Procesy informacyjne
w zarządzaniu
Bezpieczeństwo i ochrona
informacji
1
LITERATURA:
Informacja w zarządzaniu przedsiębiorstwem. Pozyskiwanie, wykorzystanie i
ochrona (wybrane problemy teorii i praktyki). red. R. Borowiecki i M.
Kwieciński, ZAKAMYCZE, Kraków 2003,
Jęda D., Ochrona informacji niejawnych  nowe rozwiązania, Wydawnictwo
Ubezpieczeń, Warszawa 2005,
Konieczny J., Wprowadzenie do bezpieczeństwa biznesu, Konsalnet,
Warszawa 2004,
Monitorowanie otoczenia. Przepływ i bezpieczeństwo informacji. red.
naukowa R. Borowiecki i M. Kwieciński, ZAKAMYCZE, Kraków 2003,
Polaczek T., Audyt bezpieczeństwa informacji, Wydawnictwo HELION,
Gliwice 2006,
Zalewska A., Sieć a kodeks karny  co nam wolno a co jest już
przestępstwem,  Gazeta-IT , luty 2005, nr 32, http://archiwum.gazeta-it.pl,
[15.04.2009],
Zarządzanie przepływem i ochroną informacji. pod red. M. Kwiecińskiego,
Krakowska Szkoła Wyższa im. A. Frycza Modrzewskiego, Kraków 2007.
2
Uregulowania prawne
bezpieczeństwa informacji:
Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych [Dz.U.Nr 128, poz.
1402],3
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług droga elektroniczną
[Dz.U.Nr 144, poz. 1204],
Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie
podstawowych wymagań bezpieczeństwa teleinformatycznego [Dz.U.Nr
05.171, poz. 1433],
ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997 r. [Dz. U. Nr
133, poz. 883],
ustawę o ochronie informacji niejawnych z dnia 22 stycznia 1999 r. [Dz. U. Nr
11, poz. 95 z póz
niejszymi zmianami],33
ustawę o podpisie elektronicznym z dnia 18 września 2001 r. [Dz. U. Nr 130,
poz.1450],
ustawę o informatyzacji działalności podmiotów realizujących zadania publiczne
z dnia 17 lutego 2005 r. [Dz. U. Nr 64, poz.565],
przepisy karne mające zastosowanie do przypadków łamania prawa przez
użytkowników komputerów i sieci zawarte w kodeksie karnym oraz
znowelizowanych ustawach mających na celu ochronę informacji.
3
Klasyfikacja informacji w świetle
regulacji prawnych
[Polaczek 2006, s. 15]: :
tajemnica państwowa będąca własnością
państwa,
tajemnica służbowa, będąca tajemnicą
przedsiębiorstwa bądz
instytucji,
tajemnica danych osobowych,
tajemnica skarbowa, statystyczna czy
bankowa.
4
Kategorie informacji w zależności
od koniecznego stopnia ochrony
[Polaczek 2006, s. 14]:
jawne,
chronione (np. zastrzeżone dla danej
organizacji),
poufne,
tajne
5
Informacje niejawne
 informacje, które wymagają ochrony przed
nieuprawnionym ujawnieniem jako
stanowiące tajemnicę państwową lub
służbową, niezależnie od formy i sposobu ich
wyrażenia [Jęda 2005, s. 7]
6
Podział informacji niejawnych
Tajemnica państwowa  informacja Tajemnica służbowa  informacja niejawna
Rodzaje
określona w wykazie rodzajów informacji, niebędąca tajemnicą państwową, uzyskana w
informacji
stanowiącym załącznik nr 1 ustawy której związku z czynnościami służbowymi albo
niejawnych
nieuprawnione ujawnienie może wykonywaniem prac zleconych, której
spowodować istotne zagrożenie dla nieuprawnione ujawnienie mogłoby narazić na
podstawowych interesów Rzeczypospolitej szkodę interes państwa, interes publiczny lub
Polskiej, dotyczących porządku prawnie chroniony interes obywateli albo
publicznego, obronności, bezpieczeństwa, jednostki organizacyjnej.
stosunków międzynarodowych lub
gospodarczych państwa.
