Bezpieczeństwo informacyjne w zarządzaniu firmą
Transkrypt
Bezpieczeństwo informacyjne w zarządzaniu firmą
Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO Bogdan Kosowski Śląski Urząd Wojewódzki w Katowicach Bezpieczeństwo informacyjne w zarządzaniu firmą Wstęp Organizacja systemu przepływu informacji oraz wykorzystanie informacji w bieżącej i strategicznej działalności firmy, jest obecnie jednym z podstawowych problemów zarządzania, który w miarę dokonywanego postępu technologicznego ulega zasadniczym zmianom. Do niezbędnego minimum ograniczona zostaje rola intuicji w planowaniu i podejmowaniu decyzji natomiast wprowadzane do zarządzania firmą zbiory informacji, umożliwiają ścisłe, szybkie i optymalne sposoby rozwiązywania nurtujących problemów. Informacja stała się istotnym zasobem o znaczeniu gospodarczym, politycznym, itp., ważnym nie tylko ze względu na jej wartość ale także dostępność i aktualność. W wieku społeczeństwa informacyjnego, w którym komunikowanie przy pomocy technicznych środków przekazu odbywa się w sposób błyskawiczny, współczesna firma musi dbać o swoje informacje, gdyż są one jednym z czynników stanowiących przewagę nad innymi podmiotami. Ochrona informacji staje się działaniem organizacyjno-technicznym, którego głównym celem jest kontrolowanie dostępu do danych, polegające na zarządzaniu informacjami oraz zasobami informatycznymi. Zarządzanie to zwane jest często polityką bezpieczeństwa informacji [6]. Pojęcie informacji Jedną z podstawowych idei wniesionych przez cybernetykę jest pogląd, że zamiast tradycyjnego obrazu świata złożonego z energii i materii, pojawia się jeszcze trzeci składnik jakim jest informacja, albowiem bez informacji nie są do pomyślenia systemy zorganizowane [4]. W literaturze napotkać można wielorakie określanie informacji w zależności od potrzeb, którym mają one służyć. Encyklopedia Powszechna pod hasłem informacja podaje, że termin ten oznacza w cybernetyce i teorii informacji każdy czynnik, który ludzie, organizmy żywe lub urządzenia automatyczne mogą wykorzystać do bardziej celowego działania. Słownik Języka Polskiego określa informacje jako powiadomienie o czym, zakomunikowanie czego, wiadomość, możność zakomunikowania, nauczania. Natomiast z punktu widzenia zarządzania bezpieczeństwem informacji wyróżnić należy informację niejawną, która to wymaga ochrony przed nieuprawnionym ujawnieniem. Informacja stanowi tajemnicę państwową lub służbową, niezależnie od formy jej wyrażania [13]. Wynika więc z tego, że może ona być utrwalona na piśmie, mikrofilmach, negatywach, fotografiach, nośnikach do zapisu w postaci cyfrowej, czy też taśmach elektromagnetycznych i może stanowić: - - tajemnicę państwową – informacja niejawna, której nieuprawnione ujawnienie może spowodować istotne zagrożenie dla podstawowych interesów Państwa, w szczególności dla niepodległości, nienaruszalności terytorium, interesów obronności, bezpieczeństwa państwa i obywateli, albo narazić te interesy na co najmniej znaczną szkodę, tajemnicę służbową – informacja niejawna nie będąca tajemnicą państwową, uzyskana w związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której 1 Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej. Informacje niejawne zakwalifikowane jako stanowiące tajemnicę państwową oznacza się klauzulą: - „ściśle tajne” – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować istotne zagrożenie dla niepodległości, nienaruszalności terytorium albo polityki zagranicznej, stosunków międzynarodowych, bądź też może zagrozić nieodwracalnymi lub dużymi stratami dla interesów obronności, bezpieczeństwa państwa i jego obywateli, - „tajne” – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować zagrożenie dla międzynarodowej pozycji państwa, interesów obronności, bezpieczeństwa państwa i obywateli bądź innych istotnych interesów państwa, natomiast informacje stanowiące tajemnicę służbową mogą posiadać klauzulę: - „poufne” – w przypadku, gdy ich nieuprawnione ujawnienie powodowałoby szkodę dla interesów państwa, interesu publicznego lub prawnie chronionego interesu obywateli, - „zastrzeżone” – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować szkodę dla prawnie chronionych interesów obywateli albo jednostki organizacyjnej. Zasadnicza różnica między tajemnicą państwową a służbową dotyczy przede wszystkim wykazu rodzajów wiadomości stanowiących tajemnicę państwową, który jest ustalany przez ten organy administracji dla danego organu oraz wszystkich jednostek organizacyjnych