Bezpieczeństwo informacyjne w zarządzaniu firmą

Transkrypt

Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO
Bogdan Kosowski
Śląski Urząd Wojewódzki w Katowicach
Bezpieczeństwo informacyjne w zarządzaniu firmą
Wstęp
Organizacja systemu przepływu informacji oraz wykorzystanie informacji w bieżącej
i strategicznej działalności firmy, jest obecnie jednym z podstawowych problemów
zarządzania, który w miarę dokonywanego postępu technologicznego ulega zasadniczym
zmianom. Do niezbędnego minimum ograniczona zostaje rola intuicji w planowaniu
i podejmowaniu decyzji natomiast wprowadzane do zarządzania firmą zbiory informacji,
umożliwiają ścisłe, szybkie i optymalne sposoby rozwiązywania nurtujących problemów.
Informacja stała się istotnym zasobem o znaczeniu gospodarczym, politycznym, itp., ważnym
nie tylko ze względu na jej wartość ale także dostępność i aktualność.
W wieku społeczeństwa informacyjnego, w którym komunikowanie przy pomocy
technicznych środków przekazu odbywa się w sposób błyskawiczny, współczesna firma musi
dbać o swoje informacje, gdyż są one jednym z czynników stanowiących przewagę nad
innymi podmiotami. Ochrona informacji staje się działaniem organizacyjno-technicznym,
którego głównym celem jest kontrolowanie dostępu do danych, polegające na zarządzaniu
informacjami oraz zasobami informatycznymi. Zarządzanie to zwane jest często polityką
bezpieczeństwa informacji [6].
Pojęcie informacji
Jedną z podstawowych idei wniesionych przez cybernetykę jest pogląd, że zamiast
tradycyjnego obrazu świata złożonego z energii i materii, pojawia się jeszcze trzeci
składnik jakim jest informacja, albowiem bez informacji nie są do pomyślenia systemy
zorganizowane [4]. W literaturze napotkać można wielorakie określanie informacji w
zależności od potrzeb, którym mają one służyć. Encyklopedia Powszechna pod hasłem
informacja podaje, że termin ten oznacza w cybernetyce i teorii informacji każdy czynnik,
który ludzie, organizmy żywe lub urządzenia automatyczne mogą wykorzystać do bardziej
celowego działania. Słownik Języka Polskiego określa informacje jako powiadomienie o
czym, zakomunikowanie czego, wiadomość, możność zakomunikowania, nauczania.
Natomiast z punktu widzenia zarządzania bezpieczeństwem informacji wyróżnić należy
informację niejawną, która to wymaga ochrony przed nieuprawnionym ujawnieniem.
Informacja stanowi tajemnicę państwową lub służbową, niezależnie od formy jej
wyrażania [13]. Wynika więc z tego, że może ona być utrwalona na piśmie, mikrofilmach,
negatywach, fotografiach, nośnikach do zapisu w postaci cyfrowej, czy też taśmach
elektromagnetycznych i może stanowić:
-
-
tajemnicę państwową – informacja niejawna, której nieuprawnione ujawnienie może
spowodować istotne zagrożenie dla podstawowych interesów Państwa, w szczególności
dla niepodległości, nienaruszalności terytorium, interesów obronności, bezpieczeństwa
państwa i obywateli, albo narazić te interesy na co najmniej znaczną szkodę,
tajemnicę służbową – informacja niejawna nie będąca tajemnicą państwową, uzyskana w
związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której
1
nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny
lub prawnie chroniony interes obywateli albo jednostki organizacyjnej.
