Bezpieczeństwo informacji

Bezpieczeństwo informacji ra2 studio - Fotolia

Definicje. Podstawowe pytania. Polityka bezpieczeństwa informacji. Elektroniczna komunikacja w administracji publicznej.

Informacja jest aktywem, który, podobnie jak inne ważne aktywa, ma dla każdej organizacji wartość. Należy pamiętać, że ochronie powinny podlegać wszystkie informacje, w tym przetwarzane w systemach informatycznych. Każdą informację nieza­leżnie od formy jej przetwarzania powinniśmy objąć taką ochroną, która pozwoli na zminimalizowanie ewentualnych strat spo­wodowanych jej zniszczeniem, utratą bądź „wyciekiem” do osób i instytucji nieuprawnionych.

Często ogranicza się ochronę informacji do ochrony danych osobowych. Wynika to z faktu, iż pod koniec 2004r. upłynął termin stworzenia dwóch wymaganych przepisami - Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji prze­twarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - dokumentów: Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, dla wszystkich organizacji przetwarzających dane osobowe.

Zawsze mówiąc o ochronie naszych Informacji musimy odpowiedzieć sobie na szereg pytań:

Jaką informację chronimy?

Każda organizacja przetwarza dane uważane przez siebie za wrażliwe a więc takie, które powinny być chronione zgodnie z literą prawa i których ochrony wymaga żywotny interes organizacji. Raz będą to tylko i wyłącznie dane osobowe, innym razem infor­macje niejawne, handlowe czy technologiczne. Każda organizacja powinna odpowiedzieć sobie na pytanie - która informacja wymaga największej ochrony.

Podobne artykuły:

Przed kim się chronimy?

Powinniśmy znaleźć odpowiedź czy istnieje ryzyko wycieku Informacji jedynie poprzez działania osób z zewnątrz organizacji, czy też powinniśmy się spodziewać incydentu spowodowanego przez pracowników naszej organizacji. Pamiętać należy, że infor­macja ma potężną, przeliczalną na gotówkę wartość. Stąd możemy spodziewać się incydentów z każdej strony.

Jak chronimy informację?

Odpowiadając na to pytanie powinniśmy przeanalizować czy wszystkie osoby w naszej organizacji posiadają niezbędne upowa­żnienia do przetwarzania danej kategorii Informacji, czy wszyscy pracownicy naszej organizacji mają świadomość jak ważną z punktu widzenia organizacji przetwarzają informację. Wszystkie medialne przykłady mówiące o wycieku danych poza firmę czy instytucję, zagubieniu dokumentów, utracie twardych dysków i innych naruszeniach powinny nam uzmysłowić, iż niezależnie od posiadanych, zaimplementowanych środków technicznych i organizacyjnych w jakie zaopatrzono naszą organizację, pozostaje człowiek, najsłabsze ogniwo systemu bezpieczeństwa Infor­macji.

Kto zarządza bezpieczeństwem Informacji?

Utarło się przekonanie, że za wszystko odpowiadają kierownicy jednostek organizacyjnych. Jest to o tyle prawdziwe sformułowanie o ile również mylne. Szereg ustaw i rozporządzeń wskazuje wprost na role administratorów: budynków, danych osobowych, Informacji, którymi są zawsze właściciele lub zarządzający daną organizacją. Logicznym wydaje się być, iż każdy nawet najlepszy menadżer potrzebuje wsparcia grupy osób.

Aby skatalogować wszystkie wrażliwe dla organizacji informacje, istnieje potrzeba stworzenia interdyscyplinarnego zespołu ds. bezpieczeństwa informacji, a więc grupy osób odpowiadających za obieg i przetwarzanie informacji oraz zarządzających bez­pieczeństwem informacji w codziennych działaniach. Zespół ds. bezpieczeństwa informacji powinien być skupiony wokół kierow­nika jednostki organizacyjnej /Prezesa, Dyrektora Naczelnego/.

W skład zespołu powinni wchodzić pracownicy doskonale znający kulturę organizacyjną organizacji, jej mocne i słabe strony, identyfikujący się z organizacją a przede wszystkim znający wytyczne przepisów prawa oraz standardów i normatyw dotyczących bezpieczeństwa Informacji. Do zespołu tego powinny wejść osoby ze ścisłego kierownictwa ale również Administratorzy Systemów Informatycz­nych, Administratorzy Bezpieczeństwa Informacji, Audytorzy Wewnętrzni, Pełnomocnicy ds. ochrony Informacji czy wreszcie Specjaliści ds. ochrony fizycznej obiektów.

