Magdalena Zych EBIB, Nr 7/2006 (77), Technologie informacyjne
Biblioteka Beskidzkiej Wyższej Szkoły Turystyki w Żywcu
Bezpieczeństwo w sieci a polityka prywatności stron www polskich bibliotek
Polityka bezpieczeństwa i bezpieczeństwo w sieci
Bezpieczeństwo staje się w ostatnim czasie coraz ważniejszą sprawą. Często słyszymy o udanych włamaniach
na strony www i do systemów różnych firm. Przeglądając strony i portale internetowe wielu firm prywatnych, mamy do
czynienia z tzw. polityką prywatności. Natomiast żadna z odwiedzonych stron www instytucji publicznych, zarówno
bibliotek, instytutów naukowych, ośrodków akademickich, urzędów miejskich i gminnych nie posiada opracowanej
takiej polityki. Większość z internautów nie zwraca na ten aspekt uwagi, ale w dobie olbrzymiego postępu
teleinformatycznego oraz dynamicznego rozwoju społeczeństwa informacyjnego powinno się zasygnalizować problem
związany z bezpieczeństwem danych w sieci. Strony internetowe obok warstwy informacyjnej posiadają także
możliwość pozostawiania danych osobowych (logowanie się do baz danych, odpowiedzi na ankiety czy konkursy
prowadzone na stronach www). Czy jako użytkownicy Internetu możemy bez obaw odwiedzać strony internetowe
różnych instytucji, w tym bibliotek, mając przez nie zagwarantowane, że nasze dane nie zostaną wykorzystane w inny
sposób? Możemy więc zadać pytanie, co to jest polityka prywatności, czemu służy i kogo chroni?
Obecnie nie mamy problemu ze zdefiniowaniem, czym jest polityka bezpieczeństwa, jednakże pojęcie polityki
prywatności w polskich z
ródłach zarówno w postaci tradycyjnej, jak i elektronicznej nie występuje. W niniejszym
artykule postaramy się podać definicję polityki prywatności. Aby lepiej zrozumieć problem, przyjrzyjmy się bliżej,
czym jest polityka bezpieczeństwa i bezpieczeństwo teleinformatyczne.
Polityka bezpieczeństwa (z języka angielskiego security policy) jest zbiorem spójnych, precyzyjnych i zgodnych
z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz
udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być
chronione[1]. Polityka bezpieczeństwa powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa
(np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą
uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne
korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).
Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym i znanym oraz zrozumianym przez
pracowników organizacji korzystających z zasobów informatycznych. Dotyczy to także klientów organizacji
(użytkowników jej zasobów).
Przy jej projektowaniu należy rozważyć, czy organizacja wdrażająca politykę bezpieczeństwa będzie w stanie
ponieść koszty jej wprowadzania w życie. Podwyższanie poziomu bezpieczeństwa organizacji czy systemu odbywa się
najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach
w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy
ułatwiające zastosowanie w praktyce.
Polityka bezpieczeństwa powinna adresować następujące zagadnienia:
·ð jakie zasoby podlegajÄ… ochronie:
żð informacja (dane),
żð systemy teleinformatyczne (sprzÄ™t),
·ð sposób ochrony wyodrÄ™bnionych zasobów.
Projektując mechanizmy ochrony informacji, należy określić natomiast następujące elementy:
·ð model bezpieczeÅ„stwa,
·ð mechanizmy kontroli dostÄ™pu,
·ð poziomy uprawnieÅ„ (jakie poziomy uprawnieÅ„ istniejÄ… i jakie sÄ… zasady ich przyznawania),
·ð mechanizmy identyfikacji i zapewnienie autentycznoÅ›ci (na poziomie fizycznym i systemów),
·ð Å›ledzenie zdarzeÅ„ w systemie (jakie mechanizmy/programy/procedury stosowane sÄ… do Å›ledzenia zmian
w systemach).
Bezpieczeństwo teleinformatyczne to inaczej bezpieczeństwo informacji i systemy teleinformatyczne rozpatrywane
odniesieniu do instytucji wykorzystującej lub udostępniającej infrastrukturę teleinformatyczną, aby osiągnąć
wyznaczone cele[2].
Zarządzanie bezpieczeństwem w organizacji to ciągły i złożony proces umożliwiający bezpieczną realizację
misji, do której instytucję powołano. Proces ten zachodzi w stale zmieniającym się środowisku, przy występowaniu
coraz to nowych form zagrożeń i wyzwań dla instytucji, a także przy szybkim postępie technologicznym.