Informacje niejawne zakwalifikowane jako stanowiące tajemnicę państwową oznacza się
klauzulą:
- „ściśle tajne” – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować
istotne zagrożenie dla niepodległości, nienaruszalności terytorium albo polityki
zagranicznej, stosunków międzynarodowych, bądź też może zagrozić nieodwracalnymi
lub dużymi stratami dla interesów obronności, bezpieczeństwa państwa i jego obywateli,
- „tajne” – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować
zagrożenie dla międzynarodowej pozycji państwa, interesów obronności, bezpieczeństwa
państwa i obywateli bądź innych istotnych interesów państwa,
natomiast informacje stanowiące tajemnicę służbową mogą posiadać klauzulę:
- „poufne” – w przypadku, gdy ich nieuprawnione ujawnienie powodowałoby szkodę dla
interesów państwa, interesu publicznego lub prawnie chronionego interesu obywateli,
- „zastrzeżone” – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować
szkodę dla prawnie chronionych interesów obywateli albo jednostki organizacyjnej.
Zasadnicza różnica między tajemnicą państwową a służbową dotyczy przede wszystkim
wykazu rodzajów wiadomości stanowiących tajemnicę państwową, który jest ustalany przez
ten organy administracji dla danego organu oraz wszystkich jednostek organizacyjnych mu
podporządkowanych. Natomiast wykaz rodzajów informacji objętych tajemnicą służbową jest
ustalany przez kierownika danej jednostki organizacyjnej i ma zastosowanie w tej jednostce
organizacyjnej.
Tajemnica firmy, podstawowe zagrożenia
Tajemnica firmy zaczyna funkcjonować z chwilą jej ustanowienia przez przedsiębiorcę.
Sfera tajemnicy może objąć takie informacje, które są znane poszczególnym osobom lub
grupom ludzkim. Obszar ten nie może więc rozciągając się na informacje powszechnie
znane lub te, o których treści każdy zainteresowany może się legalnie dowiedzieć [2].
Obowiązek zachowania tajemnicy przedsiębiorstwa nie może być dorozumiany, to znaczy,
że pracownik musi być o tym odpowiednio wcześniej uprzedzony. Na przedsiębiorcy
spoczywa obowiązek podjęcia odpowiednich działań organizacyjno-technicznych w celu
utrzymania danej informacji w tajemnicy.
Biorąc pod uwagę fakt, iż praktycznie każda firma posługuje się w bieżącej działalności
systemami komputerowymi, często współpracującymi z siecią Internetu, zagrożenia
bezpieczeństwa posiadanych danych mogą wynikać ze strony zagrożeń software’owych
związanych z danymi lub oprogramowaniem oraz zagrożeń hardware’wych, które
obejmują zniszczenia samego sprzętu [1].
W ramach tej klasyfikacji możemy wyróżnić:
- zagrożenia zewnętrzne, które wynikają ze szkodliwego wpływu otoczenia zewnętrznego,
typu niedoskonałości systemów zabezpieczeń zewnętrznych (drzwi, zamki, blokady, kody,
itp.) oraz ze strony środowiska naturalnego, w którym przebywa system komputerowy.
Niebezpieczeństwa środowiska naturalnego to przede wszystkim zakłócenia elektryczne,
wibracje, wilgoć, różnica temperatur, kurz, itp.
- zagrożenia wewnętrzne, które wynikają ze świadomych lub nieświadomych poczynań
pracowników,
2
- zagrożenia ze strony internetu i sieci komputerowych, które wynikają z chęci przejęcia
kontroli nad zasobami przez hackerów, przestępców, czy też zwykłych użytkowników.
Zagrożenia te mogą być związane:
 z uzyskaniem dostępu przez osoby nieupoważnione do danych transmitowanych
przez sieć lub przechowywanych na dołączonych do sieci komputerach,
 z uzyskaniem dostępu przez osoby nieupoważnione do innych zasobów, np. moc
obliczeniowa komputerowych,
 z uniemożliwieniem korzystania z niektórych usług,
 z utratą danych na skutek złośliwej ingerencji zewnętrznej,
 z fałszerstwa danych, itp.
Techniki jakimi można posłużyć się dla osiągnięcia któregoś z wymienionych celów opierają
się przede wszystkim na:
- wadach protokołów sieciowych,
- błędach w oprogramowaniu systemowym,
- błędach administratora, użytkownika systemu.
