Ochrona informacji niejawnych
Podstawowe pojęcia
Ochrona informacji niejawnych
Podstawowe pojęcia
Ochrona informacji niejawnych
Zgodnie z definicją zawartą w Słowniku
współczesnym języka polskiego informacja
oznacza „element wiedzy przekazywanej
za pomocą języka lub innego kodu i
stanowi czynnik zmniejszający stopień
niewiedzy
o
jakimś
zjawisku,
umożliwiający człowiekowi polepszenie
znajomości otoczenia i sprawniejsze
przeprowadzenie celowego działania".
Ochrona informacji niejawnych
Określenie „dane" używa się najczęściej
do
oznaczania
informacji
nie
przetworzonej, czyli są to surowe liczby i
fakty odzwierciedlające pojedynczy aspekt
otaczającej nas rzeczywistości.
Natomiast dane zaprezentowane w
sposób mający określone znaczenie, tzn.
opracowane, są „informacjami"
Ochrona informacji niejawnych
Nośnik informacji to przedmiot
umożliwiający fizyczne zapisanie danego
rodzaju informacji, a także jej późniejsze
odczytanie (odtworzenie).
Natomiast pod pojęciem
informatyczny nośnik danych należy
rozumieć „materiał lub urządzenie służące
do
zapisywania,
przechowywania
i
odczytywania danych w postaci cyfrowej”
Ochrona informacji niejawnych
Pożądane cechy informacji:
• jakość,
• aktualność,
• ilość,
• istotność (przydatność dla potrzeb zarządzania),
• dokładność,
• elastyczność,
• jednoznaczność,
• rzetelność,
• wartość i wystarczalność.
Ochrona informacji niejawnych
Jakość oznacza, że im informacja
jest dokładniejsza, tym ma wyższą
jakość i z tym większą pewnością
kierownicy mogą na niej polegać przy
podejmowaniu
decyzji.
Koszt
uzyskania informacji rośnie wraz ze
wzrostem jej jakości.
Ochrona informacji niejawnych
Aktualność - aby móc podjąć
właściwe
i
skuteczne
decyzje,
informacje
muszą
trafiać
we
właściwym czasie. Nawet dokładna
informacja, ale po czasie, jest
bezużyteczna.
Ochrona informacji niejawnych
Ilość - brak informacji powoduje,
że nie można opracować właściwych
działań, jednak z drugiej strony ich
nadmiar sprawia, iż szefowie nie
mogą wyłowić w zalewie wielu innych
tej potrzebnej i muszą tracić czas na
ich analizowanie.
Ochrona informacji niejawnych
Istotność
-
związek
pomiędzy
otrzymywanymi
informacjami,
a
realizowanymi zadaniami jednostki
organizacyjnej
i
jej
zakresem
uprawnień.
Ochrona informacji niejawnych
Dokładność - oznacza stopień
bliskości uzyskanej wartości atrybutu
z wartością rzeczywistą. Wartości
rzeczywistej nie znamy, znamy tylko
mniej lub bardziej dokładny wynik
pomiaru,
mniejszy
lub
większy
stopień zgodności z rzeczywistym
obiektem.
Ochrona informacji niejawnych
Elastyczność - to zdolność do
zaspokojenia obecnych i przyszłych
potrzeb różnych użytkowników. Jest
zależna od sposobu grupowania,
poziomu
uogólnienia,
metody
udostępniania
i
aktualności
informacji.
Ochrona informacji niejawnych
Jednoznaczność - oznacza
stosowanie języka i pojęć, które nie
budzą wątpliwości i mają dokładnie
określone znaczenie.
Ochrona informacji niejawnych
Rzetelność - to staranność,
obiektywność,
poprawność
sporządzania
danych
i
opracowywania komunikatu, którego
treść stanowi informację, może być
obniżona przez odbiorcę, jak i
pomijanie niektórych danych.
