Informacja i bezpieczeństwo informacji Informacją określamy dane

Informacja i bezpieczeństwo informacji
Informacją określamy dane, poprzez które wzrasta stopień wiedzy odbiorcy oraz które wnoszą
do jego świadomości pierwiastek nowości.
Dane przedstawiają elementy świata zewnętrznego wskazujące konieczność zapamiętania pewnych
faktów, zdarzeń, prawidłowości itp. lub łatwość ich przetwarzania. Generując informację, tj. dane
wraz z ich przesłaniem (sensem), należy zwrócić uwagę, że aby odnotować informację należy
wyodrębnić właściwą grupę tzn. przedstawić ją w postaci danych. Zatem dane mogą wyrażać
informacje, jeżeli uprzednio zostaną właściwie uporządkowane – zostaną użyte do stworzenia
sprecyzowanych komunikatów. Dane i informacje określają pojęcia o odmiennych znaczeniach.
Informacje stanowią poziom wyższy w odniesieniu do danych. Określenia te nie mogą być
wykorzystywane zamiennie, jako synonimy. Interpretacja danych niesie konieczność posiadania
odpowiedniej wiedzy, aby nadać im sens.
Odróżnienie znaczeń– informacja i dana– umożliwia zdefiniowanie tezy: tworzenia procesów
informacyjnych nie można zapoczątkować od gromadzenia danych, lecz od wskazania istotnych
informacji. Stanowi to zabezpieczenie w odniesieniu do nierozważnych działań związanych
z kompletowaniem dużych zbiorów danych, które nie daje pewności zdobycia przydatnych
informacji. Gromadzenie w bazie danych określonej tematyki przyjętej jako informacje stwarza
możliwość przekształcenia informacji w zbiór danych, dzięki czemu można je konfigurować
w całkowicie inne struktury niż na początku. Zgodnie z definicją, informacji nie można
przechowywać, procesowi przechowywania mogą podlegać jedynie dane. Zarówno człowiek,
jak i maszyna mogą być odbiorcami tych danych, jednakże tylko człowiek posiada zdolność ich
interpretowania, poprzez co stanowią one dla niego informacje, maszyna nie posiada umiejętności
wnioskowania ani logicznego myślenia, niezbędnych do interpretacji, stąd też maszyna podejmuje
działania jedynie na danych, natomiast informacja jest skierowana tylko do człowieka. Zarządzając
informacją należy nawiązać do istoty informacji oraz określić sposób jej zabezpieczenia
w działających organizacjach.
Bezpieczeństwo informacji – pojęcie to przytacza się coraz częściej i przez coraz większą liczbę
osób. Wzrostem zainteresowania tą tematyką dochodzi, gdy w środkach masowego przekazu
pojawia się wiadomość, że klienci jednego z banków padli ofiarą ataku, przez co przechwycono ich
hasła dostępu do rachunków bankowych.
Czy w związku z powyższym bezpieczeństwo informacji stanowi temat doraźny? Czy adresatem są
tylko duże organizacje? Czy pojęcie bezpieczeństwa informacji dotyczy także małych podmiotów,
w której zatrudniono tylko kilku pracowników i w ocenie właściciela firma nie dysponuje
informacjami, które musiałaby chronić?
Co to jest Polityka Bezpieczeństwa Informacji?
Polityka Bezpieczeństwa Informacji (PBI) obejmuje zestaw przyjętych zasad i elementarnych
wymagań, przedstawiających, w jaki sposób materialnymi i informacyjnymi aktywami podmiotu
należy zarządzać, w jaki sposób można je udostępniać i zabezpieczyć przed nieupoważnionym
wykorzystaniem, zniszczeniem lub nieautoryzowanymi zmianami.
Polityka Bezpieczeństwa powinna tworzyć spisany dokument, z którego tematyką zostali zapoznani
wszyscy pracownicy podmiotu. Osoby nowo zatrudnione zaś obligatoryjnie powinny przejść
szkolenie w zakresie jej treści. Z PBI powinny być również zaznajomione osoby podejmujące
współpracę z jednostką.