 ściśle tajne  informacje wymienione w  poufne  w przypadku gdy ich
Klauzule
części I załącznika 1 do ustawy; nieuprawnione ujawnienie powodowałoby ich
tajności
 tajne  informacje wskazane w części II szkodę dla interesów państwa, interesu
załącznika 1 do ustawy. publicznego, lub prawnie chronionego interesu
obywateli;
 zastrzeżone  w przypadku gdy ich
nieuprawnione ujawnienie mogłoby
spowodować szkodę dla prawnie chronionych
interesów obywateli albo jednostki
organizacyjnej.
7
Zagrożenia i szkody
zasobów informacyjnych:
Zagrożenie Opis
Zdarzenia spowodowane niedbalstwem, nieuwagą lub brakiem
Błędy ludzkie
wiedzy ze strony projektantów, administratorów lub
użytkowników systemu.
Niespodziewane defekty sprzętu oraz oprogramowania, jak
Awarie
również urządzeń od których prawidłowej pracy zależy
poprawne funkcjonowanie rozpatrywanego systemu
informacyjnego.
Katastrofy:
Katastrofy
 naturalne (powódz
, pożar, trzęsienie ziemi, huragan, tornado,
itp.);
 wywołane przez człowieka (budowlane, komunikacyjne, inne),
prowadzące do zakłócenia działania systemu informacyjnego lub
systemów powiązanych.
Ludzki lub zautomatyzowany atak na system, kradzież
Rozmyślne działania
wyposażenia i zasobów (z
ródłem wewnętrznych ataków mogą
być niezadowoleni lub przekupieni pracownicy, z
ródłem
zewnętrznym  szpiedzy, hakerzy, złośliwe ataki).
z
ródło: opracowanie własne na podstawie: [Papkin Warszawa 2002, s. 26].
8
Rodzaje szkód w systemach
informacyjnych przedsiębiorstwa:
Odmowa usługi (utrata dostępu).
Ujawnienie (utrata poufności).
Zniszczenie lub uszkodzenie (utrata
integralności) wyniku błędu ludzkiego,
zamierzonego działania lub wystąpienia
zewnętrznego czynnika (np. naturalnego).
9
Podział zabezpieczeń systemów informacyjnych
Charakter Możliwe działania
zabezpieczeń
 wyznaczanie obszarów chronionych o ograniczonym dostępie niepowołanych osób,
 ograniczanie wymiany dokumentów pomiędzy stanowiskami,
 opracowanie regulaminów i procedur pracy oraz procedur obowiązujących w sytuacjach awaryjnych,
 projektowanie procesów pracy odpornych na błędy ludzkie,
Organizacyjne
 określenie wymagań dotyczących niezawodności kupowanego sprzętu oraz jakości stosowanego oprogramowania.
 certyfikowanie,
 zarządzanie dostępem do pomieszczeń,
Administracyjne
 zarządzanie procesami z uwzględnieniem zasad bezpieczeństwa,
 administrowanie systemem informatycznym.
 zabezpieczanie pomieszczeń przed dostępem niepowołanych osób oraz zdarzeniami losowymi typu: pożar, zalanie, itp.,
 tworzenie wokół zabezpieczanych pomieszczeń stref ochronnych o ograniczonym dostępie osób postronnych,
 niszczenie nośników informacji w sposób uniemożliwiający ich odczytanie,
Fizyczne
 zapewnienie awaryjnego zasilania urządzeń gromadzących, przetwarzających oraz przesyłających informacje,
 zakup i instalacja sprzętu rezerwowego.
