68

BEZPIECZNA FIRMA

HAKIN9 1/2010

W

raz z rozwojem społeczeństwa
informacyjnego pojawiła się
potrzeba standaryzacji zagadnień

związanych z bezpieczeństwem informacji. W
normie terminologicznej PN-ISO/IEC 2382-8:
2001 Technika informatyczna -Terminologia
– Bezpieczeństwo nie znajdziemy definicji
bezpieczeństwa informacji. Operuje ona
pojęciem bezpieczeństwa danych rozumianym
jako bezpieczeństwo systemu informatycznego
odniesione do danych. Zaś samo bezpieczeństwo
systemu informatycznego definiuje jako ochronę
danych i zasobów przed przypadkowymi lub
złośliwymi działaniami, zwykle poprzez podjęcie
odpowiednich przedsięwzięć. Złośliwymi
działaniami mogą być: modyfikacja, zniszczenie,
dostęp, ujawnienie lub pozyskanie, jeśli działania
te są nieuprawnione. Natomiast ochronę danych
określa jako wdrożenie środków administracyjnych,
technicznych lub fizycznych w celu ochrony przed
nieuprawnionym dostępem do danych.

W drugiej normie terminologicznej PN-

I-02000: 2002 Technika informatyczna
– Zabezpieczenia w systemach
informatycznych – Terminologia znajdziemy
termin bezpieczeństwa informacji rozumiany
jako system informatyczny wraz z systemem
bezpieczeństwa komunikacji, składający się
z wytycznych i procedur administracyjnych,
przeznaczony do identyfikowania, nadzoru
i ochrony informacji przed nieuprawnionym
ujawnieniem. Natomiast ochronę danych

ANDRZEJ GUZIK

Z ARTYKUŁU

DOWIESZ SIĘ

jak zapewnić bezpieczeństwo

informacji w organizacji.

CO POWINIENEŚ

WIEDZIEĆ

znać podstawowe wymagania

dotyczące bezpieczeństwa

informacji.

norma definiuje tak jak norma PN-ISO/IEC
2382-8: 2001.

Warto w tym miejscu zwrócić uwagę na

rozgraniczenie angielskiego słowa security
i safety, tłumaczonych jako bezpieczeństwo.
Autorzy tłumaczenia normy przyjęli, że termin
security oznacza wszelkie zabezpieczenia
chroniące system informatyczny i jego zasoby
przed szkodliwym oddziaływaniem otoczenia. Zaś
termin safety oznacza wszelkie zabezpieczenia
chroniące otoczenie przed szkodliwymi lub
wręcz katastroficznymi oddziaływaniami systemu
informatycznego na otoczenie systemu.

Standardy

bezpieczeństwa informacji

Przejdźmy do standardów o fundamentalnym
znaczeniu dla bezpieczeństwa informacji.
Wśród nich należy wymienić: raporty ISO/IEC
TR 13335 oraz normę ISO/IEC 17799.

W Polsce ukazały się 3 spośród 5 części

raportów technicznych ISO/IEC TR 13335.
Część 1 ukazała się jako polska norma
PN-I-13335-1: 1999 Technika informatyczna
- Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych - Pojęcia i modele
bezpieczeństwa systemów informatycznych,
część 2 i 3 jako raporty techniczne: ISO/IEC TR
13335-2 Technika informatyczna - Wytyczne
do zarządzania bezpieczeństwem systemów
informatycznych Część 2: Zarządzanie i
planowanie bezpieczeństwa systemów

Stopień trudności

Bezpieczeństwo

informacji

Zapewnienie bezpieczeństwa informacji w organizacji wymaga

wdrożenia systemu zarządzania bezpieczeństwem informacji

(SZBI). Polskie normy dotyczące bezpieczeństwa informacji

obok przepisów prawa i standardów branżowych stanowią

tzw. najlepsze praktyki, wytyczne lub wymagania dla SZBI.

Informacja odgrywa w naszych czasach coraz większą rolę i w funkcjonowaniu

przedsiębiorstw staje się ważniejsza niż dostęp do kapitału.

Alvin Tofler

69

BEZPIECZEŃSTWO INFORMACJI

HAKIN9

1/2010

informatycznych oraz ISO/IEC TR 13335-
3 Technika informatyczna - Wytyczne do
zarządzania bezpieczeństwem systemów
informatycznych Część 3: Techniki
zarządzania bezpieczeństwem systemów
informatycznych.

W Polsce nie przetłumaczono 4

części raportu: ISO/IEC 13335-4: Wybór
zabezpieczeń oraz części 5 raportu: ISO/
IEC 13335-5: Zabezpieczenie połączeń
zewnętrznych.

Polska norma PN-I-13335-1 zawiera

wytyczne dotyczące zarządzania
bezpieczeństwem systemów
informatycznych. Materiał ten może
być przydatny dla kierownictwa
odpowiedzialnego za bezpieczeństwo
systemów informatycznych oraz dla
osób, które odpowiadają za całościowy
program bezpieczeństwa w instytucji.

W rozumieniu normy bezpieczeństwo

systemu informatycznego to wszystkie
aspekty związane z definiowaniem,
osiąganiem i utrzymywaniem poufności,
integralności, dostępności, rozliczalności,
autentyczności i niezawodności. W
normie przedstawiono podstawowe
pojęcia dotyczące bezpieczeństwa
teleinformatycznego, takie jak: zasób,
podatność, zagrożenia, następstwo, ryzyko,
zabezpieczenie lub ryzyko szczątkowe.
W formie prostych modeli pojęciowych
pokazano związki zachodzące między nimi.

W normie przedstawiono również

podstawowe procesy związane z
procesem zarządzania bezpieczeństwem
systemów informatycznych.
Wyodrębniono trzy podstawowe procesy:
proces zarządzania konfiguracją,
proces zarządzania zmianami i proces
zarządzania ryzykiem.

Autorzy normy zwracają uwagę na

ograniczenia organizacyjne, finansowe,
środowiskowe, osobowe, czasowe,
prawne, techniczne, kulturowe i społeczne,
które należy wziąć pod uwagę wybierając
i implementując zabezpieczenia w
ramach budowy sytemu bezpieczeństwa
instytucji.

Raport techniczny ISO/IEC 13335-

2, wydanie polskie – Polski Komitet
Normalizacyjny 2003, zawiera wytyczne do
zarządzania i planowania bezpieczeństwa
systemów teleinformatycznych.
Raport ten może być przydatny dla

kierownictwa odpowiedzialnego za
systemy informatyczne w instytucji.
Zarządzanie bezpieczeństwem systemów
informatycznych instytucji jest procesem,
który ma służyć osiąganiu i utrzymaniu
odpowiedniego poziomu poufności,
integralności, dostępności, rozliczalności,
autentyczności i niezawodności. Punktem
startu jest ustalenie celów instytucji
dotyczących bezpieczeństwa systemów
informatycznych. Cele te powinny
wynikać z celów biznesowych instytucji.
Zarządzanie bezpieczeństwem systemów
informatycznych obejmuje między innymi
takie działania jak: określenie celów, strategii
i polityki bezpieczeństwa, określenie
wymagań w zakresie bezpieczeństwa,
wybór strategii analizy ryzyka, wybór
zabezpieczeń, opracowanie planu
zabezpieczeń systemu/-ów informatycznych
instytucji, monitorowanie procesu ich
wdrażania, przygotowanie personelu
(szkolenia, działania uświadamiające) oraz
czynności po wdrożeniu zabezpieczeń, takie
jak: utrzymanie zabezpieczeń, zgodność z
planem zabezpieczeń, monitorowanie oraz
obsługa incydentów.