Zespół ds. bezpieczeństwa informacji powinien oszacować wartość poszczególnych zasobów informacyjnych, a tym samym po­tencjalne straty wynikające z incydentów związanych z naruszeniem lub przechwyceniem każdej informacji uważanej w organizacji za wrażliwą.

Aby zabezpieczyć informację powinny być spełnione kryteria związane się z poufnością, integralnością oraz dostępnością Infor­macji, rozumianymi jako:

    • Poufność - pewność, że informacja jest współużytkowana przez wszystkich, którzy powinni mieć do niej dostęp oraz ochraniana przed wszystkimi, którzy nie powinni wejść w jej posiadanie
    • Integralność - pewność, że informacja nie została zniekształcona lub zmodyfikowana przez niepowołane osoby
    • Dostępność - pewność, że informacja jest zawsze dostępna wtedy kiedy jest taka potrzebna dla osób, które powinny mieć do niej dostęp.

Polityka bezpieczeństwa Informacji stworzona docelowo przez zespół ds. bezpieczeństwa Informacji lub przy współpracy z wy­specjalizowaną firmą zewnętrzną, powinna zawierać definicje celów zabezpieczenia informacji, odpowiedzialności za zarządzanie bezpieczeństwem Informacji oraz wszystkie aktywa informacyjne.

Opracowana Polityka Bezpieczeństwa Informacji powinna zawierać przegląd procedur i instrukcji, niezbędnych do wdrożenia przez organizację, które dotyczą:

    • organizacji bezpieczeństwa - opis struktury organizacyjnej odpowiedzialnej za strategiczne zagadnienia związane w zarządzaniem bezpieczeństwem Informacji i bieżącą kontrolę nad ich realizacją
    • klasyfikacji i kontroli zasobów - mechanizmy pozwalające na utrzymanie aktualności ewidencji i klasyfikacji aktywów związanych z informacją
    • bezpieczeństwa osobowego - mechanizmy pozwalające na określenie odpowiedzialności za przestrzeganie opracowanej Polityki Bezpieczeństwa Informacji przez wszystkich pracowników organizacji
    • bezpieczeństwa fizycznego i środowiskowego - opis metod kontroli dostępu, zaimplementowanych rozwiązań or­ganizacyjnych, technicznych i mechanicznych, zabezpieczających przed dostępem do stref bezpieczeństwa Informacji, osób niepowołanych
    • zarządzania systemem komputerowym i siecią - opis procedur zarządzania systemami teleinformatycznymi, w tym procedur bezpiecznej eksploatacji systemu i zakresu personalnej odpowiedzialności
    • kontroli zgodności z prawem - o zgodność z obowiązującymi przepisami prawa, takimi jak Ustawa o ochronie danych osobowych, Ustawa o Informacji niejawnej, Ustawa o prawach autorskich i prawach pokrewnych

Z opracowaną polityką bezpieczeństwa informacji powinni zostać zaznajomieni wszyscy pracownicy organizacji, pracownicy firm zewnętrznych współpracujących z organizacją, partnerzy handlowi, dostawcy oraz odbiorcy . W oparciu o przyjętą politykę po­winny być prowadzone szkolenia i warsztaty, podnoszące świadomość i wiedzę pracowników. Ważna też jest inwestycja w edukację związaną z zarządzaniem bezpieczeństwem informacji oraz w bieżące zabezpieczanie organizacj

Podstawowe korzyści z wdrożenia Polityki Bezpieczeństwa Informacji dla organizacji to:

    • zgodność z wymaganiami prawnymi
    • poprawa wizerunku organizacji
    • ochrona interesów organizacji
    • świadomości pracowników

Elektroniczna komunikacja z administracją publiczną w kontekście bezpieczeństwa informacji:

W dobie elektronicznego obiegu dokumentów pomiędzy osobami prywatnymi, firmami i instytucjami, absolutnie niezbędnym wydaje się wdrożenie elektronicznej komunikacji w Administracji Publicznej w ramach całych województw oraz podległych gmin i powiatów.