Ochrona informacji niejawnych
Wartość
-
odwrotność
prawdopodobieństwa
wystąpienia
danego zdarzenia, którego dotyczy
informacja.
Ochrona informacji niejawnych
Wystarczalność - oznacza
taką informację, która umożliwia
racjonalne działanie, podejmowanie
decyzji.
Ochrona informacji niejawnych
Informacją niejawną
jest wiedza,
dokument
lub
materiał,
których
ujawnienie
osobom
nieuprawnionym
spowodowałoby lub mogłoby spowodować
szkody dla Rzeczypospolitej Polskiej, bądź
narazić na szkodę interes społeczny lub
prawnie chroniony interes obywateli albo
jednostki organizacyjnej
.
Ochrona informacji niejawnych
System informacyjny
to
urządzenia,
narzędzia,
metody
postępowania i procedury stosowane
w
procesie
wytwarzania,
przechowywania, przetwarzania i
dystrybucji informacji.
Ochrona informacji niejawnych
Przetwarzaniem informacji
niejawnych
- są wszelkie operacje
wykonywane
w
odniesieniu
do
informacji niejawnych i na tych
informacjach, w szczególności ich
wytwarzanie,
modyfikowanie,
kopiowanie,
klasyfikowanie,
gromadzenie,
przechowywanie,
przekazywanie lub udostępnianie.
Ochrona informacji niejawnych
Bezpieczeństwo informacji
to stan,
który polega na uniemożliwieniu i
utrudnieniu zdobycia, wniesienia entropii
informacyjnej
(zmiany
treści),
bądź
destrukcji fizycznej nośników danych
(zamierzonego ich zniszczenia).
Ochrona informacji niejawnych
Polityka bezpieczeństwa
informacji
jest
zbiorem
spójnych,
precyzyjnych reguł i procedur, według
których dana organizacja buduje, zarządza
oraz
udostępnia
swoje
zasoby
i
i
.
Czyli, polityka bezpieczeństwa
informacji określa, które zasoby i w jaki
sposób mają być chronione.
Ochrona informacji niejawnych
Do zapewnienia bezpieczeństwa posiadanym
informacjom niejawnym, obligują następujące
ustawy:
• O ochronie informacji niejawnych (Dz.U. z 2010 r.
nr 182 poz. 1228),
• O ochronie danych osobowych (t.j Dz.U. z 2002 r.
nr 101 poz. 926 z późn. zm.),
• O dostępie do informacji publicznej (Dz.U. z
2001 r. nr 112 poz. 1198 z późn. zm.),
• O prawie autorskim i prawach pokrewnych (t.j.
Dz.U. z 2006 r. nr 90 poz. 631 z późn. zm.).
Ochrona informacji niejawnych
Właściwościami bezpieczeństwa
informacji są:
• tajność,
• poufność,
• integralność danych,
• dostępność,
• autentyczność,
• rozliczalność,
• niezawodność.
Ochrona informacji niejawnych
Bezpieczeństwo
informacyjne
to
element
ogólnego
systemu
bezpieczeństwa obejmujący ochronę
systemów transmisji i dystrybucji
informacji przed atakami sieciowymi
(działalnością
grup
świadomie
manipulujących przekazem), oraz
wszelkiego
rodzaju
zagrożeniami
fizycznymi.
Ochrona informacji niejawnych
Bezpieczeństwo
teleinformatyczne
to
zakres
przedsięwzięć, który ma na celu
uniemożliwienie
niepowołanym
osobom dostępu do systemów i sieci
teleinformatycznych (TI).
Ochrona informacji niejawnych
Bezpieczeństwo teleinformatyczne obejmuje:
• ochronę fizyczną (strefy bezpieczeństwa, środki
zabezpieczające pomieszczenia),
• ochronę
elektromagnetyczną
(strefy
bezpieczeństwa, urządzenia o obniżonej emisji lub
ekranowanie),
• ochronę kryptograficzną (szyfrowanie i inne
mechanizmy zapewniające poufność, integralność,
uwierzytelnienie),
• bezpieczeństwo transmisji (kontrola dostępu lub
szyfrowanie przy podłączeniu do powszechnie
dostępnej sieci),
• kontrolę
dostępu
(uprawnienia,
hasła
i
mechanizmy kontroli dostępu).