Warto w tym miejscu zwrócić uwagę

na organizację służb odpowiedzialnych za
bezpieczeństwo w instytucji, a mianowicie:
komitetu bezpieczeństwa systemów
informatycznych, głównego inspektora
bezpieczeństwa systemów informatycznych,
inspektorów bezpieczeństwa projektu/
systemu informatycznego. Zasadniczą
sprawą dla efektywności działań w zakresie
zapewnienia bezpieczeństwa systemów
informatycznych instytucji jest poparcie ze
strony najwyższego kierownictwa instytucji.

Poparcie to musi być faktyczne, a nie tylko
deklaratywne.

Raport techniczny ISO/IEC 13335-

3, wydanie polskie – Polski Komitet
Normalizacyjny 2003, zawiera wytyczne
do zarządzania bezpieczeństwem
systemów informatycznych. Zarządzanie
bezpieczeństwem systemów
informatycznych obejmuje analizę
wymagań bezpieczeństwa, stworzenie
planu, który zapewni spełnienie tych
wymagań, wdrożenie tego planu oraz
utrzymanie i administrowanie wdrożonymi
zabezpieczeniami. Proces ten rozpoczyna
się od określenia celów i strategii
instytucji w dziedzinie bezpieczeństwa
systemów informatycznych oraz od
opracowania polityki bezpieczeństwa
instytucji w zakresie systemów
informatycznych. Ważną częścią procesu
zarządzania bezpieczeństwem systemów
informatycznych jest oszacowanie i analiza
ryzyka, ponieważ w oparciu o wyniki
analizy ryzyka dobiera się zabezpieczenia.
Zastosowane zabezpieczenia powinny
być efektywne kosztowo i uwzględniać
wymagania wynikające z przepisów
prawa, wymagania biznesowe i
wymagania z analizy ryzyka zasobów
posiadających wartość dla działania
instytucji. Ryzyko, jakie powstaje po
wprowadzeniu zabezpieczeń, nazywamy
ryzykiem szczątkowym. Również dokument
polityki bezpieczeństwa powinien zawierać
m. in. podejście do zarządzania ryzykiem,
strategię dla analizy ryzyka i części
składowe tej analizy (metody i techniki).
Przyjęta strategia analizy ryzyka powinna
uwzględniać warunki charakterystyczne

Rysunek 1.

Zależności pomiędzy elementami bezpieczeństwa

����������

��

��

��

��

��

��

��

��

��

�

�

�

�

�

�

�

��

��

��

������

��������

����������

����������������������

�������������������

���������������

�������������

BEZPIECZNA FIRMA

70

HAKIN9 1/2010

71

HAKIN9

1/2010

BEZPIECZEŃSTWO INFORMACJI

dla jednostki organizacyjnej i
koncentrować się na działaniach
związanych z bezpieczeństwem, tam gdzie
są one naprawdę potrzebne.

W raporcie przedstawiono cztery

warianty podejścia do analizy ryzyka:
podejście podstawowego poziomu
bezpieczeństwa, podejście nieformalne,
szczegółową analizę ryzyka i podejście
mieszane. Podstawowa różnica pomiędzy
nimi dotyczy stopnia szczegółowości
analizy ryzyka.

Podejście podstawowego poziomu

bezpieczeństwa polega na wprowadzeniu
standardowych zabezpieczeń niezależnie
od ryzyka wynikającego z analizy
zasobów, zagrożeń i podatności.

Podejście nieformalne polega na

wykorzystaniu wiedzy i doświadczenia
ekspertów, koncentruje się na zasobach
narażonych na wysokie ryzyko.

Z kolei szczegółowa analiza ryzyka

wymaga identyfikacji i wyceny aktywów,
oszacowania zagrożeń oraz oszacowania
podatności.

Podejście czwarte, podejście

mieszane obejmuje dwa etapy. W
pierwszym etapie przeprowadza się
ogólną analizę ryzyka dla wszystkich
zasobów z uwzględnieniem ich
wartości biznesowej i ryzyka, na które
są one narażone. Dla wszystkich
zidentyfikowanych zasobów, które są
ważne dla instytucji i narażone na
wysokie ryzyko należy przeprowadzić
później szczegółową analizę ryzyka.
W drugim etapie dla pozostałych
zasobów należy zastosować
podejście podstawowego poziomu
bezpieczeństwa.

Przyjęcie podejścia mieszanego

zalecane jest dla większości instytucji.

Jest ono najbardziej efektywne
– szczegółowa analiza ryzyka dla zasobów
posiadających wartość lub narażonych
na wysokie ryzyko, a dla pozostałych
zasobów zastosowanie podstawowego
poziomu bezpieczeństwa – wdrożenie
standardowych zabezpieczeń. Wdrożeniu
zabezpieczeń powinien towarzyszyć również
program uświadamiania i szkoleń, ważny
dla uzyskania efektywności zabezpieczeń.

Nie należy zapominać o dalszych

działaniach po wdrożeniu zabezpieczeń.
Działania te powinny obejmować m. in.
konserwację, sprawdzenie zgodności z
zasadami bezpieczeństwa, zarządzanie
zmianami, monitorowanie oraz
postępowanie w przypadku incydentów.

Warto również zwrócić uwagę na

załączniki do raportu. Mają one charakter
praktyczny. Załącznik A zawiera przykład
spisu treści polityki bezpieczeństwa instytucji
w zakresie systemów informatycznych,
załącznik B omawia wycenę aktywów,
załącznik C przedstawia listę kontrolną
możliwych typów zagrożeń, załącznik D
zawiera przykłady typowych podatności, zaś
załącznik E przykłady wykorzystania różnych
metod analizy ryzyka.

Zarządzanie

bezpieczeństwem informacji

Norma PN-ISO/IEC 17799: 2007
Technika informatyczna – Techniki
bezpieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem
informacji jest pierwszym standardem
obejmującym kompleksowo zarządzanie
bezpieczeństwem informacji. Celem tej
normy jest wdrożenie mechanizmów
zarządzania, które zapewnią, że
bezpieczeństwo informacji będzie istotnym
elementem funkcjonowania organizacji.

Rysunek 2.

Związki w zarządzaniu ryzykiem

������

��������������

����������

���������
����������

�������

��������

�����������������

��������������

����������
�����������

������������

����������

��������

������

���������

�����������

�����

��������

�����

����������

�����������

����������

�������

��������

����������

Tabela 1.

