartością rzeczywistą. Wartości
rzeczywistej nie znamy, znamy tylko
mniej lub bardziej dokładny wynik
pomiaru,

mniejszy

lub

większy

stopień zgodności z rzeczywistym
obiektem.

Ochrona informacji niejawnych

Elastyczność - to zdolność do

zaspokojenia obecnych i przyszłych
potrzeb różnych użytkowników. Jest
zależna od sposobu grupowania,
poziomu

uogólnienia,

metody

udostępniania

i

aktualności

informacji.

Ochrona informacji niejawnych

Jednoznaczność - oznacza

stosowanie języka i pojęć, które nie
budzą wątpliwości i mają dokładnie
określone znaczenie.

Ochrona informacji niejawnych

Rzetelność - to staranność,

obiektywność,

poprawność

sporządzania

danych

i

opracowywania komunikatu, którego
treść stanowi informację, może być
obniżona przez odbiorcę, jak i
pomijanie niektórych danych.

Ochrona informacji niejawnych

Wartość

-

odwrotność

prawdopodobieństwa

wystąpienia

danego zdarzenia, którego dotyczy
informacja.

Ochrona informacji niejawnych

Wystarczalność - oznacza

taką informację, która umożliwia
racjonalne działanie, podejmowanie
decyzji.

Ochrona informacji niejawnych

Informacją niejawną

jest wiedza,

dokument

lub

materiał,

których

ujawnienie

osobom

nieuprawnionym

spowodowałoby lub mogłoby spowodować
szkody dla Rzeczypospolitej Polskiej, bądź
narazić na szkodę interes społeczny lub
prawnie chroniony interes obywateli albo
jednostki organizacyjnej

.

Ochrona informacji niejawnych

System informacyjny

  to

urządzenia,

narzędzia,

metody

postępowania i procedury stosowane
w

procesie

wytwarzania,

przechowywania, przetwarzania i
dystrybucji informacji.

Ochrona informacji niejawnych

Przetwarzaniem informacji

niejawnych

- są wszelkie operacje

wykonywane

w

odniesieniu

do

informacji niejawnych i na tych
informacjach, w szczególności ich
wytwarzanie,

modyfikowanie,

kopiowanie,

klasyfikowanie,

gromadzenie,

przechowywanie,

przekazywanie lub udostępnianie. 

Ochrona informacji niejawnych

Bezpieczeństwo informacji

to stan,

który polega na uniemożliwieniu i
utrudnieniu zdobycia, wniesienia entropii
informacyjnej

(zmiany

treści),

bądź

destrukcji fizycznej nośników danych
(zamierzonego ich zniszczenia).

Ochrona informacji niejawnych

Polityka bezpieczeństwa

informacji

 jest

zbiorem

spójnych,

precyzyjnych reguł i procedur, według
których dana organizacja buduje, zarządza
oraz

udostępnia

swoje

zasoby

i 

systemy informacyjne

 i 

informatyczne

.

Czyli, polityka bezpieczeństwa

informacji określa, które zasoby i w jaki
sposób mają być chronione.

Ochrona informacji niejawnych

Do zapewnienia bezpieczeństwa posiadanym

informacjom niejawnym, obligują następujące
ustawy: 

• O ochronie informacji niejawnych (Dz.U. z 2010 r.

nr 182 poz. 1228),

• O ochronie danych osobowych (t.j Dz.U. z 2002 r.

nr 101 poz. 926 z późn. zm.),

• O dostępie do informacji publicznej (Dz.U. z

2001 r. nr 112 poz. 1198 z późn. zm.),

• O prawie autorskim i prawach pokrewnych (t.j.

Dz.U. z 2006 r. nr 90 poz. 631 z późn. zm.).

Ochrona informacji niejawnych

Właściwościami bezpieczeństwa

informacji są: 

• tajność,
• poufność,
• integralność danych,
• dostępność,
• autentyczność,
• rozliczalność,
• niezawodność.

Ochrona informacji niejawnych

Bezpieczeństwo

informacyjne

to

element

ogólnego

systemu

bezpieczeństwa obejmujący ochronę
systemów transmisji i dystrybucji
informacji przed atakami sieciowymi
(działalnością

grup

świadomie

manipulujących przekazem), oraz
wszelkiego

rodzaju

zagrożeniami

fizycznymi.

Ochrona informacji niejawnych

Bezpieczeństwo

teleinformatyczne

to

zakres

przedsięwzięć, który ma na celu
uniemożliwienie

niepowołanym

osobom dostępu do systemów i sieci
teleinformatycznych (TI).

