CAM00295

6. DokutmfJitwanle systemu ochrony informacji

-    zapewnienie dobrej marki organizacji na rynku ,

-    zapewnienie ciągłości pracy w organizacji;

-    zapewnienie realizacji wymagań przepisów prawnych np. o ochronie tajemnicy I państwowej;

-    zagwarantowanie niezawodności procesów biznesowych zarówno z punktu widzenia I ich terminowości (dostępność informacji), dokładności (integralność informacji), I jak i ich poufności.

Określenie niezbędności systemów teleinformatycznych w wypełnianiu zadań służ- I bowych można przeprowadzić, stosując np. następującą skalę:

-    wspomagające - zadania służbowe przy niewielkim dodatkowym nakładzie sil I i środków mogą być wykonane innymi środkami (np. ręcznie);

-    ważne - zadania służbowe mogą być wykonane innymi środkami tylko znacznym [. dodatkowym nakładem sił i środków;

-    zasadnicze -ze względu na znaczną ilość informacji zadania służbowe mogąbyć I wykonane innymi środkami tylko częściowo;

-    niezbędne - zadania służbowe nie mogą być wykonane bez wykorzystania syste- I mów informatycznych.

Oszacowanie pożądanego poziomu ochrony informacji dotyczy wymaganej siły za- ■ bezpieczeń zastosowanych w konkretnych systemach teleinformatycznych i zwykle jest 1 określane na podstawie skutków biznesowych (jako wynik tzw. business impacl anafysis). I które miałyby miejsce, gdyby tych zabezpieczeń nie było. Poziom ten można określić np. B według następującej skali*⁰:

-    bardzo wysoki - gdy błędy w ochronie informacji przetwarzanych w systemach B teleinformatycznych organizacji prowadzą do jej bankructwa lub wywierają sze* i

| rokie niekorzystne skutki społeczne łub gospodarcze;

-    wysoki - gdy błędy w ochronie informacji przetwarzanych w systemach teleinfor- B matycznych organizacji naruszają zdolność do działania jej kluczowych elementów- r a szkody z tego wynikłe dotyczą jej i podmiotów trzecich;

-    średni - gdy błędy w ochronie informacji przetwarzanych w systemach teleinfor- I matycznych organizacji przynoszą straty tylko jej;

-    niski - jak wyżej, ale gdy straty są niewielkie.

Przykład 6.1. Wymagania bezpieczeństwa wynikające z rozporządzenia MSW-' 1 z dnia 29 kwietnia 2004 r. „w sprawie dokumentacji przetwarzania danych osobo** i oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urząd^ I nia i systemy informatyczne służące do przetwarzania danych osobowych" (D^?- I z 2004 r., Nr 100, poz. 1024);

g j_p potny**

próżni#*

' od kateg*

_ pozi°ⁿ 27" ^us

przetw

_ poziod ustaw) twarza

-    pozion

służącr

W rozporze bez określenia s Na poziomi nie tylko wobec ale również wot

2.    Obowiąi

-    polityl

-    instru

3.    W odnit ustanów ropejskii

Wdrożenie nym z etapów u wchodzą m.in. <

1)    wprowa kierown (patrz p

2)    przepro menty o

Kształtowa informacyjnego czeństwa. Prakt niejawnych'⁵ i t

¹¹ Art. 27 ust. rzania danych ujas tub filozoficzne, pt kodzie genetyczny) 1 mandatów kamy* « W pr zypal jest szc/egótow-.' r«

! -