Atrybuty informacji podlegające ochronie

Atrybuty

Informacji

ISO

17799

Informacje niejawne

Dane

osobowe

Tajemnica

przedsiębiorstwa

Inne

tajemnice

Poufność

Tak

Tak

Tak

Tak

Tak

Integralność

Tak

Tak

Tak

-

-

Dostępność

Tak

Tak

-

-

-

Rozliczalność

Tak

-

Tak

-

-

Autentyczność

Tak

-

-

-

-

Niezaprzeczalność

Tak

-

-

-

-

Niezawodność

Tak

-

-

-

BEZPIECZNA FIRMA

70

HAKIN9 1/2010

71

HAKIN9

1/2010

BEZPIECZEŃSTWO INFORMACJI

Norma zawiera wytyczne zarządzania
bezpieczeństwem informacji. Dotyczy
wszystkich obszarów bezpieczeństwa:
fizycznego i środowiskowego, osobowego,
IT, zarządzenia ciągłością działania i
zapewnienia zgodności z przepisami prawa.

Zgodnie z normą informacja jest

aktywem, który podobnie jak inne ważne
aktywa biznesowe, ma dla instytucji
wartość i dlatego należy ją odpowiednio
chronić. Dotyczy to zarówno ochrony
informacji własnych instytucji, jak i
zapewnienia bezpieczeństwa informacji
udostępnionych przez klienta.

Bezpieczeństwo informacji według

normy oznacza ochronę informacji
przed różnymi zagrożeniami w taki
sposób, aby zapewnić ciągłość
działania – realizację celów statutowych
instytucji, zminimalizowanie strat i
zmaksymalizowanie zwrotu nakładów
na inwestycje i działania o charakterze
biznesowym. Norma odnosi się do 3
aspektów informacji podlegających
ochronie: poufności – zapewnienie dostępu
do informacji tylko osobom upoważnionym,
integralności – zapewnienie dokładności
i kompletności informacji i metod jej
przetwarzania, dostępności – zapewnienia,
że osoby upoważnione mają dostęp do
informacji i związanych z nią aktywów
wtedy, gdy jest im to potrzebne.

W przypadku informacji biznesowych

stanowiących tajemnicę przedsiębiorstwa
największe znaczenie dla bezpieczeństwa
informacji ma ochrona poufności, tzn.,
informacja nie powinna być udostępniana
lub ujawniana nieautoryzowanym
osobom, podmiotom lub procesom.

Norma PN-ISO/IEC 27001: 2007

Technika informatyczna – Techniki
bezpieczeństwa – Systemy zarządzania
bezpieczeństwem informacji – Wymagania
definiuje system zarządzania
bezpieczeństwem informacji (SZBI).
Powinien on stanowić część składową
systemu zarządzania instytucją i być
oparty na podejściu wynikającym z
ryzyka biznesowego. Norma zaleca
podejście systemowe oparte na ciągłym
doskonaleniu zgodnie z cyklem PDCA (Plan-
Do-Check-Act) Deminga obejmującym:
ustanowienie, wdrożenie, eksploatację,
monitorowanie, przegląd, a także utrzymanie
i doskonalenie SZBI.

Norma oparta jest podobnie jak

norma ISO 9001: 2000 i norma ISO
14001: 2004 na zasadach podejścia
procesowego. Umożliwia instytucji budowę
zintegrowanego systemu zarządzania:
zarządzania jakością w oparciu o normę
ISO 9001 i zarządzania bezpieczeństwem
informacji w oparciu o normę ISO 27001.
Wdrożenie w instytucji zintegrowanego
systemu zarządzania może przynieść

organizacji szereg korzyści: pozwoli objąć
systemem wszystkie obszary działania
firmy, zwrócić uwagę na ochronę informacji
i jej wartość, zwiększyć zainteresowanie
technologiami ICT, spowodować
prowadzenie analizy i zarządzania ryzykiem,
zapewnić opracowanie planów ciągłości
działania, przyczynić się do uzyskania
przewagi nad konkurencją i poprawić
wizerunek firmy.

Rysunek 3.

Model PDCA stosowany w procesach SZBI

������

������

�������

����

�������

�����

�����������������

��������������

������

��������������

������

����������

�������������

���������

��������������

����������

�����������

����������������

����������

������������

����

���������

�������������������

����������

�������������������

�������������

���������������

Tabela 2.

Stopnie dojrzałości organizacji do zarządzania bezpieczeństwem informacji

Stopień

Nazwa

Charakterystyka

0

Brak

świadomości

• brak zdefiniowania wymagań bezpieczeństwa

• bezpieczeństwo traktowane jest jako problem

poszczególnych użytkowników

I

Początkowy

• świadomość potrzeby

• kierownictwo uważa to za problem IT (typu: prawa

dostępu, ochrona antywirusowa)

II

Intuicyjny

• próby tworzenia zabezpieczeń

• brak jednolitego podejścia

• efekty zależne od zaangażowania osób

zainteresowanych

III

Zdefiniowany

• zdefiniowane zasady (w tym Polityka

bezpieczeństwa) w całej organizacji

• procedury bezpieczeństwa są utrzymywane i

komunikowane

• brak kontroli stosowania

IV

Zarządzany

• jednolite podejście dla wszystkich komórek i

wszystkich rozwiązań

• obowiązuje perspektywa biznesu

• funkcjonuje mechanizm kontroli stosowania

V

Optymalizowany

• świadome zarządzanie ryzykiem

• zgodność strategii bezpieczeństwa ze strategią

biznesową

• zapewnienie bezpieczeństwa traktowane jako

proces (wiedza, doskonalenie)

BEZPIECZNA FIRMA

72

HAKIN9 1/2010

73

HAKIN9

1/2010

BEZPIECZEŃSTWO INFORMACJI

W załączniku A do normy

przedstawiono cele stosowania
zabezpieczeń i zabezpieczenia, które
należy wybrać w przypadku podjęcia
decyzji o wdrożeniu w instytucji SZBI.
Norma może być przydatna dla każdej
organizacji, niezależnie od wielkości, czy
branży, niezależnie od tego, czy instytucja
będzie ubiegać się o certyfikację
systemu zarządzania bezpieczeństwem
informacji, czy nie. Do certyfikacji systemu
zarządzania bezpieczeństwem informacji

przeznaczona jest norma BS 7799-2 (PN-
ISO/IEC 27001: 2007).

Oprócz normy ISO 17779

istnieją inne standardy dotyczące
bezpieczeństwa. Przykładem
może być standard Wytyczne w
sprawie bezpieczeństwa systemów
informacyjnych wydany przez
Organizację Rozwoju i Współpracy
Gospodarczej (OECD), która zrzesza
najbardziej uprzemysłowione kraje
świata, w tym Polskę. Wytyczne te mogą

stanowić uzupełnienie norm dotyczących
bezpieczeństwa informacji.