Często w czasie transferu plików zdarza się, iż zawierają one dodatkowe podprogramy,
pozwalające na swobodny dostęp do zasobów komputera lub jego zniszczenie. Do najczęściej
spotykanych zalicza się:
- robak (worm) – powiela się w komputerach w całej sieci. Niezliczona liczba kopii tego
programu powoduje przepełnienie pamięci, a w efekcie dezorganizację pracy całego
systemu,
- wirus – najczęściej jest przenoszony przez różne aplikacje lub pliki. Jest nieszkodliwy,
póki nie zostanie uruchomiony, a kiedy to nastąpi zniekształca całe programy,
- koń trojański – stwarza wrażenie użytecznego programu, będąc w rzeczywistości pułapką.
Uruchomiony przez określone słowo służy włamywaczowi do zdobywania informacji,
- bomba logiczna – podprogram, który uruchamia się w określonym czasie i atakuje system
dokonując jego zniszczenia,
- wrogi applet Javy – program będący podstawowym narzędziem programowania w
internecie, może zawierać w sobie podprogram o działaniu podobnym do konia
trojańskiego.
Mając więc na uwadze powyższe współczesna firma musi dbać o swoje informacje, a
zarządzanie na rzecz bezpieczeństwa informacyjnego musi objąć jak największy wachlarz
czynności, nie tylko zabezpieczeń administracyjnych, fizycznych, ale także technicznych. Jest
to spowodowane przede wszystkim potrzebą zabezpieczania wykorzystywanych w bieżącej
pracy systemów komputerowych, a tym samym ochroną zawartych w nich informacji [5].
Bezpieczeństwo informacji w sieciach teleinformatycznych
Jak już wspominano ze względu na coraz powszechniejsze stosowanie, szczególnej
ochronie podlegają systemy i sieci teleinformatyczne przetwarzające informacje niejawne.
Zobowiązuje to między innymi do opracowania szczegółowych wymagań bezpieczeństwa,
które między innymi powinny uwzględniać [15]:
-
charakterystykę systemu lub sieci teleinformatycznej,
dane o budowie systemu lub sieci teleinformatycznej,
3
-
określenie środków ochrony zapewniających bezpieczeństwo informacji niejawnych,
przetwarzanych w systemie lub sieci teleinformatycznej, przed możliwością narażenia ich
bezpieczeństwa, a w szczególności nieuprawnionym ujawnieniem,
zadania administratora systemu lub sieci teleinformatycznej i pracownika pionu ochrony.
Bezpieczeństwo teleinformatyczne zapewnia się przez [13]:
-
ochronę fizyczna,
ochronę elektromagnetyczna,
ochronę kryptograficzną,
bezpieczeństwo transmisji,
kontrolę dostępu do urządzeń systemu lub sieci teleinformatycznych.
Ochrona fizyczna systemu lub sieci teleinformatycznej realizowana jest poprzez:
-
-
umieszczenie urządzeń systemu lub sieci teleinformatycznych w strefach bezpieczeństwa
w zależności od:
 klauzuli tajności informacji niejawnych,
 ilości informacji niejawnych,
 zagrożeń w zakresie ujawnienia, utraty, modyfikacji przez osobę nieuprawnioną,
instalację środków zabezpieczających pomieszczenia, w których znajdują się urządzenia
systemu lub sieci teleinformatycznej, w szczególności przed:
 nieuprawnionym dostępem,
 podglądem,
 podsłuchem.
Czynności organizacyjne odnoszące się do polityki bezpieczeństwa informacji
Czynności organizacyjne dotyczą właściwego funkcjonowania firmy i systemu
informacyjnego poprzez stosowanie określonych instrukcji, procedur, upoważnień i
dokumentacji. Ważne jest aby kierownictwo oraz pracownicy firmy posiadali wiedzę na temat
unormowań prawnych regulujących ochronę informacji. Na osobą koordynującą działalność w
zakresie przepływu informacji niejawnych można powołać pełnomocnika, do zadań którego
należy przede wszystkim:
- zapewnienie ochrony informacji niejawnych,
- ochrona systemów i sieci teleinformatycznych,
- zapewnienie ochrony fizycznej jednostki organizacyjnej,
- kontrola ochrony informacji niejawnych oraz kontrola przestrzegania przepisów o
ochronie tych informacji,
- okresowa kontrola ewidencji, materiałów i obiegu dokumentów,
- opracowanie planu ochrony i nadzorowanie jego realizacji,
- szkolenie pracowników w zakresie ochrony informacji.