Ochrona informacji niejawnych

Bezpieczeństwo teleinformatyczne obejmuje:

• ochronę fizyczną (strefy bezpieczeństwa, środki

zabezpieczające pomieszczenia),

• ochronę

elektromagnetyczną

(strefy

bezpieczeństwa, urządzenia o obniżonej emisji lub

ekranowanie),

• ochronę kryptograficzną (szyfrowanie i inne

mechanizmy zapewniające poufność, integralność,

uwierzytelnienie),

• bezpieczeństwo transmisji (kontrola dostępu lub

szyfrowanie przy podłączeniu do powszechnie

dostępnej sieci),

• kontrolę

dostępu

(uprawnienia,

hasła

i

mechanizmy kontroli dostępu).

Ochrona informacji niejawnych

System ochrony informacji – to

zespół

wzajemnie

powiązanych

i

uzupełniających się środków, a także
przedsięwzięć

organizacyjnych,

technicznych

i

prawnych

uniemożliwiających nieuprawniony dostęp
i

nieuprawnione

rozpowszechnianie

informacji niejawnych.

Ochrona informacji niejawnych

System ochrony informacji niejawnych

składa się z trzech podsystemów:

• podsystemu normatywno-prawnego (ustawy, akty

wykonawcze, decyzje, rozkazy, wytyczne, instrukcje,
procedury),

• podsystemu

przedmiotowo-funkcjonalnego

(bezpieczeństwo osobowe, bezpieczeństwo fizyczne,
bezpieczeństwo

sieci

i

systemów

teleinformatycznych,

• podsystemu

strukturalno-organizacyjnego

(pełnomocnik ochrony, pion ochrony, administrator
sieci i systemów teleinformatycznych).

Ochrona informacji niejawnych

Chronić informację można w formie

prawnej, technologicznej i organizacyjnej.

• Prawna forma ochrony koncentruje się

na

zakazach

w

rozpowszechnianiu

informacji o niejawnym charakterze,
określeniu sankcji prawnych, grożących
osobom łamiącym przepisy ustawowe,
określeniu

informacji

powszechnie

dostępnej, zwanej informacją publiczną.

Ochrona informacji niejawnych

• Ochrona technologiczna koncentruje się

na zapewnieniu dostępu do elektronicznych
systemów transmisji informacji zgodnie z
tzw.

kodami

dostępu

dla

osób

uprawnionych do korzystania z nich, a
także

na

ochronie

systemów

przed

niepowołanymi wtargnięciami.

• Ochrona organizacyjna, to połączenie

ochrony prawnej z ochroną technologiczną.

Ochrona informacji niejawnych

Co najczęściej chronimy?
• nośniki informacji,
• systemy

przetwarzania

(np.

finansowo-

księgowe),

• tajemnicę przedsiębiorstwa,
• ewidencję wartości materialnych i prawnych,
• dane osobowe,
• zarządzenia, regulaminy, procedury,

Ochrona informacji niejawnych

• aplikacje informatyczne,
• informacje upublicznione,
• bazy danych (głównie gospodarcze),
• tajemnice

firmy

opatrzone

odpowiednią klauzulą,

• oraz inne, podlegające ochronie z

mocy prawa.

Ochrona informacji niejawnych

Normy Międzynarodowej

Organizacji Normalizacyjnej (ISO):

• PN-I-13335-1:

1999

„Wytyczne

do

zarządzania bezpieczeństwem systemów
informatycznych – Pojęcia i modele
bezpieczeństwa

systemów

informatycznych”

•  ISO/IEC TR 13335-2:2003 „Zarządzanie

i planowanie bezpieczeństwa systemów
informatycznych”

Ochrona informacji niejawnych

• ISO/IEC TR 13335-3:2003 „Techniki

zarządzania bezpieczeństwem systemów
informatycznych”,

• PN ISO/IEC 17799:2003 „Praktyczne

zasady zarządzania bezpieczeństwem
informacji”,

• PN

I

-

07799-2:2005

„Systemy

zarządzania bezpieczeństwem informacji
– Specyfikacja i wytyczne stosowania”.

Ochrona informacji niejawnych

Na dzień dzisiejszy najpopularniejszym

standardem

bezpieczeństwa

informacji, na zgodność z którym
przeprowadzane są certyfikacje, jest
norma

PN ISO/IEC 27001:2007 „Praktyczne

zasady

zarządzania

bezpieczeństwem informacji”