Bezpieczeństwo informacyjne administracji publicznej – aspekty

„XVI Forum Teleinformatyki – Sesja Młodych Mistrzów”
Miedzeszyn, 24 IX 2010r.
„Bezpieczeństwo informacyjne administracji
publicznej – aspekty społeczne, ekonomiczne
i technologiczne.
Zasady użytecznego modelowania”
Bolesław SZAFRAŃSKI, prof. WAT
Wojskowa Akademia Techniczna
1
Motto:
„Oto nasza epoka, dumna z maszyn,
które myślą, podejrzliwa wobec ludzi,
którzy próbują zrobić to samo”
H. Mumford Jones
Miedzeszyn – 2010
Bezpieczeństwo informacyjne oznacza zachowanie poufności,
integralności i dostępności informacji, gdzie:
- poufność oznacza zapewnienie, że informacja jest
dostępna tylko dla osób upoważnionych,
- integralność oznacza zapewnienie poprawności,
aktualności i kompletności informacji oraz metod jej
przetwarzania,
- dostępność oznacza zapewnienie, że osoby
upoważnione mają dostęp do informacji oraz funkcji
ich przetwarzania zawsze, gdy jest to legalnie niezbędne.
Problem
- brak spójności: podstawy prawne a podstawy audytów
3
Miedzeszyn – 2010
Kierownik JO
Odpowiedzialność
Miedzeszyn – 2010
Odpowiedzialność
Służbowa
Odpowiedzialność
Karna
Odpowiedzialność
Miedzeszyn – 2010
Nowe przyczyny zagrożeń
• Rynek walka konkurencyjna (gospodarka, polityka,
nauka);; przykłady
nauka)
przykłady:: prywatyzacja, wybory, oferta, audyty, …
),
• Technologia zmiany w procesach gromadzenia
i przetwarzania danych (oderwanie danych od wytwórcy,
rozproszone powstawanie, gromadzenie i udostępnianie,
korzystanie ze sprzętu powszechnie używanego, trudny
nadzór nad informatykami (bank),
• Kultura bezpieczeństwa brak utrwalonych i spójnych
rozwiązań prawnych, nadmierna otwartość, kultura
prywatności, …
6
Miedzeszyn – 2010
• Kultura prywatności vs kultura bezpieczeństwa,
• Dane vs informacje,
• Bezpieczeństwo informacji vs bezpieczeństwo
informacyjne.
7
Miedzeszyn – 2010
Polityka bezpieczeństwa
Polityka nakazowa
Polityka uszczelniająca
Plan lub sposób postępowania przyjęty w celu
zapewniania bezpieczeństwa informacyjnego
8
Miedzeszyn – 2010
wykorzystują
ZAGROŻENIA
PODATNOŚĆ
zwiększają
chronią przed
naraża
zwiększa
ZABEZPIECZENIA
RYZYKO
Określa
ZASOBY
posiadają
zwiększa
realizowane przez
WYMAGANIA
w zakresie
BEZPIECZEŃSTWA
WARTOŚĆ
Zależności w obszarze bezpieczeństwa
Miedzeszyn – 2010
Integracja rozwiązań bezpieczeństwa
Zasady (wybrane)
użytecznego
modelowania
(nie tylko w informatyce)
Miedzeszyn – 2010
Zasada 1: „Nie komplikuj, nie udziwniaj, nie wstydź się
prostych rozwiązań” – (… masz większą szansę trafić do
historii)
Zasada 2: „Nie rób z projektu (badawczego) sztuki” (… by
ukryć własne słabości
słabości…
…)
Zasada 3: „Założenia i ograniczenia muszą być precyzyjne,
na ile to możliwe i sensowne” – (… zwierzę czteronożne –
jedni widzą ratlerka, inni słonia)
Zasada 4: „Nie idź na skróty, nie lekceważ fazy analizy –
zwłaszcza ryzyk” – (… bo możesz się zdziwić)
Zasada 5: „Bądź
Bądź czujny – interes rozmawia wszystkimi
językami i gra wszystkie role, nawet bezinteresowności” –(
La Rochefoucauld, 1613-1680, „Rozważania i uwagi moralne )
12