W działaniach organizacyjnych wykorzystywane są usługi zabezpieczające, takie jak:
- kontrola dostępu – możliwość ograniczenia i kontrolowania dostępu do informacji drogą
identyfikacji i uwierzytelnienia,
- dyspozycyjność – zapewnienie uprawnionym osobom możliwości korzystania z zasobów
w każdej sytuacji,
4
-
uwierzytelnienie – zapewnienie autentyczności informacji i osób, zagwarantowanie, że
informacja pochodzi od takiego źródła, które jest przy niej wymienione lub też osoba jest
tą, za która się podaje,
poufność – jest gwarancją zabezpieczenia danych przesyłanych bądź przechowywanych
przed ich analizą przez osoby nieupoważnione,
nienaruszalność – zapewnienie, że dane przechowywane lub przesyłane nie ulegną
modyfikacji, tzn. tego, że informacja jest odbierana w takiej postaci w jakiej ją zachowano
lub w jakiej została wysłana,
niezaprzeczalność – gwarantuje brak możliwości zaprzeczenia faktowi wysłania lub
odebrania informacji. Za pomocą tej usługi można udowodnić pochodzenie danych.
Zabezpieczenia fizyczne
Jednostki organizacyjne, w których materiały zwierające informacje niejawne są
wytwarzane, przetwarzane, przekazywane lub przechowywane mają obowiązek stosowania
środków ochrony fizycznej w celu uniemożliwienia osobom nieupoważnionym dostępu do
takich informacji. Zakres stosowania środków ochrony fizycznej musi odpowiadać klauzuli
tajności i ilości informacji niejawnych, liczbie oraz poziomowi dostępu do takich
informacji zatrudnionych osób oraz uwzględniać wskazania stosownych służb ochrony. W
celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych, należy
w szczególności [13]:
-
-
wydzielić części obiektów, które poddane są szczegółowej kontroli wejść i wyjść oraz
kontroli przebywania (strefy bezpieczeństwa),
wydzielić wokół stref bezpieczeństwa stref administracyjnych służących do kontroli osób i
pojazdów,
wprowadzić system przepustek lub inny system określający uprawnienia do wejścia,
przebywania i wyjścia ze strefy bezpieczeństwa, a także przechowywania kluczy do
pomieszczeń chronionych, szaf pancernych i innych pojemników służących do
przechowywania informacji niejawnych,
zapewnić kontrolę stref bezpieczeństwa i stref administracyjnych przez przeszkolonych
pracowników pionu ochrony,
stosować wyposażenie i urządzenia służące ochronie informacji niejawnych, którym na
podstawie o odrębnych przepisów przyznano certyfikaty lub świadectwa kwalifikacyjne.