W przypadku outsourcingu usług

związanych z IT, pamiętajmy o sprawdzeniu
referencji firmy oraz kwalifikacji i
doświadczenia pracowników świadczących
usługę. Warto zadbać również o podpisanie
stosownej umowy o zachowaniu poufności
zarówno z firmą, jak i z każdym z jej
pracowników świadczących usługę. Na
koniec należy sprawdzić, czy wykonawca
posiada ważną polisę w zakresie
odpowiedzialności cywilnej obejmującą
zakres świadczonych usług. Posiadanie
przez pracowników firmy poświadczeń
bezpieczeństwa lub przez firmę świadectwa
bezpieczeństwa przemysłowego, to ważny
atut przy zawieraniu umowy.

Bezpieczeństwo osobowe

Człowiek jest najsłabszym elementem
systemu ochrony informacji. Jak wynika
ze statystyk, około 80 % incydentów
związanych z przetwarzaniem informacji
spowodowanych jest przez czynnik ludzki.
Powiedzenie kadry decydują o wszystkim
jest jak najbardziej prawdziwe. Należy o
nim pamiętać już na etapie rekrutacji i
zatrudniania personelu (należy zatrudniać
właściwych ludzi, sprawdzać ich referencje
z poprzednich miejsc pracy, szkolić
personel z procedur bezpieczeństwa,
ciągle podnosić jego świadomość,
rozdzielać kluczowe obowiązki pomiędzy
dwóch pracowników zgodnie z zasadą
dwóch par oczu).

Przetwarzanie informacji biznesowych,

stanowiących tajemnicę przedsiębiorstwa
wymaga, aby personel spełniał
dodatkowe wymagania. Uzyskanie
dostępu do tajemnicy przedsiębiorstwa
wymaga od pracownika podpisania
zobowiązania do jej zachowania.

W przypadku przetwarzania informacji

niejawnych pracownik powinien posiadać
poświadczenie bezpieczeństwa
uprawniające do dostępu do dokumentów
i materiałów o określonej klauzuli tajności
(ściśle tajne, tajne, poufne lub zastrzeżone).
Poświadczenie bezpieczeństwa daje
rękojmię zachowania tajemnicy przez
zainteresowanego. W przypadku
przetwarzania danych osobowych
administrator danych (przedsiębiorca)
wydaje osobie przetwarzającej dane

Tabela 3.

Podstawowe zasady ochrony informacji

Lp. Zasada

Treść zasady

1

Zasada przywilejów koniecznych Każdy użytkownik systemu informatycznego

posiada prawa ograniczone wyłącznie do

tych, które są konieczne do wykonywania

powierzonych mu zadań

2

Zasada wiedzy koniecznej

Pracownicy posiadają wiedzę o systemie

informatycznym, ograniczoną wyłącznie do

zagadnień, które są konieczne do realizacji

powierzonych zadań

3

Zasada usług koniecznych

Zakres dostępnych usług systemu jest

ograniczony tylko do tych, które są konieczne

do prawidłowego funkcjonowania organizacji

4

Zasada asekuracji

zabezpieczeń

Ochrona systemu informatycznego nie może

opierać się wyłącznie o jeden mechanizm

zabezpieczenia, nawet gdy zastosowana

technologia jest uznawana za wysoce

zaawansowaną i niezawodną

5

Zasada pracy zbiorowej

Wszyscy użytkownicy systemu

informatycznego są świadomi konieczności

ochrony wykorzystywanych zasobów

6

Zasada indywidualnej

odpowiedzialności

Za utrzymanie właściwego poziomu

bezpieczeństwa poszczególnych elementów

systemu informatycznego odpowiadają

konkretne osoby, które mają świadomość tego

za co są odpowiedzialne i jakie konsekwencje

poniosą jeżeli zaniedbają swoje obowiązki

7

Zasada obecności koniecznej

Prawo przebywania w określonych

pomieszczeniach mają wyłącznie osoby,

które są do tego upoważnione lub

posiadają tymczasową zgodę wydaną przez

odpowiedni organ nadzorczy

8

Zasada stałej gotowości

System ochrony jest przygotowany do odparcia

wszystkich realnych zagrożeń. Pod żadnym

pozorem nie może zdarzyć się sytuacja

tymczasowego wyłączenia zabezpieczeń,

która pozostawi określone elementy systemu

informatycznego bez ochrony

9

Zasada najsłabszego „ogniwa

łańcucha”

Poziom bezpieczeństwa systemu

informatycznego wyznacza najsłabszy

(najmniej zabezpieczony) element tego

systemu. Z reguły, włamanie do systemu

odbywa się poprzez wyszukiwanie luk w

systemie ochrony

BEZPIECZNA FIRMA

72

HAKIN9 1/2010

73

HAKIN9

1/2010

BEZPIECZEŃSTWO INFORMACJI

osobowe upoważnienie do przetwarzania
danych osobowych.

Warto w tym miejscu przytoczyć

zapisy §3 Rozporządzenia Ministra Pracy
i Polityki Socjalnej z dnia 28 maja 1996
r. w sprawie zakresu prowadzenia przez
pracodawców dokumentacji w sprawach
związanych ze stosunkiem pracy oraz
sposobu prowadzenia akt osobowych. Ww.
paragraf stanowi, że Pracodawca przed
dopuszczeniem pracownika do pracy
uzyskuje jego pisemne potwierdzenie
zapoznania się z treścią regulaminu pracy
oraz z przepisami i zasadami dotyczącymi
bezpieczeństwa i higieny pracy, a także z
zakresem informacji objętych tajemnicą
określoną w obowiązujących ustawach dla
umówionego z pracownikiem rodzaju pracy.
Warto na co dzień korzystać z tego zapisu.

Również w obrocie gospodarczym,

przed rozpoczęciem negocjacji
handlowych, coraz częściej obserwujemy
wśród przedsiębiorców praktykę
podpisywania umów o poufności.

Ryzyko wycieku informacji

gospodarczych z organizacji zmusza
przedsiębiorców do zajęcia się
problemem bezpieczeństwa personelu.
Najczęściej z firmy wyciekają informacje
biznesowe, dane personalne klientów
oraz własność intelektualna: pomysły

nowych rozwiązań, czy kody źródłowe
oprogramowania.

Jak wynika z praktyki, najczęściej

wyciekają informacje w postaci
dokumentów elektronicznych (z uwagi na
łatwość): najczęściej za pośrednictwem
poczty elektronicznej, komunikatorów
internetowych i sieci bezprzewodowych.
Cenne informacje pracownicy wynoszą
na nośnikach informatycznych: na
płytach CD/DVD, nagrane na pamięciach
USB, rzadziej w postaci dokumentów
papierowych (kserokopie). Zdarzają się
przypadki podkupywania pracowników,
kradzieży sprzętu, prowadzenia
podsłuchów, czy szpiegostwa
gospodarczego i przemysłowego.

Wdrożenie podstawowych zasad

bezpieczeństwa, a w szczególności
szyfrowanie informacji ogranicza
możliwość takich działań.

O bezpieczeństwie kadrowym musimy

myśleć już na etapie rekrutacji personelu,
następnie monitorować je czasie
trwania stosunku pracy, aż do momentu
rozwiązania z pracownikiem umowy o
pracę. Dotyczy to zwłaszcza kluczowego
personelu. Z menedżerami najwyższego

szczebla należy podpisać umowy o
zakazie konkurencji.