Dokument PBI opracowany jest przy użyciu pojęć technicznych i prawniczych, mogących stanowić
trudność w odbiorze dla przeciętnego czytelnika, dlatego tak istotne jest, aby opracować dokument
sformułowany w sposób prosty i zrozumiały dla użytkownika.
PBI musi podlegać systematycznej aktualizacji i modyfikacji w zakresie potrzeb danej organizacji
i powstających zmian w jej otoczeniu.
Znaczenie Polityki bezpieczeństwa nie jest jednoznaczne, może obejmować:
• Polityką bezpieczeństwa w rozumieniu całościowym,
• Polityką bezpieczeństwa w rozumieniu Ustawy o Ochronie Danych Osobowych,
• Polityką bezpieczeństwa określającą założenia skierowane wyłącznie dla przyjętego systemu
IT (zbioru danych).
Polityka bezpieczeństwa w rozumieniu całościowym, nie zawiera szczegółowych, a jednocześnie
kompletnych informacje zastosowanych założeń dla określonego obszaru. Np. nie zawiera pełnego
katalogu przyjętych zasad wykorzystywanych w zakresie zabezpieczeń serwerów, całościowej
instrukcji reagowania w sytuacji zagrożenia bezpieczeństwa czy konfigurowania szyfrowanej
poczty) – ten zakres powinien być ujęty w innej dokumentacji, tj. standardach czy procedurach.
Należy zwrócić uwagę, że klasyfikacja ta nierzadko ulega zatarciu i w efekcie w małych czy
średnich podmiotach polityka bezpieczeństwa może uwzględniać elementy standardów czy
procedur.
W jakim celu stosuje się PBI?
W procesie opracowania dokumentu PBI, należy mieć na uwadze kilka celów: jednym
z najistotniejszych jest spełnienie wymogów uregulowanych prawnie.
Ważne jest, aby podejść do tematu bezpieczeństwa informacji w sposób bardziej zaangażowany, nie
tylko tworzyć kompletne i zrozumiałe dokumenty, ale także aby w funkcjonowaniu jednostki
faktycznie wdrożyć zasady polityki bezpieczeństwa.
Jak wcześniej wskazano informacja jest ważnym zasobem, którym organizacja może zarządzać i za
który ponosi odpowiedzialność. Informacja jest elementarnym zasobem stanowiącym wartość
najcenniejszą, ważniejszą niż np. nieruchomości, sprzęt komputerowy czy inne wyposażenie.
Niektóre podmioty są w posiadaniu informacji o obywatelach, które winny być w sposób
szczególnie chroniony – np. informacje o dochodach, stanie zdrowia itp.
Możemy wyróżnić trzy priorytety, którym system bezpieczeństwa informacji powinien służyć
i zagwarantować:
1) Poufność – określana jako zapewnienie, że informacja podlegająca ochronie udostępniona
jest wyłącznie dla osoby dysponującej odpowiednim upoważnieniem;
2) Integralność – zagwarantowanie, że kompletne i dokładne informacje podlegają
przetwarzaniu w kontrolowany sposób;
3) Dostępność – osoby dysponujące upoważnieniem i którym informacje są potrzebne, mają
zapewniony do nich dostęp we właściwym miejscu i czasie.
Integralność i dostępność obejmują zarówno informacje chronione, jak i jawne. Informacja
publicznie udostępniona, jak np. treść strony internetowej urzędu, także powinna zostać objęta
ochroną (np. przed włamaniem i modyfikacją jej treści).
Celem PBI jest także zagwarantowanie gotowości jednostki do przedsięwzięć w sytuacjach
kryzysowych, które dają możliwość kontynuowania funkcjonowania jednostki co najmniej
w obszarze podstawowych zadań.
Istotnym celem polityki bezpieczeństwa jest zapewnienie, aby każdy użytkownik informacji miał
świadomość własnej odpowiedzialności za utrzymywanie bezpieczeństwa.
Co PBI powinno zawierać?