Dostosowanie administracji publicznej do wymagań XXI wieku, w tym do wymiany informacji, pism, formularzy i spraw, po­między Klientem a Instytucją, Instytucją a Instytucja, oraz Biznesem a Instytucją, wydaje się być konieczne. Komunikacja elektroniczna to szansa na zwiększenie poziomu wykorzystania nowo­czesnych technologii informacji i komunikacji wśród całej rzeszy instytucji, firm i osób.

Za główny cel wdrożenia elektronicznej komunikacji w administracji publicznej, uważa się:

    • obniżenie kosztów świadczenia usług publicznych
    • podniesienie jakości usług publicznych
    • poszerzenie oferty usług świadczonych drogą elektroniczną
    • zwiększenie stopnia wykorzystania technologii informatycznych przez mieszkańców całego regionu

Aby wykorzystać w pełni potencjał społeczeństwa informacyjnego system elektronicznej komunikacji powinien pozwolić na współdziałanie w systemie następującym podmiotom:

    • Obywatelom zainteresowanym e-usługami związanymi z załatwianiem spraw w urzędach typu C2A [Citizen - to - Ad­ministration]
    • Przedsiębiorcom zainteresowanym e-usługami związanymi z załatwianiem spraw w urzędach typu B2A [Business - to - Ad­ministration]
    • Urzędnikom - zainteresowanym e-usługami związanymi z załatwianiem spraw w urzędach typu A2A [Administration - to - Administration]

Wdrożenie elektronicznej komunikacji nie zwalnia osób zarządzających administracją publiczną od zabezpieczania systemów in­formacyjnych przed wyciekiem informacji i danych. Wdrożenie systemu elektronicznego powinno wzmocnić przekonanie osób odpowiedzialnych za bezpieczeństwo informacji w poszczególnych urzędach o konieczności zabezpieczania informacji. Tym trud­niejsze to zadanie, iż najczęściej z systemu elektronicznej komunikacji korzysta wiele gmin i powiatów, wiele instytucji i firm oraz spora ilość osób, w ramach tzw. społeczeństwa informacyjnego.

System Bezpieczeństwa w elektronicznej komunikacji wymaga wdrożenia szeregu szczegółowych polityk, regulaminów, proce­dur i instrukcji, w tym:

    • polityki bezpieczeństwa
    • regulaminu organizacji przetwarzania informacji elektronicznej
    • regulaminu organizacji przetwarzania danych osobowych
    • regulaminu ochrony informacjiregulaminu użytkowników systemu elektronicznej komunikacji
    • regulaminu bezpieczeństwa fizycznego i środowiskowego
    • planów ciągłości działania

Odpowiedzialność za bezpieczeństwo informacji

W ramach prowadzonych projektów należy wskazać osoby odpowiedzialne w poszczególnych instytucjach za bezpieczeństwo in­formacji. Jedynie jasno określone uprawnienia i odpowiedzialności pozwolą wdrożyć system elektronicznej komunikacji z sukce­sem. Niezależnie od osób wskazanych, jako osoby odpowiedzialne za prowadzenie projektu, oczywistym pozostaje postulat, iż za bezpieczeństwo informacji odpowiada każdy pracownik instytucji przystępujących do projektu.

Wymagania bezpieczeństwa dla komunikacji elektronicznej

Celem ustanowienia Systemu bezpieczeństwa, w tym Polityki Bezpieczeństwa jest zapewnienie, że kierownictwo projektu wspiera i kieruje bezpieczeństwem informacji zgodnie z wymaganiami i właściwymi przepisami prawa oraz regulacjami wewnętrznymi.

Niezbędnym wydaje się być, aby wdrażany system elektronicznej komunikacji był oparty o normy: PN-ISO/IEC 27001:2007 oraz PN-ISO/IEC 17799:2007.

Poniżej lista kilku wybranych Ustaw:

1. USTAWA z dnia 5 czerwca 1998 r. o samorządzie województwa (dz. U. z 2001 roku, nr 142, poz. 1590).

2. USTAWA z dnia 6 września 2001 r. o dostępie do informacji publicznej. (Dz. U. z dnia 8 października 2001 r., nr 112, poz. 1198).

3. USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2005 r. Nr 64, poz. 565)

4. USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926, ze zm.).

5. USTAWA z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju (Dz. U. z dnia 11 grudnia 2006 r., nr 162, poz. 1658).

6. USTAWA z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (dz. u. z 2006, nr 139, poz. 993).

7. USTAWA z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym(Dz. U. z dnia 21 maja 2007 r., nr 89, poz. 590).

8. USTAWA z dnia 18 kwietnia 2002 r. o stanie klęski żywiołowej. (Dz. U. z dnia 22 maja 2002 r., nr 62, 558).

9. USTAWA o ochronie baz danych z dnia 27 lipca 2001r. (Dz. U. z 2001 r. Nr 128, poz. 1402).

10. USTAWA o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r. (Dz. U. 1994r. Nr 24, poz. 83).

Podpis elektroniczny

Szczególowego omówienia wymaga obowiązek wprowadzony art. 40 ustawy z dnia 17 lutego 2005 roku o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2005 roku, nr 64, poz. 565 z późniejszymi zmianami). Zgodnie z jego treścią w ustawie z dnia 13 października 1998 roku o systemie ubezpieczeń społecznych (Dz. U. z 1998 roku, nr 137, poz. 887, z późniejszymi zmianami) dodany został art. 47a, który sprawdza obowiązek przekazywania dokumentów z zakresu ubezpieczeń społecznych za pomocą dokumentów elektronicznych opatrzonych bezpiecznym podpisem elektronicznym wery­fikowanym przy pomocy ważnego kwalifikowanego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późniejszymi zmianami) osoby odpowiedzialnej za przekazanie tych dokumentów. Obowiązek ten obciąża wszystkich płatników rozliczających składki z wyjątkiem tych, którzy zatrudniają poniżej 5 pracowników albo zostali przez Zakład Ubezpieczeń Społecznych upowa­żnieni do przekazania danych w formie dokumentu pisemnego w sytuacji zaistnienia uzasadnionego przypadku. Obowiązek wchodzi w życie 21 lipca 2008 roku. Zwraca uwagę fakt, że ustawodawca nakłada ten obowiązek na wszystkie podmioty rozli­czające składki nie czyniąc przy tym rozróżnienia na podmiotu ze sfery administracji publicznej i podmioty "prywatne". Warto również wspomnieć, że przekazanie dokumentów niespełniających wymogów określonych w art. 47a ust. 1 i 2 ustawy, jak rów­nież takich, które nie mogą być przetworzone przy użyciu technologii automatycznego odczytu stosowanej przez Zakład Ubez­pieczeń Społecznych traktowane będzie jako nieprzekazanie dokumentów, co może pociągać za sobą konsekwencje finansowe.

Reasumując

Elektroniczna komunikacja w administracji publicznej jest wymogiem czasów. Wdrażając nowoczesne rozwiązania należy pamiętać, iż wykorzystanie nowoczesnych technologii musi iść w parze z bezpieczeństwem informacji, którego podstawą jest zgodność z przepisami prawa.

Podobne artykuły:

Autor tekstu:

Przemysław Bańko - absolwent Politechniki Śląskiej w Gliwicach (Wydział Organizacji i Zarządzania) oraz Europejskiego Projektu CAFED /Christian Academy for European Dialogue/ w Leuven w Belgii. Doświadczenie zdobywał w Altkom Akademia SA i KSK Sp. z o.o. , obecnie współwłaściciel i Prezes Zarządu KSK Bezpieczeństwo Sp. z o.o. Współzałożyciel Wyższej Szkoły Mechatroniki w Katowicach. Autor programu studiów podyplomowych "Zarządzanie bezpieczeństwem informacji - audyt bezpieczeństwa i polityka bezpieczeństwa". Doświadczony wykładowca, audytor i konsultant - realizujący projekty z zakresu bezpieczeństwa informacji. Ceniony prelegent na konferencjach krajowych i międzynarodowych. Ekspert w zakresie Systemów Zarządzania Bezpieczeństwem Informacji. Sukcesy w zarządzaniu projektami z dziedziny bezpieczeństwa informacji i IT o wymiarze ponadlokalnym.


Źródło:globaleconomy.pl


Przemysław Bańko