Ważne jest, aby na co dzień

przestrzegać zasady wiedzy koniecznej
(ang. need to know), a nie zasady
przyjemnie byłoby wiedzieć (ang. nice
to know). W oparciu o role w organizacji
pracownicy powinni posiadać określone
prawa i mieć zdefiniowany zakres dostępu
do zasobów informacyjnych, zwłaszcza w
systemach informatycznych. Uprawnienia
te powinny być okresowo przeglądane i
weryfikowane.

Indywidualnym dokumentem

określającym uprawnienia pracownika
w systemach teleinformatycznych
powinno być Upoważnienie do
przetwarzania danych. Pełni ono w
organizacji kilka funkcji. Uzupełnia
zapisy poczynione w umowie o pracę i
określa zadania pracownika związane
z realizacją polityki bezpieczeństwa
firmy. Specyfikuje dokumenty i programy
wraz z wymaganymi uprawnieniami
konieczne dla wykonywanej pracy. Jest
podstawą do instalacji oprogramowania
na stacji roboczej użytkownika i założenia
użytkownikowi konta w systemie/programie

Tabela 4.

Dobre praktyki w przetwarzaniu

dokumentów

Lp.

Praktyki

1

obieg dokumentów

kontrolowany (przekazywanie za

pokwitowaniem odbioru)

2

dostęp do dokumentów

elektronicznych zgodny z

przyznanymi uprawnieniami

3

udostępnianie dokumentów tylko

osobom uprawnionym

4

określona osobista

odpowiedzialność za

przetwarzanie dokumentów

5

dokumenty źródłowe

odpowiednio chronione

6

dostęp do pomieszczeń

kontrolowany

7

zapewnione warunki środowiskowe

w pomieszczeniach

8

kopie awaryjne wykonywane i

odpowiednio przechowywane

Normy, standardy, zalecenia

• PN-ISO/IEC 2382-8: 2001 Technika informatyczna – Terminologia – Bezpieczeństwo – norma

terminologiczna

• PN-I-02000: 2002 Technika informatyczna – Zabezpieczenia w systemach informatycznych

– Terminologia – norma terminologiczna

• PN-I-13335-1: 1999 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem

systemów informatycznych – Pojęcia i modele bezpieczeństwa systemów informatycznych

• ISO/IEC TR 13335-2 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem

systemów informatycznych Część 2: Zarządzanie i planowanie bezpieczeństwa systemów
informatycznych

• ISO/IEC TR 13335-3 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem

systemów informatycznych Część 3: Techniki zarządzania bezpieczeństwem systemów
informatycznych

• ISO/IEC 13335-4: Wybór zabezpieczeń
• ISO/IEC 13335-5: Zabezpieczenie połączeń zewnętrznych
• BS 7799-1 – standard opracowany przez BSI, definiuje wytyczne w zakresie ustanowienia,

wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia Systemu
Zarządzania Bezpieczeństwem Informacji (zastąpiony przez ISO/IEC 17799: 2005 i
przenumerowany później na ISO/IEC 27002:2005)

• BS 7799-2 – standard opracowany przez BSI, definiuje wymagania w zakresie

ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia
Systemu Zarządzania Bezpieczeństwem Informacji (zastąpiony przez ISO/IEC 27001: 2005)

• BS 7799-3 – standard opracowany przez BSI, dotyczy zarządzania ryzykiem w

bezpieczeństwie informacji (zastąpiony przez ISO/IEC 27005)

• BS 25999: 2006 – standard opracowany przez BSI, dotyczy zarządzania ciągłością

działania (zastąpił specyfikacje PAS-56)

• ISO/IEC TR 18044 – standard przedstawia dobre praktyki w zakresie zarządzania

incydentami bezpieczeństwa informacji.

BEZPIECZNA FIRMA

74

HAKIN9 1/2010

75

HAKIN9

1/2010

BEZPIECZEŃSTWO INFORMACJI

z wymaganym dostępem i wymaganymi
uprawnieniami. Wreszcie dokumentuje
wymagania polityki bezpieczeństwa
związane z przetwarzaniem zbiorów/
dokumentów, a w szczególności
przydzielanie wymaganego dostępu i
związanych z nim uprawnień. Dokumentuje
także potwierdzenie zapoznania się z
działaniem programów i z przepisami o
ochronie danych oraz zobowiązanie do
zachowania w tajemnicy przetwarzanych
danych i sposobu ich ochrony. Dobrą
praktyką jest, aby wszyscy pracownicy
podpisali stosowne zobowiązania o
poufności, a z kluczowymi pracownikami
zawarto umowy o zakazie konkurencji.

Zgodnie z normą ISO 17799

bezpieczeństwo osobowe ma na celu
ograniczenie ryzyka błędu ludzkiego,
kradzieży, oszustwa lub niewłaściwego
użytkowania zasobów.

W aktach osobowych pracownika

powinny znaleźć się stosowne zapisy
dotyczące zachowania poufności lub
nieujawniania informacji pozyskanych
w czasie stosunku pracy, jak i po jego
zakończeniu (np. umowa o zakazie
konkurencji) i zapisy dotyczące
odpowiedzialności pracownika za
ochronę (bezpieczeństwo) informacji.

Kevin Mitnick w swojej książce Sztuka

podstępu pisze łamałem ludzi nie hasła.
Dlatego też należy cyklicznie szkolić
własny personel, uświadamiać zagrożenia
i wskazywać na potrzebę ochrony
informacji biznesowych. Tematem szkoleń
powinny być procedury bezpieczeństwa,

wynikające z przyjętej w organizacji polityki
bezpieczeństwa informacji, zwłaszcza
zasady dostępu do informacji i obiegu
dokumentów, procedury udostępniania
i powierzania przetwarzania informacji
posiadających wartość gospodarczą.

Kluczowe znaczenie dla bezpieczeństwa

ekonomicznego organizacji ma odporność
własnego personelu na działania i metody
socjotechniczne stosowane przez osoby
zatrudnione w wywiadzie konkurencyjnym i
gospodarczym.

Ataki socjotechniczne są najtrudniejsze

do wykrycia i obrony. Ofiara ataku często
nie wie, że została zaatakowana, stąd
trudność w skutecznej obronie. Jedyne co
można zrobić, to kształtować świadomość
zagrożeń oraz opracować odpowiednie
procedury bezpieczeństwa.

Zapobieganie atakom socjotechnicznym

w organizacji wymaga szeregu
skoordynowanych działań. W pierwszej
kolejności należy opracować i wdrożyć
stosowne procedury bezpieczeństwa, a
następnie przyjąć politykę klasyfikacji danych
oraz określić, które informacje należy chronić,
najlepiej w postaci wykazu informacji
podlegających ochronie.