Istotne jest, aby dokument opisujący zasady funkcjonowania polityki bezpieczeństwa zawierał:
1) definicje bezpieczeństwa informacji, wraz ze wskazaniem ogólnych celów i zakresów oraz
wymiar bezpieczeństwa w postaci mechanizmu dającego możliwość na wspólne
wykorzystanie informacji;
2) oświadczenie o intencjach osób obejmujące stanowiska kierownicze, uznające cele i zasady
w zakresie bezpieczeństwa informacji;
3) krótkie objaśnienie polityki bezpieczeństwa, reguł, standardów i wymagań zgodności
stanowiących istotną wartość dla instytucji, np.:
a) zgodność z przepisami prawa i wymaganiami wynikającymi z zawartych umów;
b) wymagania dotyczące podejmowania kształcenia w zakresie bezpieczeństwa;
c) zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania;
d) zarządzanie kontynuacją funkcjonowania biznesowego;
e) następstwa naruszenia polityki bezpieczeństwa;
4) definicje obejmujące ogólne i szczególne obowiązki wynikające z zarządzania
bezpieczeństwem informacji, w tym także zgłaszania incydentów naruszenia bezpieczeństwa;
5) objaśnienia w ramach dokumentacji uzupełniającej politykę, np. bardziej szczegółowych
polityk bezpieczeństwa i procedur dla pojedynczych systemów informatycznych lub reguł
bezpieczeństwa, do przestrzegania których użytkownicy są zobligowani.
Przepisy ustawy o ochronie danych osobowych określają, jakie elementy w szczególności polityka
bezpieczeństwa powinna zawierać:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, stanowiące zakres, w którym dane
osobowe podlegają przetwarzaniu;
2)
katalog
zbiorów
danych
osobowych
wraz
z
uwzględnieniem
programów
wykorzystywanych do przetwarzania tych danych;
3) objaśnienie struktury zbiorów danych wraz z wyznaczeniem istoty poszczególnych pól
informacyjnych i połączenia pomiędzy nimi;
4) określenie sposobu przepływu danych między pojedynczymi systemami;
5) wskazanie środków technicznych i organizacyjnych gwarantujących poufność, integralność
i rozliczalność w procesie przetwarzania danych.
Propozycja planu polityki bezpieczeństwa informacji:
Polityka bezpieczeństwa
Polityka
bezpieczeństwa
danych
osobowych
Polityka
bezpieczeństwa
Fizycznego
i technicznego
Polityka
Bezpieczeństwa
Informacji (Internet,
poczta elektroniczna)
Polityka
rachunkowości
Instrukcje
zarządzania
systemami
informatycznymi
w zakresie
przetwarzania
danych osobowych
Instrukcja ochrony
bezpośredniej
i pośredniej
Regulamin
korzystania
z urządzeń
mobilnych
Instrukcja
zarządzania
danymi
w systemie
rachunkowości
Administrator danych osobowych w zakresie polityki bezpieczeństwa danych osobowych jest
zobowiązany sporządzić instrukcję opisującą sposób zarządzania systemem informatycznym,
wykorzystywanym w procesie przetwarzania danych. Instrukcja powinna określać informacje
o wdrożonym systemie informatycznym oraz o zbiorach danych osobowych, które podlegają
przetwarzaniu. Należy określić informację o zastosowanych rozwiązaniach technicznych, jak
również określać procedury dające gwarancję ochrony przetwarzanych danych. W sytuacji
wykorzystywania kilku systemów informatycznych, administrator danych może sporządzić ogólną
instrukcję lub instrukcje wyodrębnione dla każdego z tych systemów. Ogólna instrukcja powinna
określać przyjęte rozwiązania wspólne dla wszystkich, jak również opisywać procedury typowe dla
pojedynczych systemów. W dokumencie tym należy przedstawić procedury przydzielania
uprawnień w zakresie przetwarzania danych i ewidencjonowania ich w systemie informatycznym
oraz zasady wyznaczania osób ponoszących odpowiedzialność za ich funkcjonowanie.