Ochrona informacji niejawnych
System ochrony informacji – to
zespół
wzajemnie
powiązanych
i
uzupełniających się środków, a także
przedsięwzięć
organizacyjnych,
technicznych
i
prawnych
uniemożliwiających nieuprawniony dostęp
i
nieuprawnione
rozpowszechnianie
informacji niejawnych.
Ochrona informacji niejawnych
System ochrony informacji niejawnych
składa się z trzech podsystemów:
• podsystemu normatywno-prawnego (ustawy, akty
wykonawcze, decyzje, rozkazy, wytyczne, instrukcje,
procedury),
• podsystemu
przedmiotowo-funkcjonalnego
(bezpieczeństwo osobowe, bezpieczeństwo fizyczne,
bezpieczeństwo
sieci
i
systemów
teleinformatycznych,
• podsystemu
strukturalno-organizacyjnego
(pełnomocnik ochrony, pion ochrony, administrator
sieci i systemów teleinformatycznych).
Ochrona informacji niejawnych
Chronić informację można w formie
prawnej, technologicznej i organizacyjnej.
• Prawna forma ochrony koncentruje się
na
zakazach
w
rozpowszechnianiu
informacji o niejawnym charakterze,
określeniu sankcji prawnych, grożących
osobom łamiącym przepisy ustawowe,
określeniu
informacji
powszechnie
dostępnej, zwanej informacją publiczną.
Ochrona informacji niejawnych
• Ochrona technologiczna koncentruje się
na zapewnieniu dostępu do elektronicznych
systemów transmisji informacji zgodnie z
tzw.
kodami
dostępu
dla
osób
uprawnionych do korzystania z nich, a
także
na
ochronie
systemów
przed
niepowołanymi wtargnięciami.
• Ochrona organizacyjna, to połączenie
ochrony prawnej z ochroną technologiczną.
Ochrona informacji niejawnych
Co najczęściej chronimy?
• nośniki informacji,
• systemy
przetwarzania
(np.
finansowo-
księgowe),
• tajemnicę przedsiębiorstwa,
• ewidencję wartości materialnych i prawnych,
• dane osobowe,
• zarządzenia, regulaminy, procedury,
Ochrona informacji niejawnych
• aplikacje informatyczne,
• informacje upublicznione,
• bazy danych (głównie gospodarcze),
• tajemnice
firmy
opatrzone
odpowiednią klauzulą,
• oraz inne, podlegające ochronie z
mocy prawa.
Ochrona informacji niejawnych
Normy Międzynarodowej
Organizacji Normalizacyjnej (ISO):
• PN-I-13335-1:
1999
„Wytyczne
do
zarządzania bezpieczeństwem systemów
informatycznych – Pojęcia i modele
bezpieczeństwa
systemów
informatycznych”
• ISO/IEC TR 13335-2:2003 „Zarządzanie
i planowanie bezpieczeństwa systemów
informatycznych”
Ochrona informacji niejawnych
• ISO/IEC TR 13335-3:2003 „Techniki
zarządzania bezpieczeństwem systemów
informatycznych”,
• PN ISO/IEC 17799:2003 „Praktyczne
zasady zarządzania bezpieczeństwem
informacji”,
• PN
I
-
07799-2:2005
„Systemy
zarządzania bezpieczeństwem informacji
– Specyfikacja i wytyczne stosowania”.
Ochrona informacji niejawnych
Na dzień dzisiejszy najpopularniejszym
standardem
bezpieczeństwa
informacji, na zgodność z którym
przeprowadzane są certyfikacje, jest
norma
PN ISO/IEC 27001:2007 „Praktyczne
zasady
zarządzania
bezpieczeństwem informacji”