 świadomy wybór nośników informacji (forma papierowa, elektroniczna),
Transmisji
 planowanie dróg oraz sposobów przesyłania informacji i nośników,
 ochrona danych w formie elektronicznej przed przechwyceniem lub podsłuchaniem.
 stosowanie rozwiązań tłumiących lub zagłuszających promieniowanie emitowane przez urządzenia elektroniczne
Emisji[1]
wykorzystywane w systemie informacyjnym,
 kontrola dostępu do aplikacji,
Programowe
 ochrona poszczególnych plików i baz danych,
 implementowanie rozwiązań kryptograficznych,
 stosowanie mechanizmów separacji danych.
Zabezpieczenia te mają za zadanie uniemożliwić przechwycenie informacji na wskutek podsłuchania emitowanych przez systemy informatyczne fal elektromagnetyczn
10
Polityka bezpieczeństwa
informacji
To kompleksowe objęcie wszelkich aspektów
związanych z jak największym stopniem ochrony
informacji przechowywanych i przesyłanych w
ramach danej organizacji.
Polityka ta jest konstruowana indywidualnie dla
każdej instytucji. Jest ściśle związana z kulturą
organizacyjną, czego wymiarem jest kreowanie
bezpiecznego, zgodnego z przyjętymi zasadami
użytkowania systemów informatycznych i dbania o
wspólne dobro miejsca pracy.
11
Polityka bezpieczeństwa
organizacji
Polityka bezpieczeństwa dotyczy
struktury przedsiębiorstwa, organizacji
pracy, reguł postępowania pracowników, a
zwłaszcza stosowanych w
przedsiębiorstwie rozwiązań
informatycznych.
12
Obszary polityki bezpieczeństwa
organizacji:
Polityka organizacyjna  związana z prowadzoną
działalnością, zawierająca procedury organizacyjne, w tym
procedury utrzymania ciągłości działania oraz plany
awaryjne na wypadek katastrofy, związane z zapasowymi
ośrodkami przetwarzania czy miejscami pracy,
Polityka ochrony fizycznej  związana z ochroną
pomieszczeń, budynków, mienia oraz personelu danej
organizacji, zawierająca różnego rodzaju instrukcje
zabezpieczeń, procedury na wypadek incydentów
bezpieczeństwa lub sytuacji zagrożeń,
13
Obszary polityki bezpieczeństwa
organizacji:
Polityka personalna  związana z odpowiednim
doborem personelu na dane stanowiska, procedurami
dotyczącymi zapoznania pracowników z zasadami
bezpieczeństwa (BHP, procedury awaryjne, procedury
ochrony informacji), ich szkoleniami oraz procedurami
działania na wypadek braku odpowiedniego personelu,
Polityka Bezpieczeństwa Informacji  związana z
zarządzaniem i ochroną informacji stanowiących
tajemnice przedsiębiorstwa i informacji prawnie
chronionych, dostęp osób do informacji oraz systemów
przetwarzania informacji do eksploatacji, procedurami
kryzysowymi na wypadek incydentów bezpieczeństwa.
14
Polityka Bezpieczeństwa Informacji
powinna obejmować następujące
elementy:
Politykę informacyjną,
Ochronę informacji niejawnych,
Zasady ochrony danych osobowych,
Politykę bezpieczeństwa systemu
teleinformatycznego,
Zasady ochrony tajemnicy przedsiębiorstwa lub
innych tajemnic zawodowych,
15
Polityka Bezpieczeństwa Informacji
powinna obejmować następujące
elementy:
Zapobieganie przestępstwom na szkodę firmy,
szczególnie fałszerstwom i oszustwom,
Zasady ochrony fizycznej i technicznej,
I inne związane z bezpieczeństwem.
Polityka bezpieczeństwa musi również uwzględniać
wartość posiadanych informacji, z
ródło agresji,
poziom możliwości agresora, poziom ochrony a
także wskazania służb odpowiedzialnych za
ochronę informacji.