Administrator danych zobligowany jest do zapewnienia bezpieczeństwa przetwarzanych danych
polegających na zastosowaniu właściwych środków technicznych i organizacyjnych w celu ochrony
danych w razie zniszczenia, kradzieży, utraty. Wśród środków organizacyjnych należy wymienić
m.in.
edukację
pracowników,
klauzule
zachowania
tajemnicy,
nadanie
identyfikatora
i zaszyfrowanie dostępu, zasady pracy użytkowników od momentu ich rozpoczęcia do zakończenia,
tworzenie kopii zapasowych, kontrola dostępu do pomieszczeń, w których daną są przetwarzane,
natomiast do środków technicznych należą m. in.: monitoring, systemy alarmowe, szafy pancerne,
itd. W polityce bezpieczeństwa, dokumencie z którym zobowiązany jest zapoznać się każdy
pracownik nie należy szczegółowo podawać charakterystyki technicznej i konfiguracji
wykorzystywanych narzędzi. Dokumenty ten powinien być udostępniony wyłącznie osobom
posiadającym właściwe upoważnienia.
W zakresie przepływu danych pomiędzy systemami administrator danych zobowiązany jest określić
sposoby korzystania z przeglądarek internetowych, poczty elektronicznej, a dokładnie przedstawić
procedury przechowywania haseł użytkowników do wykorzystywanych aplikacji internetowych.
W sytuacji, gdy dane przekazywane są w sposób manualny (zewnętrzne nośniki danych) lub
półautomatycznie (teletransmisja, specjalne funkcje eksportu/importu danych) należy określić
procedurę ich przekazywania. Opisany przepływ często występuje w pomiędzy systemami
kadrowymi i płacowym, a systemem płatnik wykorzystywanym do rozliczeń z ZUS. Polityka
bezpieczeństwa nie nakłada w tej sytuacji opisywania metod technologicznych, jednostki
lub rodzaju narzędzi w zakresie przesyłania danych koniecznych do zagwarantowania ich ochrony
w trakcie teletransmisji.
Rachunkowość ze względu na specyficzny system informacji, w ramach którego gromadzone,
przetwarzane i udostępniane są dane w różnej postaci (obejmujący aktywa i źródła ich pochodzenia,
przepływy pieniężne, przychody, koszty i wynik działalności podmiotu) wymaga szczególnych
zabezpieczeń. Stąd też, tak istotne jest sporządzenie procedur tworzących uporządkowany system
ochrony przetwarzanych informacji. Właściwa ochrona może zapewnić wdrożona polityka
bezpieczeństwa informacji, w wyniku której ograniczony zostanie dostęp do informacji,
zapobiegając jednocześnie sytuacją, w których dane mogą ulec zniszczeniu, kradzieży czy ich
nieuprawnionej modyfikacji. Zgodnie z przepisami ustawy o rachunkowości zbiory danych należy
w należyty sposób przechowywać i zapobiegać powyższym sytuacją. Jednym z dokumentów
gwarantującym sprawne funkcjonowanie rachunkowości stanowi tzw. polityka rachunkowości.
Obowiązkowy dokument umożliwiający ewidencję zdarzeń gospodarczych oraz ich możliwość
modyfikacji celem pozyskiwania użytecznych informacji z systemu rachunkowości. Nieodłącznym
elementem rachunkowości jest sprawozdanie finansowe, które również podlega ochronie.
Ze względu na fakt, że przedstawieniu podlegają dane liczbowe wynikające z ewidencji księgowej
w zestawieniu niezbędnym do kontroli, oceny i statystyki gospodarczej należy zapobiec
nieuprawnionym ich zmianom. Ochronie podlegają również dowody księgowe potwierdzające
dokonanie operacji gospodarczej, będące jednocześnie podstawą ewidencji w urządzeniach
księgowych, a także dokumenty wygenerowane w wyniku przeprowadzonej inwentaryzacji
składników majątku. W szczególności należy określić kryteria tworzące zasady, tryb i organizację
przeprowadzania inwentaryzacji, a zatem wewnętrzne procedury – instrukcje, zarządzenia oraz inne
dokumenty jak np. arkusze spisu z natury, pisemne uzgodnienie salda.
Zabezpieczenia te powinny być stosowane przy wykorzystaniu odpornych na zagrożenia nośników
danych, na właściwej ochronie zewnętrznej, przy regularnym sporządzaniu kopii zapasowych
zbiorów danych zapisanych na informatycznych nośnikach danych, gwarantujących trwałość zapisu
informacji systemu rachunkowości, a także na zapewnieniu ochrony programów komputerowych
i danych systemu informatycznego rachunkowości, przy użyciu właściwych rozwiązań
informatycznych i organizacyjnych.