Zabezpieczenia techniczne
Zabezpieczenia tego rodzaju obejmują działalność z wykorzystaniem narzędzi
technicznych [3] poza tzw. metodą zagęszczonych kół koncentrycznych, która polega na
kompleksowym wykorzystaniu w jednym układzie trzech różnych metod ochrony przed
ingerencja fizyczną (ogrodzenie budynku, budynek, ochraniarz sprawdzający tożsamość,
identyfikatory, dostęp do pomieszczenia, gdzie przechowywane są informacje, logo
użytkownika, hasło dostępu), stosowane są zabezpieczenia takie jak:
- firewall (ściana ogniowa, zapora sieciowa) - to zapora pomiędzy siecią wewnętrzną
organizacji a dowolną siecią zewnętrzną. Jej zadaniem jest chronić sieć wewnętrzną przed
dostępem osób niepowołanych z sieci zewnętrznej poprzez filtrowanie przychodzących i
wychodzących danych, zapewnienie dostępu do określonych usług internetowych i
odrzucaniu usług niedopuszczonych przez administratora,
- kontrola dostępu – weryfikuje tożsamość i autoryzację użytkowników systemu poprzez
autentyfikację (pozytywna identyfikację użytkownika w sieci), autoryzacje (potwierdzenie
5
-
-
praw dostępu do poszczególnych zasobów systemu, audyt (zbieranie informacji o dostępie
do zasobów systemu),
szyfrowanie – proces przekształcenia danych czytelnych na postać niezrozumiałą w taki
sposób, aby oryginalne dane można było uzyskać za pomocą procesu deszyfrowania,
posługując się odpowiednim kluczem szyfrowania,
monitoring – stosowanie specjalnych programów, które czuwają nad bezpieczeństwem
sieci poprzez bieżącą analizę ruchu w sieci i wpisów do logo, wykrywanie wtargnięć
intruzów oraz sporządzanie szczegółowych raportów na temat bezpieczeństwa
sieciowego. Systemy obsługi incydentów pozwalają na precyzyjny opis prób wtargnięcia
i rekonfigurację sieci dla uniknięcia podobnych sytuacji w przyszłości.
Unormowania prawne regulujące zagadnienie bezpieczeństwa informacji
Ustawowe zabezpieczenia prawne ochrony informacji wywodzą się z przepisów:
- Konstytucji Rzeczpospolitej Polskiej [7], w której to określone zostało:
 prawo do nieujawniania informacji dotyczących danej osoby,
 ograniczenie władz publicznych w prawie do pozyskiwania, gromadzenia
i udostępniania informacji o obywatelach do zakresu niezbędnego
w demokratycznym państwie prawa,
 prawo każdego do żądania sprostowania oraz usunięcia informacji
nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny
z funkcjonującymi unormowaniami.
- Ustawy o ochronie informacji niejawnej [13], która ma zastosowanie do:
 organów władzy publicznej,
 Sił Zbrojnych Rzeczypospolitej Polskiej,
 Narodowego Banku Polskiego i banków państwowych,
 państwowych osób prawnych,
 przedsiębiorców, jednostek naukowych, jednostek naukowo-badawczych.
- Ustawy o nieuczciwej konkurencji [10], w której między innymi określono, że czynem
nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych
informacji stanowiących tajemnice przedsiębiorstwa albo ich nabycie od osoby
nieuprawnionej. Przez tajemnicę przedsiębiorstwa należy rozumieć nie ujawnione do
wiadomości publicznej informacje techniczne, technologiczne, handlowe lub
organizacyjne przedsiębiorstwa, co do których przedsiębiorca podjął niezbędne działania
w celu zachowania ich poufności. Informacje te mogą między innymi dotyczyć wielkości
produkcji i sprzedaży, źródła zaopatrzenia i zbytu, itp.
W razie dokonania czynu nieuczciwej konkurencji, przedsiębiorca, którego zostały
naruszone interesy, może żądać:




zaniechania niedozwolonych działań,
usunięcia skutków niedozwolonych działań,
naprawienia wyrządzonej szkody,
wydanie bezpodstawnie uzyskanych korzyści.
Wykorzystanie przez pracownika we własnej działalności gospodarczej informacji, co do
których przedsiębiorca nie podjął niezbędnych działań w celu zachowania ich poufności,
traktuje się jako wykorzystanie powszechnej wiedzy, co do której przedsiębiorca nie ma
żadnych ustawowych uprawnień.