Bezpieczeństwo w ujęciu całościowym powinno obejmować aspekt organizacyjny, techniczny i prawny.
s.
1
Magdalena Zych EBIB, Nr 7/2006 (77), Technologie informacyjne
Biblioteka Beskidzkiej Wyższej Szkoły Turystyki w Żywcu
Zarządzanie bezpieczeństwem to szereg uzupełniających się procesów:
1. opracowanie polityki bezpieczeństwa instytucji w zakresie systemów informatycznych,
2. identyfikacja i analiza zagrożeń dla zasobów,
3. dobór właściwych zabezpieczeń redukujących ryzyko,
4. monitorowanie procesu wdrożenia zabezpieczeń i ich ocena podczas eksploatacji systemu,
5. opracowanie i wdrożenie programu szkoleniowego dotyczącego wprowadzonych zabezpieczeń,
6. wykrywanie i reakcja na incydenty.
Bezpieczeństwo rozpatrywać można na trzech poziomach:
1. Instytucji - podstawowe wytyczne, dotyczące całej instytucji. Regulacje muszą być osadzone w realiach
prawnych instytucji. Na tym poziomie chroniona jest: ciągłość misji, ciągłość procesów biznesowych, zdolność
świadczenia usług, reputacja, działanie zgodne z prawem;
2. Infrastruktury teleinformatycznej - operuje się tu pojęciem polityki bezpieczeństwa instytucji w zakresie
systemów informatycznych, ustala się zbiór praw, reguł i wskazówek praktycznych, które określają, jak zasoby
informatyczne, w tym informacje wrażliwe, są zarządzane, chronione i dystrybuowane w instytucji i jej
systemach teleinformatycznych. Ochronie na tym poziomie podlegajÄ…: zasoby informacji, oprogramowanie,
sprzęt, kadry, dokumenty (w tym dotyczące eksploatacji oraz samych zabezpieczeń);
3. Poszczególnych systemów - bezpieczeństwo systemów teleinformatycznych jest takie, jakie jest
bezpieczeństwo najsłabszego z eksploatowanych systemów. Operuje się tu terminem polityki bezpieczeństwa
systemu teleinformatycznego, która przedstawiona jest jako zestaw praw, reguł i praktycznych doświadczeń
ustalających sposób zarządzania, ochrony i dystrybucji informacji wrażliwej wewnątrz określonego systemu.
Problem ochrony prywatności w polskich serwisach internetowych pojawił się niedawno. Podane w artykule definicje
mogą nam w dużym stopniu pomóc w zdefiniowaniu pojęcia polityki prywatności serwisów internetowych:
·ð cookie - maÅ‚y plik zapisywany przez serwer serwisu, po którym porusza siÄ™ internauta, na komputerze,
z którego w danej chwili korzysta. Tę informację serwer danego serwisu może odczytać przy ponownym
połączeniu się z tego komputera.
·ð log systemowy - jest to informacja, jakÄ… komputer internauty przekazuje serwerowi przy każdym poÅ‚Ä…czeniu.
Log systemowy może zawierać takie dane, jak np. numer IP, na podstawie którego można w dużym
przybliżeniu ustalić lokalizację łączącego się z serwisem komputera.
·ð adres IP - indywidualny numer, który z reguÅ‚y posiada każdy komputer podÅ‚Ä…czony do jakiejkolwiek sieci
komputerowej. Numer IP może być stały dla danego komputera (statyczny) lub może być przydzielany podczas
każdego połączenia (dynamiczny),
·ð protokół SSL - standard przesyÅ‚ania danych w Internecie. Protokół SSL koduje transmisjÄ™ danych z komputera
do serwera serwisu, w odróżnieniu od zwykłego przesyłania, gdzie transmisja odbywa się "otwartym tekstem",
·ð strona użytkownika - strona, która ukazuje siÄ™ internaucie po zalogowaniu siÄ™ do serwisu.
Kolejnym krokiem do poznania pojęcia polityki prywatności jest sposób gromadzenia i wykorzystania
informacji o użytkownikach przez serwisy internetowe. Wiele serwisów ogranicza wykorzystanie i zbieranie informacji
o klientach do niezbędnego minimum wymaganego do świadczenia usług na najwyższym poziomie, co obejmuje m.in.
informowanie naszych klientów o oferowanych przez nas produktach i usługach. W niektórych przypadkach (np.
badania ankietowe, konkursy, formularze zamówień) zbierane są informacje o użytkownikach, takie jak adresy poczty
elektronicznej lub dane osobowo-adresowe. Informacje te nie są udostępniane osobom trzecim, chyba że po uzyskaniu
zgody użytkownika lub jeżeli wymagają tego przepisy obowiązującego prawa i służą głównie do realizacji zobowiązań
wobec użytkowników, obejmujących m.in. dostarczaniem zamawianych pozycji i subskrybowanych wiadomości.