mu podporządkowanych. Natomiast wykaz rodzajów informacji objętych tajemnicą służbową jest ustalany przez kierownika danej jednostki organizacyjnej i ma zastosowanie w tej jednostce organizacyjnej. Tajemnica firmy, podstawowe zagrożenia Tajemnica firmy zaczyna funkcjonować z chwilą jej ustanowienia przez przedsiębiorcę. Sfera tajemnicy może objąć takie informacje, które są znane poszczególnym osobom lub grupom ludzkim. Obszar ten nie może więc rozciągając się na informacje powszechnie znane lub te, o których treści każdy zainteresowany może się legalnie dowiedzieć [2]. Obowiązek zachowania tajemnicy przedsiębiorstwa nie może być dorozumiany, to znaczy, że pracownik musi być o tym odpowiednio wcześniej uprzedzony. Na przedsiębiorcy spoczywa obowiązek podjęcia odpowiednich działań organizacyjno-technicznych w celu utrzymania danej informacji w tajemnicy. Biorąc pod uwagę fakt, iż praktycznie każda firma posługuje się w bieżącej działalności systemami komputerowymi, często współpracującymi z siecią Internetu, zagrożenia bezpieczeństwa posiadanych danych mogą wynikać ze strony zagrożeń software’owych związanych z danymi lub oprogramowaniem oraz zagrożeń hardware’wych, które obejmują zniszczenia samego sprzętu [1]. W ramach tej klasyfikacji możemy wyróżnić: - zagrożenia zewnętrzne, które wynikają ze szkodliwego wpływu otoczenia zewnętrznego, typu niedoskonałości systemów zabezpieczeń zewnętrznych (drzwi, zamki, blokady, kody, itp.) oraz ze strony środowiska naturalnego, w którym przebywa system komputerowy. Niebezpieczeństwa środowiska naturalnego to przede wszystkim zakłócenia elektryczne, wibracje, wilgoć, różnica temperatur, kurz, itp. - zagrożenia wewnętrzne, które wynikają ze świadomych lub nieświadomych poczynań pracowników, 2 Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO - zagrożenia ze strony internetu i sieci komputerowych, które wynikają z chęci przejęcia kontroli nad zasobami przez hackerów, przestępców, czy też zwykłych użytkowników. Zagrożenia te mogą być związane: z uzyskaniem dostępu przez osoby nieupoważnione do danych transmitowanych przez sieć lub przechowywanych na dołączonych do sieci komputerach, z uzyskaniem dostępu przez osoby nieupoważnione do innych zasobów, np. moc obliczeniowa komputerowych, z uniemożliwieniem korzystania z niektórych usług, z utratą danych na skutek złośliwej ingerencji zewnętrznej, z fałszerstwa danych, itp. Techniki jakimi można posłużyć się dla osiągnięcia któregoś z wymienionych celów opierają się przede wszystkim na: - wadach protokołów sieciowych, - błędach w oprogramowaniu systemowym, - błędach administratora, użytkownika systemu. Często w czasie transferu plików zdarza się, iż zawierają one dodatkowe podprogramy, pozwalające na swobodny dostęp do zasobów komputera lub jego zniszczenie. Do najczęściej spotykanych zalicza się: - robak (worm) – powiela się w komputerach w całej sieci. Niezliczona liczba kopii tego programu powoduje przepełnienie pamięci, a w efekcie dezorganizację pracy całego systemu, - wirus – najczęściej jest przenoszony przez różne aplikacje lub pliki. Jest nieszkodliwy, póki nie zostanie uruchomiony, a kiedy to nastąpi zniekształca całe programy, - koń trojański – stwarza wrażenie użytecznego programu, będąc w rzeczywistości pułapką. Uruchomiony przez określone słowo służy włamywaczowi do zdobywania informacji, - bomba logiczna – podprogram, który uruchamia się w określonym czasie i atakuje system dokonując jego zniszczenia, - wrogi applet Javy – program będący podstawowym narzędziem programowania w internecie, może zawierać w sobie podprogram o działaniu podobnym do konia trojańskiego. Mając więc na uwadze powyższe współczesna firma musi dbać o swoje informacje, a zarządzanie na rzecz bezpieczeństwa informacyjnego musi objąć jak największy wachlarz czynności, nie tylko zabezpieczeń administracyjnych, fizycznych, ale także technicznych. Jest to spowodowane przede wszystkim potrzebą zabezpieczania wykorzystywanych w bieżącej pracy systemów komputerowych, a tym samym ochroną zawartych w nich informacji [5]. Bezpieczeństwo informacji w sieciach teleinformatycznych Jak już wspominano ze względu na coraz powszechniejsze stosowanie, szczególnej ochronie podlegają systemy i sieci teleinformatyczne przetwarzające informacje niejawne. Zobowiązuje to między innymi do opracowania szczegółowych wymagań bezpieczeństwa, które między innymi powinny uwzględniać [15]: - charakterystykę systemu lub sieci teleinformatycznej, dane o budowie