6
-
-
-
-
-
Ustawy o rachunkowości [11], w której to określono, że w obowiązku przedsiębiorcy jest
przechowywanie w należyty sposób i chronienie przed niedozwolonymi zmianami,
nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem wszelkiej
dokumentacji rachunkowej. Ochrona ksiąg rachunkowych przy użyciu systemu
komputerowego powinna polegać na:
 stosowanie odpornych na zagrożenie nośników danych,
 doborze odpowiednich środków ochrony zewnętrznej,
 systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na
nośnikach magnetycznych,
 zapewnienie ochrony przed nieupoważnionym dostępem do programów
komputerowych.
Ustawy Kodeks Cywilny [8], w którym ujęto, że odpowiedzialność cywilna wynika ze
szkody wyrządzonej przedsiębiorcy. Jeśli przedsiębiorca podjął decyzję w stosunku do
jakich informacji należy zachować poufność, to w takim przypadku informacja traktowana
jest jako niematerialny składnik przedsiębiorstwa, który służy do realizacji określonych
zadań gospodarczych.
Ustawy Kodeks Karny [12], gdzie ochronie informacji poświęcony został jeden z
rozdziałów, w którym to określono miedzy innymi, że kto wbrew przepisom lub
przyjętego na siebie zobowiązania, ujawnia lub wykorzystuje informacje, z którą zapoznał
się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną,
gospodarczą lub naukową podlega grzywnie, karze ograniczenia albo pozbawienia
wolności. Odpowiedzialność taka spoczywa również na osobie, która bez uprawnienia
uzyskuje informację dla niego nieprzeznaczoną lub osoba, która niszczy, uszkadza, usuwa
lub zmienia zapis istotnej informacji bądź też w inny sposób udaremnia lub znacznie
utrudnia osobie uprawnionej zapoznanie się z informacją.
Ustawy Kodeks Spółek Handlowych [14], gdzie określono, że podlega pozbawieniu
wolności osoba, która biorąc udział w tworzeniu spółki handlowej, będąc członkiem jej
zarządu, rady nadzorczej, komisji rewizyjnej lub też będąc jej likwidatorem, działa na jej
szkodę.
Ustawa Kodeks Pracy [9], z której wynika, że pracownik ponosi odpowiedzialność
materialną, jeśli wskutek niewykonania lub nienależytego wykonania obowiązków
pracowniczych ze swej winy wyrządził pracodawcy szkodę.
Zarządzanie bezpieczeństwem informacyjnym
Jak już wspominano, obecnie trudno wyobrazić sobie firmę, która nie wykorzystuje w
działalności sieci komputerowych podłączonych do Internetu. Jednak działalności taka
pociąga za sobą szereg zagrożeń, na które przedsiębiorca musi zwracać uwagę w bieżącym
zarządzaniu firmą. Co prawda nie ma polityki bezpieczeństwa informacji, która byłaby na
tyle uniwersalna, aby mogła się sprawdzić w każdej firmie. Jednak podejmowanie działań
mających na celu identyfikacje oraz zapobieganie zagrożeniom informacyjnym, w
znacznym stopniu ułatwia wybór stosownych zabezpieczeń, przy których należy się
kierować ograniczeniami [6]:
-
finansowymi – koszt zabezpieczeń nie może przewyższać kosztów chronionego zasobu,
technicznymi – nie w każdym przypadku możliwe jest użycie optymalnych rozwiązań
technicznych,
organizacyjnymi – nie zawsze jest możliwe wdrożenie zabezpieczenia ze względu na
przyjęte struktury organizacyjne oraz brak personelu spełniającego wymagania,
socjologicznymi – rozwiązania optymalne mogą być nieakceptowane przez personel,
7
-
środowiskowymi – otocznie zewnętrzne i wewnętrzne może nie zezwolić na zastosowanie
wybranych zabezpieczeń.
Planując politykę bezpieczeństwa informacji należy przede wszystkim uwzględniać:
-
wartość i ilość posiadanych zasobów informacji podlegających ochronie,
źródło agresji,
możliwości techniczne, organizacyjne i finansowe agresora,
liczbę uprawnionych osób do dostępu do informacji,
wskazania stosownych służb.