Po drugie, w celu kształtowania

świadomości bezpieczeństwa wśród
pracowników, należy prowadzić
systematycznie teoretyczne i praktyczne
szkolenia (minimum raz, a najlepiej dwa
razy w ciągu roku) z zakresu metod
przeciwdziałania atakom socjotechnicznym.
W trakcie szkoleń należy uświadamiać
pracownikom potencjalną możliwość

ataków socjotechnicznych. Pracownicy
na ogół nie czują zagrożenia, wydaje
im się, że są odporni na typowe ataki
socjotechniczne, stąd poczucie tzw.
fałszywego bezpieczeństwa. Rodzi się tu
pytanie, czy jesteśmy zagrożeni atakiem
socjotechnicznym.

Jak wynika ze statystyk, właściwym

pytaniem jest, kiedy nastąpi atak. Chodzi
o to, aby nie dać się zaskoczyć i być
przygotowanym na jego odparcie.

Program szkolenia pracowników

powinien obejmować analizę typowych
źródeł ataków socjotechnicznych, takich
jak: rozmowa telefoniczna, fax, e-mail,
strona WWW, kontakt osobisty oraz metody
obrony. Należy również przedstawić
szkolonym potencjalne skutki ataku, w
postaci strat finansowych, utraty prestiżu,
utraty konkurencyjności instytucji, utraty
prywatności pracowników – wycieku
danych osobowych, itp. W celu sprawdzenia
stanu bezpieczeństwa organizacji oraz
podatności jej pracowników na ataki
socjotechniczne wskazane jest okresowe
przeprowadzanie audytów bezpieczeństwa.

Skuteczność powyższych działań

zależy w głównej mierze od ustanowienia
jasnych, prostych i zwięzłych procedur
bezpieczeństwa oraz ciągłego
motywowania pracowników do ich
przestrzegania.

Polityka bezpieczeństwa organizacji

powinna zniechęcać do odstępowania od
procedur bezpieczeństwa poprzez system
kar i nagród. Należy wpoić pracownikom
zakaz udostępniania informacji, za

Atrybuty bezpieczeństwa informacji wg PN-I-13335-1

• Poufność (confidentiality) – właściwość zapewniająca, że informacja nie jest udostępniana

lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom.

• Autentyczność (authenticity) – właściwość zapewniająca, że tożsamość podmiotu

lub zasobu jest taka, jak deklarowana; autentyczność dotyczy takich podmiotów jak:
użytkownicy, procesy, systemy i informacja.

• Dostępność (availability) – właściwość bycia dostępnym i możliwym do wykorzystania

na żądanie, w założonym czasie przez autoryzowany podmiot.

• Integralność danych (data integrity) – właściwość zapewniająca, że dane nie zostały

zmienione lub zniszczone w sposób nieautoryzowany.

• Integralność systemu (system integrity) – właściwość polegająca na tym, że system

realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej
manipulacji, celowej lub przypadkowej.

• Integralność (integrity) – integralność danych i integralność systemu.
• Rozliczalność (accountability) – właściwość zapewniająca, że działania podmiotu mogą

być przypisane w sposób jednoznaczny tylko temu podmiotowi.

• Niezawodność (reliability) – właściwość oznaczająca spójne, zamierzone zachowanie i skutki.

Zagrożenia

dla zasobów

informatycznych

• Ogień.
• Woda.
• Zakłócenia w dostawach energii

elektrycznej.

• Zniszczenie mechaniczne sprzętu.
• Nieautoryzowany dostęp.
• Oprogramowanie szkodliwe.
• Nieautoryzowane wykorzystanie

sprzętu i oprogramowania.

• Nieprzestrzeganie prawa, w tym

prawa autorskiego.

• Kradzież sprzętu, oprogramowania,

danych.

BEZPIECZNA FIRMA

74

HAKIN9 1/2010

75

HAKIN9

1/2010

BEZPIECZEŃSTWO INFORMACJI

wyjątkiem informacji publicznych, do
momentu pozytywnej weryfikacji tożsamości
rozmówcy. Weryfikacja, weryfikacja i jeszcze
raz weryfikacja tożsamości pytającego,
to podstawa skutecznego zapobiegania
atakom socjotechnicznym.

Należy również zwrócić szczególną

uwagę na firmy wykonujące usługi
sprzątania i usługi ochrony fizycznej.
Organizacje bardzo często dość liberalnie
postępują w tych kwestiach. Powinniśmy
pamiętać o przeszkoleniu pracowników tych
firm w zakresie procedur bezpieczeństwa
instytucji, a zwłaszcza uczulić na kwestie
związane z kontrolą dostępu, dostępem
osób nieuprawnionych na teren organizacji.

Jedyną tak naprawdę skuteczną

metodą ochrony przed atakiem
socjotechnicznym jest zastosowanie
zabezpieczeń technologicznych
w kombinacji z procedurami
bezpieczeństwa. Procedury te powinny
określać podstawowe zasady
zachowania się pracowników.

Z jednej strony czynnik ludzki

stanowi najsłabszy element systemu
bezpieczeństwa, z drugiej strony jest jego
najsilniejszym ogniwem.

Jedynie te instytucje, które zainwestowały

w kapitał ludzki mogą czuć się bezpiecznie,
gdyż bezpieczeństwo informacji to przede
wszystkim stan świadomości.

Kształtowanie świadomości

pracowników to najlepsza, najbardziej
skuteczna, najtańsza i wciąż niedoceniana
metoda ochrony informacji, na którą stać
wszystkich przedsiębiorców bez względu
na wielkość instytucji. Poddaję to pod
rozwagę kierujących organizacjami.

Bezpieczeństwo

fizyczne i środowiskowe

Ochrona fizyczna jest najstarszą
metodą ochrony zasobów materialnych
i informacyjnych. Stanowi pierwszą
linię obrony. Jeżeli w przedsiębiorstwie
nie wdrożono podstawowych środków
ochrony fizycznej, to nie możemy
mówić o jakimkolwiek bezpieczeństwie.
Zastosowane środki ochrony fizycznej
kształtują wizerunek firmy wśród klientów i
zapewniają poczucie bezpieczeństwa jej
pracownikom.

Norma ISO 17799 dotycząca

zarządzania bezpieczeństwem informacji

stanowi, że celem bezpieczeństwa
fizycznego i środowiskowego jest
zapobieganie nieuprawnionemu dostępowi,
uszkodzeniom i ingerencji w pomieszczenia
instytucji i jej informacje. Natomiast
urządzenia do przetwarzania krytycznych
lub wrażliwych informacji powinny być
ulokowane w obszarach bezpiecznych,
chronionych wyznaczonym obwodem
zabezpieczającym z odpowiednimi
barierami i kontrolą wstępu.

Organizacje, często nie doceniają

mechanizmów ochrony fizycznej. Brak
odpowiednich zabezpieczeń fizycznych
może nieść za sobą katastrofalne
skutki, począwszy od kradzieży sprzętu,
komputerowych nośników informacji, czy
też awarii zasilania lub systemu klimatyzacji.
Brak zasobów, ich uszkodzenie, czy też ich
niedostępność może zakłócić ciągłość
funkcjonowania instytucji i realizacji przez
nią zadań statutowych.