Serwisy internetowe, w tym strony www firm i instytucji np. bibliotek, zapewniają swoim użytkownikom całkowitą
anonimowość tak długo, aż sami nie zdecydują inaczej, a także dokonując działań właściwych dla konkretnych usług
serwisu (np. logowanie się do katalogów OPAC), z którymi związana jest konieczność ujawnienia niektórych danych,
wówczas ujawniane są tylko hasło oraz login.
Strony www wykorzystują również adresy IP użytkowników w diagnozowaniu problemów związanych pracą
serwerów, analizą naruszeń bezpieczeństwa oraz w zarządzaniu stronami www. Adres IP jest wykorzystywany
najczęściej do identyfikacji i gromadzenia danych demograficznych od osób odwiedzających witrynę (np. informacje
o regionie, z którego nastąpiło połączenie). Informacje te nie powinny być w żaden sposób łączone z danymi
osobowymi użytkowników.
Wszyscy użytkownicy stron www mają możliwość bezpośredniego kontaktu mailowego z pracownikami
poprzez dostępne na stronach www adresy korespondencyjne. Instytucje posiadające taką możliwość przechowują
korespondencję ze swoimi użytkownikami dla celów statystycznych oraz jak najlepszej i najszybszej reakcji na
pojawiające się zapytania. Jednocześnie gwarantują, że adresy w ten sposób gromadzone nie będą wykorzystywane do
s.
2
Magdalena Zych EBIB, Nr 7/2006 (77), Technologie informacyjne
Biblioteka Beskidzkiej Wyższej Szkoły Turystyki w Żywcu
komunikacji z użytkownikami w celu innym niż przez niego określony. Ewentualna komunikacja w innych kwestiach
może się odbywać tylko za uprzednią zgodą użytkowników.
Na podstawie uzyskanych informacji w szczególnych przypadkach sporządzane są zbiorcze, ogólne
zestawienia statystyczne, które mogą być ujawniane osobom trzecim. Obejmują one zwykle informacje dotyczące
oglądalności serwisu. Zestawienia te nie zawierają jednak żadnych danych pozwalających na identyfikację
pojedynczych użytkowników witryn internetowych.
Znacznie rzadziej wykorzystywane są pliki cookies, które ułatwiają korzystanie z zasobów serwisu. Cookies
zawierają użyteczne informacje i są przechowywane na komputerze użytkownika - serwery, na których działają serwisy
firmowe mogą je odczytać dopiero w momencie ponownego połączenia się z tym komputerem. Wyłączenie informacji
cookies w przeglądarce nie pozbawia użytkownika dostępu do zasobów witryny www. Strony www wykorzystują
"ciasteczka", aby dostarczać zawartość najbardziej odpowiadającą zainteresowaniom użytkowników oraz w innych
celach (np. ustalenia rankingu najczęściej pobieranych programów).
Wiele serwisów internetowych wykorzystuje formularze zamówień, który umożliwia klientom złożenie
zamówienia na informacje oraz usługi. Takie formularze stosują również biblioteki. Formularze te pozwalają na
zbieranie informacji kontaktowych od odwiedzających (np. adres poczty elektronicznej użytkowników). Informacje
pochodzące z formularzy zamówień są wykorzystywane do realizacji zamówień, wysyłania informacji, np. o ciekawych
imprezach, konferencjach, sympozjach. Informacje teleadresowe użytkowników są także wykorzystywane do
nawiązywania z nimi kontaktu, jeżeli zaistnieje taka konieczność. W podobny sposób wykorzystywane są dane
pochodzące z przeprowadzanych konkursów oraz badań ankietowych.
Serwisy internetowe i strony www zaopatrzone są również w środki bezpieczeństwa, mające na celu ochronę
danych osobowych przed utratą, niewłaściwym wykorzystaniem i modyfikacją. Zobowiązują się chronić wszelkie
informacje ujawnione przez użytkowników zgodnie z normami ochrony bezpieczeństwa i zachowania poufności. Prawa
dostępu do danych osobowych użytkowników serwisu zostają w restrykcyjny sposób ograniczone, tak aby informacje te
nie znalazły się w rękach osób niepowołanych.