16
Elementy polityki
bezpieczeństwa informacyjnego:
1. Planowanie zapotrzebowania na bezpieczeństwo
obejmuje:
Przedmiot ochrony  gdyż żadna organizacja nie jest w stanie
zabezpieczyć wszystkich swoich zasobów. Ustala się zatem stopień
niejawności informacji wykorzystywanych przez przedsiębiorstwo,
kierunki i perspektywy rozwoju (w tym tworzone systemy
informacyjne), procedury organizacyjno  techniczne, przepisy
prawno-karnej ochrony informacji,
Zagrożenie  każdorazowo należy zdefiniować zagrożenia, wskazać
kierunki, z których może nastąpić atak, a także miejsce podlegające
ochronie. Ustalenie powyższego stanowi podstawę do wyboru typu
zabezpieczenia i jego usytuowania.
17
Elementy polityki
bezpieczeństwa informacyjnego:
2. Analiza ryzyka  ściśle powiązana z analizą
zagrożeń i słabości. Ryzyko jest funkcją
prawdopodobieństwa wystąpienia zagrożenia
nieświadomego lub celowego działania, słabości
systemu sprzyjającego powstawaniu zagrożeń,
wysokości kosztów związanych z usuwaniem
szkody będącej następstwem negatywnego
zdarzenia.
18
Elementy polityki
bezpieczeństwa informacyjnego:
Analiza metod ochrony jest konsekwencją wytypowania
zagrożeń i wskazaniem mechanizmów bezpieczeństwa
informacyjnego.
W trakcie prowadzonej analizy należy brać pod uwagę
metody ataku i ochrony oraz skuteczność poszczególnych
metod.
Analiza ekonomiczna powinna mieć miejsce zarówno
podczas projektowania systemu ochrony, jak i jego
modernizacji, koszty przeznaczone na ochronę powinny być
utrzymane w odpowiedniej proporcji do wartości podmiotu
poddanego ochronie, a także uwzględniać konsekwencje
związane z jej zniszczeniem lub utratą.
19
Elementy polityki
bezpieczeństwa informacyjnego:
Opracowanie procedur postępowania na wypadek
katastrof i awarii. Dla wielu przedsiębiorstw istnieje
formalny wymóg posiadania planu postępowania na
wypadek katastrofy, awarii, co stanowi warunek
przetrwania. Zatem istnieje bezwzględna konieczność
określenia procedur postępowania wraz z systemem ich
uruchamiania w sytuacjach wystąpienia katastrofy i
obejmują one m. in.: lokalizację zagrożenia, powiadomienie
kierownictwa i właściwych służb o zaistnieniu negatywnego
zdarzenia, współdziałanie i likwidację skutków.
20
Elementy polityki
bezpieczeństwa informacyjnego:
Opracowanie dokumentu  polityka bezpieczeństwa
informacyjnego,
Wprowadzenie w życie postanowień polityki
bezpieczeństwa informacyjnego,
Analiza skuteczności wdrażania systemu ochrony i jego
kontrola,
Korekta polityki bezpieczeństwa informacyjnego.
21
Polityka Bezpieczeństwa
Informacji (PBI):
Polityka Bezpieczeństwa Informacji (PBI) dotyczy
całego procesu korzystania z informacji,
niezależnie od sposobu jej przetwarzania, tj.:
zbierania,
utrwalania,
przechowywania,
opracowywania,
zmieniania,
udostępniania
i usuwania.
22
Polityka Bezpieczeństwa
Informacji (PBI):
PBI obejmuje wszystkie systemy
przetwarzania informacji, zarówno te
prowadzone w sposób klasyczny
(archiwa, kartoteki, dokumenty
papierowe) jak i systemy komputerowe.