Bardzo istotne znaczenie mają również nakłady poniesione na zapewnienie
bezpieczeństwa. Należy je porównać z ewentualnymi stratami będącymi skutkiem utraty
informacji, kierując się zasadami, do których można zaliczyć:
-
zabezpieczenia niepełnego, które powoduje poniesienie większych kosztów, a najsłabszy
element systemu decyduje o poziomie bezpieczeństwa,
zabezpieczenia dostosowanego do warunków danej firmy, które jednak może być droższe
od zabezpieczeń standardowych,
zapewnienie kompatybilności ochrony technicznej, fizycznej i organizacyjnej,
wyszkolenie personelu w zakresie probezpiecznych zachowań jako element niezbędny do
poprawnego funkcjonowania przyjętego systemu zabezpieczeń,
zabezpieczenia pełne, które zwiększają utrudnienia, jednak i tak nie dają całkowitego
bezpieczeństwa. Zawsze należy rozważyć rezygnację z jakiegoś elementu systemu,
podejmując ryzyko osiągnięcia zysku ale i poniesienia strat. Ograniczenia są możliwe
poprzez zarządzanie ryzykiem, definiowane często jako identyfikacja, mierzenie,
sterowanie i kontrolowanie w celu maksymalnego ograniczenia skutków zdarzeń
niepożądanych. Większa ilość ważnych i użytecznych informacji zmniejsza nasze ryzyko,
dając nam możliwość osiągnięcia lepszych wyników, ale jest to już temat do odrębnej
dyskusji.
Literatura
1. Ahuja V.: Bezpieczeństwo w sieciach, wydawnictwo Mikom, Warszawa 1997.
2. Bogdański T.: Tajemnica przedsiębiorstwa – zagadnienia konstruktywne, Magazyn
Prawniczy, 1977/6/228.
3. Kutyłowski M., Strothmann W.: Teoria i praktyka zabezpieczenia systemów
komputerowych, Wydawnictwo Read Me, Warszawa 1998.
4. O’Shaughnessy J.: Organizacja i zarządzanie w przedsiębiorstwie (tłum. z języka
angielskiego ), PWN Warszawa 1972.
5. Stallings W.: Ochrona danych w sieci i internecie, Wydawnictwo NaukowoTechniczne, Warszawa 1997.
6. Tyrała
P.:
Zarządzanie
kryzysowe.
Ryzyko-Bezpieczeństwo-Obronność,
Wydawnictwo Adam Marszałek, Toruń 2001.
Akty prawne
7. Konstytucja Rzeczpospolitej Polskiej z dnia 2.04.1997r. (Dz. U. nr 78, poz. 483).
8. Ustawa z dnia 23.04.1964r. Kodeks cywilny (Dz. U. nr 16, poz. 93).
9. Ustawa z dnia 26.06.1974r. Kodeks Pracy (Dz. U. nr 24, poz. 141).
10. Ustawa z dnia 16.04.1993r. o zwalczaniu nieuczciwej konkurencji (Dz. U. nr 47, poz.
211).
8
11. Ustawa z dnia 29.09.1994r. o rachunkowości (Dz. U. nr 121, poz. 591).
12. Ustawa z dnia 02.06.1997r. Kodeks karny (Dz. U. nr 88, poz. 553).
13. Ustawa z dnia 22.01.1999r. o ochronie informacji niejawnych (Dz. U. nr 11, poz. 95).
14. Ustawa z dnia 26.07.2000r. Kodeks Spółek Handlowych (Dz. U. nr 94, poz. 1037).
15. Rozporządzenie Prezesa Rady Ministrów z dnia 25.02.199r. w sprawie podstawowych
wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. nr 18, poz.
162).
9

Bezpieczeństwo informacyjne w zarządzaniu firmą

Transkrypt

Podobne dokumenty

Polityka bezpieczeństwa

Beaujolais Nouveau 2013

Klasyfikacja informacji i danych prawnie chronionych oraz

Prawne podstawy ochrony informacji niejawnych w