Dostęp do danych osobowo-adresowych powinna mieć tylko ograniczona liczba uprawnionych pracowników
obsługujących serwisy na zasadach zgodnych z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia
3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.[3]
Na stronach internetowych powinny być także podane dane do kontaktów, jeżeli użytkownicy mają jakieś
pytania dotyczące deklaracji ochrony prywatności, praktyk stosowanych stronie, czy też sposobów utrzymywania z nią
kontaktów, najczęściej podawaną osobą do kontaktu jest administrator witryny.
Podstawowe założenia polityki prywatności:
·ð zbieranie tylko tych danych osobowych, które zostaÅ‚y przedstawione przez użytkownika,
·ð nie wykorzystywanie danych osobowych użytkowników w celach innych niż te, na które wyrażona zostaÅ‚a
zgoda,
·ð nie przekazywanie danych osobowych użytkowników podmiotom trzecim, nad którymi dana instytucja nie ma
całkowitej kontroli,
·ð brak dostÄ™pu osób trzecich, nie bÄ™dÄ…cych pracownikami danej instytucji do posiadanych przez niÄ… danych
osobowych,
·ð możliwość wglÄ…du i edycji gromadzonych przez danÄ… instytucjÄ™ danych osobowych swoich użytkowników,
·ð natychmiastowe zaprzestanie przetwarzania danych osobowych użytkowników w przypadku, gdy wyrażone
zostanie takie życzenie,
·ð Å›cisÅ‚e przestrzeganie Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,[4]
·ð szybka reakcja na wszelkie zapytania użytkowników i uwagi dotyczÄ…ce polityki prywatnoÅ›ci.
Bezpieczeństwo z poziomu użytkownika i komunikacji
Problem bezpieczeństwa w sieci to ostatnio gorący temat. Jak wspomina Eric Maiwald, jest bardzo możliwe,
że w najbliższej przyszłości zostaną ustanowione prawa definiujące sposób, w jaki firmy i instytucje powinny obchodzić
się z informacjami o klientach. Informacje tego typu nie należą, bowiem do firmy, lecz do samego użytkownika.
W związku z tym instytucje powinny przedsięwziąć odpowiednie kroki chroniące dane przed nieautoryzowanym
ujawnieniem. Oczywiście nie chodzi o to, że nie należy ich wykorzystywać, ale należy dopilnować, aby zostały
wykorzystane właściwie. Wiele instytucji i firm powiadamia swoich użytkowników w opracowanej przez siebie
polityce prywatności, że część lub całość danych może zostać wykorzystana do celów związanych z prawidłowym
funkcjonowaniem instytucji czy firmy. Użytkownicy zostają w niej poinformowani również o możliwości nie wyrażenia
zgody na jakiekolwiek użycie informacji na temat pozostawionych danych. W rozdziale pierwszym omówione zostały
aspekty bezpieczeństwa zagwarantowane ze strony instytucji, natomiast sam użytkownik również może zastosować
system odpowiednich zabezpieczeń. Luki po stronie użytkownika są, bowiem najwygodniejszym sposobem obejścia
s.
3
Magdalena Zych EBIB, Nr 7/2006 (77), Technologie informacyjne
Biblioteka Beskidzkiej Wyższej Szkoły Turystyki w Żywcu
zapory sieciowej wykorzystywanych przez serwery zarówno użytkownika, jak i instytucji. Luki takie są obecne nie
tylko w przeglądarkach www, ale również w klientach usług, takich jak: telnet, FTP, IRC, MSN Chat.
Bezpieczeństwo od strony użytkownika dotyczy zabezpieczeń od systemu użytkownika do serwera danej
instytucji. Ta część systemu obejmuje komputer użytkownika, oprogramowanie do przeglądania Internetu i połączenie
komunikacyjne z serwerem (patrz rys. 1). W tej części istnieje kilka problemów[5]:
1. ochrona informacji przepływającej pomiędzy systemem użytkownika a serwerem,
2. ochrona informacji zapisanych w systemie użytkownika,
3. ochrona faktu, że dany użytkownik złożył dane zamówienie.
Rys. 1. Komponenty bezpieczeństwa od strony użytkownika.
z
ródło: E. Maiwald: Bezpieczeństwo w sieci... [5].