Skuteczny system ochrony fizycznej

ma uniemożliwić dostęp osobom

nieuprawnionym do budynków i
pomieszczeń instytucji. Poprawnie
wyznaczone strefy dostępu (właściwie
zlokalizowane), odpowiednio zabezpieczone
pomieszczenia oraz skuteczna kontrola
dostępu (kontrola wejść i wyjść oraz
przebywania) gwarantują realizację
przyjętego w organizacji poziomu
bezpieczeństwa firmy.

Ważnym aspektem ochrony fizycznej

jest system przepustek (identyfikatorów)
lub inny system uprawniający do wejścia,
przebywania i wyjścia ze stref dostępu,
zasady przyznawania i odbierania
uprawnień do przebywania w strefach
dostępu oraz okresowa kontrola uprawnień.
W ten sposób możemy mieć pewność,
że uprawnienia dostępu mają tylko
upoważnione osoby. Bardzo przydatne są tu
systemy telewizji dozorowej wraz z chronioną
rejestracją obrazu. Cyfrowe rejestratory
obrazu zapewniają długi czas nagrań i
mogą zostać użyte do celów dowodowych
w przypadku incydentu. Należy również

Najczęściej popełniane błędy

• Brak zasad dotyczących ochrony informacji w firmie.
• Brak założeń bezpieczeństwa dla systemów teleinformatycznych.
• Brak zasad stałego monitorowania systemów teleinformatycznych i usuwania błędów.
• Brak zasad bezpieczeństwa korzystania z Internetu.
• Brak przeprowadzania analizy zagrożeń i ryzyka dla systemów teleinformatycznych.
• Brak zdefiniowania sytuacji kryzysowych.
• Brak procedur postępowania w sytuacjach kryzysowych.
• Brak szkoleń pracowników – niska kultura ochrony informacji.

Organizacja bez wdrożonego

systemu zarządzania bezpieczeństwem informacji

• Brak koordynacji polityki bezpieczeństwa pomiędzy różnymi jednostkami organizacyjnymi

(departament IT, ochrona fizyczna, pion ochrony informacji niejawnych).

• Koncentracja na zabezpieczeniach.
• Wydatki na bezpieczeństwo traktowane jako koszt działania.

Organizacja z wdrożonym systemem

zarządzania bezpieczeństwem informacji

• Standaryzacja bezpieczeństwa informacji w całej organizacji – stworzenie odpowiednich

struktur nadzorczych.

• Koncentracja na analizie ryzyka.
• Wydatki na bezpieczeństwo traktowane jako inwestycja (możliwość wyznaczenia

wskaźnika zwrotu z inwestycji).

• Przewaga marketingowa na rynku.
• Możliwość niezależnej certyfikacji.

BEZPIECZNA FIRMA

76

HAKIN9 1/2010

77

HAKIN9

1/2010

BEZPIECZEŃSTWO INFORMACJI

pamiętać o procedurach organizacyjnych
obejmujących: eskortowanie gości,
zamykanie drzwi i okien w pomieszczeniach,
zarządzanie kluczami do pomieszczeń
(szczelny system przechowywania
kluczy do pomieszczeń chronionych
użytku bieżącego i zapasowych), nadzór
nad pracą personelu pomocniczego,
zwłaszcza sprzątaniem pomieszczeń
i pracą personelu serwisowego,
przechowywanie kopii zapasowych w
zabezpieczonych pomieszczeniach (jak
najbardziej odległych w pionie i poziomie
od miejsc ich wytworzenia) w specjalnych
szafach ogonioodpornych, służących
do przechowywania komputerowych
nośników informacji oraz zapewnienie
dostępności aktualnej dokumentacji
technicznej (zasilania, okablowania, sprzętu,
oprogramowania, planów awaryjnych i

planów ciągłości działania). W przypadku
podjęcia decyzji o outsourcingu usług
ochrony fizycznej pamiętajmy o sprawdzeniu
koncesji firmy ochrony oraz licencji zarówno
pracowników ochrony, jak i pracowników,
którzy projektują, instalują, a później
konserwują nasze systemy zabezpieczenia
technicznego (systemy kontroli dostępu,
systemy sygnalizacji włamania i napadu,
systemy sygnalizacji pożarowej, czy systemy
telewizji dozorowej).

Polityka w zakresie ochrony fizycznej

instytucji powinna wynikać z jej strategii
biznesowej. Dobór zabezpieczeń należy
wykonywać w oparciu o przeprowadzaną
okresowo analizę ryzyka. Zastosowane
zabezpieczenia powinny być współmierne
do zidentyfikowanych zagrożeń. Z uwagi
na koszty należy rozważyć wdrożenie
następujących środków ochrony:

• działania organizacyjne (opracowanie

regulaminów, procedur),

• ochrona czynna (np. wynajęcie firmy

ochrony),

• ochrona bierna (wdrożenie systemu

zabezpieczeń architektoniczno-
budowlanych, mechanicznych i
elektronicznych: systemu włamania
i napadu, systemu kontroli dostępu,
systemu sygnalizacji pożarowej,
systemu telewizji dozorowej, systemu
nagłośnienia ewakuacyjnego
budynku, systemu zasilania
awaryjnego, zintegrowanego systemu
bezpieczeństwa) i w niezbędnym
zakresie,

• asekuracja (zawarcie umowy

ubezpieczeniowej).

Warto zauważyć, że nie wszystkie zasoby
informacyjne warto zabezpieczać lub
chronić, należy określić poziom ryzyka
akceptowalnego. Ważne jest, aby przyjęte
rozwiązania organizacyjne, środki
zabezpieczeń i ochrony oraz asekuracja
wzajemnie się uzupełniały. Kształtowanie
właściwej polityki bezpieczeństwa
fizycznego zasobów (ochrona
osób, mienia i informacji) wymaga
kompleksowego podejścia, a nie działania
na zasadzie intuicji. Możemy wówczas
mówić o prawdziwym bezpieczeństwie,
a nie o pozorach bezpieczeństwa, tym
bardziej, że bezpieczeństwo fizyczne
sporo kosztuje. Poddaję to pod rozwagę
zarządzającym organizacjami.

Bezpieczeństwo

dokumentów, nośników

oraz ich obieg

Podstawowym warunkiem ładu
dokumentacyjnego w organizacji jest

Zintegrowany system zarządzania – korzyści

• Objęcie systemem wszystkich obszarów działalności firmy.
• Zwrócenie szczególnej uwagi na wartość informacji i jej znaczenie.
• Prowadzenie analizy ryzyka i zarządzania ryzykiem.
• Zwiększenie zainteresowania technologiami informatycznymi.
• Opracowanie planów zapewnienia ciągłości działania.
• Zastosowanie podejścia procesowego i ciągłego doskonalenia.
• Jednolita dokumentacja i terminologia.
• Zbliżone zasady audytowania.
• Niższe koszty przygotowania i wdrożenia zintegrowanego systemu.

Źródła wycieku

informacji

• Poczta elektroniczna.
• Komunikatory internetowe.
• Płyty CD/DVD.
• Pamięci USB.
• Sieci bezprzewodowe.
• Podkupywanie pracowników.
• Kradzież sprzętu.
• Podsłuchy.
• Szpiegostwo gospodarcze.