23
System bezpieczeństwa dotyczy:
wewnętrznych systemów informacyjnych,
zewnętrznych systemów informacyjnych, które są
dołączone przez sieć lub w inny sposób,
zprzętu komputerowego i urządzeń
elektronicznych oraz wszystkich urządzeń
używanych w organizacji,
środowiska zewnętrznego, które otacza
przedsiębiorstwo,
środowiska wewnętrznego przedsiębiorstwa.
24
Polityka bezpieczeństwa
powinna określać:
procedury systemu bezpieczeństwa,
zasady odpowiedzialności pracowników,
oraz zasady i poziomy raportowania, które
nie naruszają bezpieczeństwa informacji.
Taka polityka powinna również zawierać
analizę zagrożeń i skuteczności
stosowanych metod zabezpieczeń.
25
Polityka bezpieczeństwa
powinna określać:
W ramach ustalania polityki
bezpieczeństwa wewnętrznego
przedsiębiorstwa należy zadbać o
lokalizację centrum komputerowego,
odpowiednią jakość wykorzystywanego
sprzętu komputerowego, urządzeń
kryptograficznych, materiałów i urządzeń
biurowych oraz działań zmierzających do
unikania i redukcji błędu ludzkiego.
26
Inne elementy, na które należy
zwrócić uwagę przy ustalaniu PBI:
Wszystkie ważne informacje należy przechowywać w
sejfie, także dokumentację zawierającą opis procesów
i procedur bezpieczeństwa, instrukcje obsługi używanych
systemów informatycznych,
Należy prowadzić rejestr wydruków, używanego sprzętu,
oprogramowania, wyposażenia komputerowego i
biurowego, a także sieci komputerowej,
Należy zadbać o odpowiedni wybór mediów
transmisyjnych: firm kurierskich, pocztowych, rodzaju
sieci komputerowej, systemów kodowania itp
27
Polityka Bezpieczeństwa
Informacji:
Bezpieczeństwo informacji obejmuje
bezpieczeństwo teleinformatyczne oraz
informację znajdującą się poza systemami
teleinformatycznymi, występującą w postaci
dokumentów papierowych, mikrofilmów, a
także w postaci zapamiętanej i wymienianej
przez człowieka bezpośrednio lub za
pomocą środków łączności.
28
Polityka Bezpieczeństwa
Informacji:
Podstawową rolę dla współczesnych instytucji odgrywa
elektroniczna postać informacji, stąd też
bezpieczeństwo informacyjne utożsamiane jest często
z bezpieczeństwem teleinformatycznym.
Bezpieczeństwo systemu informacyjnego jest
odpowiednim powiązaniem środków ochrony z
dodatkowymi rozwiązaniami uwzględniającymi specyfikę
firmy, a tym samym  jej systemu informacyjnego wraz z
urządzeniami technicznymi i ludz
mi obsługującymi te
urządzenia oraz ludz
mi spełniającymi wyznaczone im
funkcje ochronne, a także stosownymi dokumentami
legislacyjnymi.
29
Przestępstwa związane
z komunikacją elektroniczną:
1. Przestępstwa przeciwko poufności, integralności i dostępności
danych i systemów komputerowych, takie jak:
nielegalny dostęp,
nielegalne przechwytywanie danych,
ingerencje w dane,
ingerencje w system,
niewłaściwe użycie urządzeń lub programów komputerowych.
2. Przestępstwa z użyciem komputera:
fałszerstwo komputerowe,
oszustwo komputerowe.
3. Przestępstwa komputerowe związane z treścią informacji,
4. Przestępstwa komputerowe związane z naruszeniem praw
autorskich i pokrewnych.
30
Typy przestępstw związanych
z użyciem komputerów [Zalewska 2005, s. 2] :
oszustwo komputerowe,
oszustwo telekomunikacyjne,
fałszerstwo komputerowe,
nielegalne uzyskanie programu komputerowego,
paserstwo programu komputerowego,
szpiegostwo komputerowe,
sprowadzanie niebezpieczeństwa powszechnego
na skutek zakłócenia procesów automatycznego
przetwarzania informacji.
31