Kolejnym ważnym aspektem omówionym w artykule jest bezpieczeństwo komunikacji. Bezpieczeństwo
komunikacji dla aplikacji zamówień/wypożyczeń elektronicznych obejmuje kwestie bezpieczeństwa informacji
przesyłanej pomiędzy systemem użytkownika i serwerem instytucji. Może tu chodzić również o cenne informacje, takie
jak loginy czy hasła. Może także chodzić o utajnione informacje wysyłane z serwera do systemu użytkownika, jak np.
pliki użytkownika.
Jest na to tylko jedno realistyczne rozwiązanie: szyfrowanie. Większość standardowych przeglądarek sieci
zawiera funkcję szyfrowania przekazu. Jest to ustawienie domyślne w przypadku korzystania z HTTPS zamiast HTTP.
W HTTPS zastosowane jest połączenie SSL (Secure Socket Layer) pomiędzy użytkownikiem i serwerem. Cały ruch
przechodzący przez to połączenie jest szyfrowany.
W tym miejscu powinniśmy poświęcić trochę czasu na omówienie długości klucza SSL. W literaturze
fachowej dotyczącej bezpieczeństwa danych w sieci znajdziemy bardziej szczegółowe omówienie algorytmów
szyfrowania i długości kluczy. Długość klucza ma bezpośredni wpływ na czas i wysiłek, jaki trzeba włożyć w atak na
zaszyfrowany przekaz, a tym samym uzyskanie dostępu do informacji. Zważywszy na ryzyko związane z wysyłaniem
cennych informacji przez Internet, szyfrowanie jest zdecydowanie bardzo dobrym rozwiÄ…zaniem. Szyfrowanie
w HTTPS ochroni informacje od momentu, kiedy opuści ona komputer użytkownika do momentu jej dotarcia do
serwera sieciowego. Korzystanie z HTTPS stało się koniecznością, kiedy okazało się, jakie są niebezpieczeństwa tego,
że ktoś uzyska np. dostęp do naszych danych przez Internet[6].
Protokoły HTTP i HTTPS nie są zapamiętywane, to znaczy, że po załadowaniu strony www do przeglądarki,
serwer nie zapamiętuje, że załadował daną stronę do danej przeglądarki. Jednym ze sposobów, żeby to osiągnąć (to
także najpowszechniejszy sposób) jest zastosowanie omówionych w części pierwszej cookies, czyli tzw. ciasteczek.
"Ciasteczko" jako mała porcja informacji przechowywana jest w systemie klienta przez serwer sieciowy.
Tylko ten serwer, który je umieścił powinien móc je odzyskać, a "ciasteczko" powinno po pewnym czasie stracić
ważność (zazwyczaj jest to mniej niż rok). Cookies mogą być zaszyfrowane lub nie. Mogą być również trwałe (tzn.
pozostają po zamknięciu przeglądarki przez klienta) lub nietrwałe (tzn. nie są zapisywane na dysku, lecz pozostają
w pamięci podczas otwarcia przeglądarki).
Pliki cookies mogą dla serwera sieciowego wyśledzić wszystko (przykładowo jedna instytucja może stosować
je do śledzenia zamówienia, podczas gdy użytkownik wybiera różne produkty). Inna może stosować je do śledzenia
informacji uwierzytelniającej klienta tak, że nie musi się on logować na każdą stronę.
s.
4
Magdalena Zych EBIB, Nr 7/2006 (77), Technologie informacyjne
Biblioteka Beskidzkiej Wyższej Szkoły Turystyki w Żywcu
Ryzyko związane z "ciasteczkami" dotyczy umożliwienia klientowi, lub komuś innemu posiadającemu dostęp
do jego komputera, wgląd w treść "ciasteczka". Jeśli zawiera ono hasła lub inne informacje uwierzytelniające, może to
pozwolić nieautoryzowanej osobie na wstęp na stronę.
Zarządzanie ryzykiem w tej dziedzinie może odbywać się za pomocą szyfrowania także nietrwałych
ciasteczek. Jeśli zamówienie klienta lub informacje dotyczące uwierzytelnienia znajdują się w nietrwałym "ciasteczku",
nie zostają one zapisane na dysk systemowym użytkownika. Intruz nadal może uzyskać dostęp do tych danych,
umieszczając system pośredniczący pomiędzy klientem i serwerem i tym samym przechwytując "ciasteczko"
(odpowiednio je modyfikując). Jeśli jednak ciasteczka są zaszyfrowane, takie przechwycenie staje się niemożliwe.