Struktura normy PN-ISO/IEC 17799: 2007 Technika

informatyczna – Techniki bezpieczeństwa – Praktyczne

zasady zarządzania bezpieczeństwem informacji

• Przedmowa
• Wprowadzenie.
• Zakres normy.
• Terminy i definicja.
• Struktura normy.
• Szacowanie ryzyka i postępowanie z ryzykiem.
• Polityka bezpieczeństwa.
• Organizacja bezpieczeństwa informacji.
• Zarządzanie aktywami.
• Bezpieczeństwo zasobów ludzkich.
• Bezpieczeństwo fizyczne i środowiskowe.
• Zarządzanie systemami i sieciami.
• Kontrola dostępu.
• Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych.
• Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
• Zarządzanie ciągłością działania.
• Zgodność.
• Bibliografia.
• Indeks

BEZPIECZNA FIRMA

76

HAKIN9 1/2010

77

HAKIN9

1/2010

BEZPIECZEŃSTWO INFORMACJI

ustalenie systemu obiegu dokumentów i
nośników oraz systemu przechowywania
i archiwizowania dokumentów. Instrukcje
wewnętrzne ustalające ład dokumentacyjny
(instrukcja kancelaryjna, instrukcja
archiwalna) tworzy się na podstawie
obowiązujących przepisów prawa,
wymagań otoczenia instytucjonalnego oraz
potrzeb biznesowych. Instrukcje te powinny
uwzględniać również zasady postępowania
z dokumentami elektronicznymi.

Ład dokumentacyjny określają

przede wszystkim: ustawa o narodowym
zasobie archiwalnym i archiwach
oraz rozporządzenia wykonawcze
do ustawy, przepisy podatkowe,
przepisy o rachunkowości, przepisy
o ubezpieczeniach społecznych i

zdrowotnych, o rentach i emeryturach,
przepisy prawa pracy oraz inne przepisy.

Zapewnienie bezpieczeństwa

dokumentów, wymaga oprócz zgodności z
przepisami prawa, stosowania prawidłowej
rejestracji dokumentów wpływających
do firmy, również tych, które wpłynęły
drogą elektroniczną i nadzorowania ich
obiegu. Najlepiej, aby odbieg dokumentów
odbywał się za potwierdzeniem odbioru.
Dla dokumentów zawierających informacje
poufne, np. stanowiące tajemnicę
przedsiębiorstwa (posiadającą wartość
gospodarczą) należy opracować
procedury związane z kopiowaniem
dokumentów, procedury przechowywania
i archiwizacji oraz procedury wynoszenia
komputerowych nośników informacji

poza teren firmy, a wreszcie należy
zapewnić ochronę fizyczną pomieszczeń
z dokumentami i infrastrukturą
teleinformatyczną.

Podsumowanie

W polskich warunkach mamy zwykle
do czynienia z konglomeratem kilku
tajemnic prawnie chronionych i informacji
biznesowych chronionych we własnym
interesie. Tylko niektóre z nich: dane
osobowe, informacje niejawne, mają
przepisy wykonawcze, wymagania w
zakresie ochrony. Większość z nich nie
posiada wymagań jak je chronić, a chronić
je trzeba. W przypadku tych tajemnic, dla
których brak wymagań i wytycznych w
zakresie ochrony pomocne mogą być
standardy, zalecenia i polskie normy
dotyczące bezpieczeństwa informacji:
PN-ISO/IEC 17799: 2007 Technika
informatyczna – Techniki bezpieczeństwa
– Praktyczne zasady zarządzania
bezpieczeństwem informacji i PN-ISO/IEC
27001: 2007 Technika informatyczna
– Techniki bezpieczeństwa – Systemy
zarządzania bezpieczeństwem informacji
– Wymagania, które stanowią źródło tzw.
dobrych praktyk.

Wdrożenie systemu zarządzania

bezpieczeństwem informacji w organizacji
w oparciu o powyższe normy zapewni
właściwy, adekwatny do zagrożeń i
wymagań przepisów prawa poziom
ochrony wszystkim informacjom na
podstawie wyników analizy ryzyka.
Zachęcam do podjęcia trudu w celu
wdrożenia takiego systemu. Systemu
można nie certyfikować.

W Polsce wydanie choćby niewielkich

pieniędzy, aby chronić coś, co ma
niematerialny charakter nie zawsze
znajduje uzasadnienie. Co potrzeba, aby
zapewnić bezpieczeństwo informacji?

Trochę wiedzy, trochę procedur, trochę

dobrej woli i trochę pieniędzy. Jak wynika z
szacunkowych danych, koszty zapewnienia
bezpieczeństwa informacji stanowią około
5 % kosztów na technologie IT.

Reguły psychologiczne

wykorzystywane w socjotechnice

• Reguła wzajemności – wymaga od ludzi, aby za otrzymane od drugiej osoby dobro

odwdzięczyć się w podobny sposób.

• Reguła zaangażowania i konsekwencji – w myśl tej zasady, ludzie po dokonaniu wyboru

lub zajęciu stanowisko w jakiejś sprawie, później zachowują się konsekwentnie i zgodnie
z tym, w co wcześniej zaangażowali się.

• Reguła społecznego dowodu słuszności – głosi, że to, w co wierzą lub jak zachowują się

inni ludzie, często jest podstawą naszych własnych decyzji.

• Reguła lubienia i sympatii – zgodnie z tą zasadą, ludzie wolą mówić tak tym osobom,

które lubią i znają.

• Reguła autorytetu – oznacza, że ludzie ulegają autorytetom, ponieważ autorytety

cechuje wiedza, mądrość i władza.

• Reguła niedostępności – mówi, że ludzie przypisują większą wartość tym możliwościom,

które stają się niedostępne.

Struktura normy PN-ISO/IEC 27001: 2007

Technika informatyczna – Techniki bezpieczeństwa

– Systemy zarządzania bezpieczeństwem informacji

– Wymagania

• Przedmowa

• 0 Wprowadzenie.
• 1 Zakres normy.
• 2 Powołania normatywne.
• 3 Terminy i definicje.
• 4 System zarządzania bezpieczeństwem informacji (SZBI).
• 5 Odpowiedzialność kierownictwa.
• 6 Wewnętrzne audyty SZBI.
• 7 Przeglądy SZBI realizowane przez kierownictwo.
• 8 Doskonalenie SZBI.

• Załącznik A (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia.
• Załącznik B (informacyjny) Zasady OECD i niniejsza Norma Międzynarodowa.
• Załącznik C (informacyjny) Powiązania ISO 9001: 2000, ISO 14001: 2004 z niniejszą

Normą Międzynarodową.

• Bibliografia

Andrzej Guzik

Andrzej Guzik – audytor systemu zarządzania

bezpieczeństwem informacji, systemu zarządzania

jakością, audytor wewnętrzny, ekspert w zakresie

ochrony informacji prawnie chronionych, redaktor

portalu www.ochronainformacji.pl.

Kontakt z autorem: a.guzik@ochronainformacji.pl