Jednym z obszarów ryzyka związanych z bezpieczeństwem zamówień elektronicznych ze strony użytkownika
jest możliwość, że użytkownik zaprzeczy transakcji. Oczywiście, jeśli klient rzeczywiście nie zainicjował transakcji,
instytucja nie powinna do niej dopuścić. Jak jednak zdecydować, czy klient naprawdę jest tym, za kogo się podaje?
OdpowiedziÄ… jest uwierzytelnianie.
Stosowana metoda uwierzytelniania zależy od ryzyka związanego z pomyłką. W takim przypadku lepiej może
zastosować identyfikatory i hasła czy nawet dwuczynnikowe uwierzytelnianie. W każdym z tych przypadków zasady
świadczenia usług wysłane do użytkownika powinny wyszczególniać wymogi zabezpieczenia identyfikatora i hasła.
Jeśli stosuje się identyfikator i hasło do uzyskania informacji o użytkowniku instytucja zakłada, że informacje
udostępniane są uprawnionemu użytkownikowi. Jeśli hasło zostanie zapomniane, zgubione lub ujawnione, należy
natychmiast skontaktować się z instytucją[7].
Pomimo, że zasady bezpieczeństwa są różne w różnych serwisach należy zawsze pamiętać:
·ð w każdym serwisie powinny obowiÄ…zywać okreÅ›lone zasady bezpieczeÅ„stwa,
·ð zasady bezpieczeÅ„stwa powinny być unikatowe dla danego serwisu,
·ð oszacowanie ryzyka polega na okreÅ›leniu cech systemu i grożących im niebezpieczeÅ„stw,
·ð zasady bezpieczeÅ„stwa powinny koncentrować siÄ™ na tym, który element należy zabezpieczyć,
·ð zasady bezpieczeÅ„stwa zapewniajÄ… tylko takÄ… ochronÄ™, na jakÄ… pozwala sposób ich wprowadzania i ich
przestrzegania,
·ð należy zapoznać siÄ™ z dokumentacjÄ… RFC 1244 oraz z zawartoÅ›ciÄ… serwisów[8].
Poruszony w artykule problem bezpieczeństwa i prywatności w serwisach www polskich bibliotek może nam
pomóc zdefiniować, czym jest polityka prywatności stron www oraz odpowiedzieć na pytanie, czemu służy i kogo
chroni?
Podsumowując, polityka prywatności stron www to zbiór reguł ułatwiających i umożliwiających
użytkownikowi bezpieczne korzystanie z odwiedzanego serwisu. Użytkownik zostaje poinformowany, w jakim celu
zbierane są jego dane osobowe, w jaki sposób są przechowywane i do jakich celów oraz przez kogo są wykorzystywane.
Przypisy
[1] Hasło "Polityka bezpieczeństwa": Wikipedia [on-line]. [dostęp 7 lipca 2006]. "Polityka bezpieczeństwa". Dostępny
w World Wide Web: http://pl.wikipedia.org/wiki/Polityka_bezpiecze%C5%84stwa.
[2] Hasło "Bezpieczeństwo teleinformatyczne ": Wikipedia [on-line]. [dostęp 7 lipca 2006]. "Bezpieczeństwo
teleinformatyczne". Dostępny w World Wide Web:
http://pl.wikipedia.org/wiki/Bezpiecze%C5%84stwo_teleinformatyczne
[3] Dziennik Ustaw, 1998, Nr 80, poz. 521
[4] Dziennik Ustaw, 1997, Nr 133, poz. 883
[5] MAIWALD, E. Bezpieczeństwo w sieci: kurs podstawowy. Kraków: Wydaw. Edition, 2001. s. 199.
[6] Tamże, s. 201.
[7] Tamże, s. 202.
[8] KLANDER, L. Hacker Proof czyli jak się bronić przed intruzami. Warszawa: Mikom, 1998. s. 750.
Bezpieczeństwo w sieci a polityka prywatności stron www polskich bibliotek / Magdalena Zych// W: Biuletyn EBIB [Dokument
elektroniczny] / red. naczelny Bożena Bednarek-Michalska. - Nr 7/2006 (77) lipiec. - Czasopismo elektroniczne. - [Warszawa] :
Stowarzyszenie Bibliotekarzy Polskich KWE, 2006. - Tryb dostępu: http://www.ebib.info/2006/77/zych.php. - Tyt. z pierwszego
ekranu. - ISSN 1507-7187
s.
5