systemu lub sieci teleinformatycznej, 3 Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO - określenie środków ochrony zapewniających bezpieczeństwo informacji niejawnych, przetwarzanych w systemie lub sieci teleinformatycznej, przed możliwością narażenia ich bezpieczeństwa, a w szczególności nieuprawnionym ujawnieniem, zadania administratora systemu lub sieci teleinformatycznej i pracownika pionu ochrony. Bezpieczeństwo teleinformatyczne zapewnia się przez [13]: - ochronę fizyczna, ochronę elektromagnetyczna, ochronę kryptograficzną, bezpieczeństwo transmisji, kontrolę dostępu do urządzeń systemu lub sieci teleinformatycznych. Ochrona fizyczna systemu lub sieci teleinformatycznej realizowana jest poprzez: - - umieszczenie urządzeń systemu lub sieci teleinformatycznych w strefach bezpieczeństwa w zależności od: klauzuli tajności informacji niejawnych, ilości informacji niejawnych, zagrożeń w zakresie ujawnienia, utraty, modyfikacji przez osobę nieuprawnioną, instalację środków zabezpieczających pomieszczenia, w których znajdują się urządzenia systemu lub sieci teleinformatycznej, w szczególności przed: nieuprawnionym dostępem, podglądem, podsłuchem. Czynności organizacyjne odnoszące się do polityki bezpieczeństwa informacji Czynności organizacyjne dotyczą właściwego funkcjonowania firmy i systemu informacyjnego poprzez stosowanie określonych instrukcji, procedur, upoważnień i dokumentacji. Ważne jest aby kierownictwo oraz pracownicy firmy posiadali wiedzę na temat unormowań prawnych regulujących ochronę informacji. Na osobą koordynującą działalność w zakresie przepływu informacji niejawnych można powołać pełnomocnika, do zadań którego należy przede wszystkim: - zapewnienie ochrony informacji niejawnych, - ochrona systemów i sieci teleinformatycznych, - zapewnienie ochrony fizycznej jednostki organizacyjnej, - kontrola ochrony informacji niejawnych oraz kontrola przestrzegania przepisów o ochronie tych informacji, - okresowa kontrola ewidencji, materiałów i obiegu dokumentów, - opracowanie planu ochrony i nadzorowanie jego realizacji, - szkolenie pracowników w zakresie ochrony informacji. W działaniach organizacyjnych wykorzystywane są usługi zabezpieczające, takie jak: - kontrola dostępu – możliwość ograniczenia i kontrolowania dostępu do informacji drogą identyfikacji i uwierzytelnienia, - dyspozycyjność – zapewnienie uprawnionym osobom możliwości korzystania z zasobów w każdej sytuacji, 4 Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO - uwierzytelnienie – zapewnienie autentyczności informacji i osób, zagwarantowanie, że informacja pochodzi od takiego źródła, które jest przy niej wymienione lub też osoba jest tą, za która się podaje, poufność – jest gwarancją zabezpieczenia danych przesyłanych bądź przechowywanych przed ich analizą przez osoby nieupoważnione, nienaruszalność – zapewnienie, że dane przechowywane lub przesyłane nie ulegną modyfikacji, tzn. tego, że informacja jest odbierana w takiej postaci w jakiej ją zachowano lub w jakiej została wysłana, niezaprzeczalność – gwarantuje brak możliwości zaprzeczenia faktowi wysłania lub odebrania informacji. Za pomocą tej usługi można udowodnić pochodzenie danych. Zabezpieczenia fizyczne Jednostki organizacyjne, w których materiały zwierające informacje niejawne są wytwarzane, przetwarzane, przekazywane lub przechowywane mają obowiązek stosowania środków ochrony fizycznej w celu uniemożliwienia osobom nieupoważnionym dostępu do takich informacji. Zakres stosowania środków ochrony fizycznej musi odpowiadać klauzuli tajności i ilości informacji niejawnych, liczbie oraz poziomowi dostępu do takich informacji zatrudnionych osób oraz uwzględniać wskazania stosownych służb ochrony. W celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych, należy w szczególności [13]: - - wydzielić części obiektów, które poddane są szczegółowej kontroli wejść i wyjść oraz kontroli przebywania (strefy bezpieczeństwa), wydzielić wokół stref bezpieczeństwa stref administracyjnych służących do kontroli osób i pojazdów, wprowadzić system przepustek lub inny system określający uprawnienia do wejścia, przebywania i wyjścia ze strefy bezpieczeństwa, a także przechowywania kluczy do pomieszczeń chronionych, szaf pancernych i innych pojemników służących do przechowywania informacji niejawnych, zapewnić kontrolę stref bezpieczeństwa i stref administracyjnych przez przeszkolonych pracowników pionu ochrony, stosować wyposażenie i urządzenia służące ochronie informacji niejawnych, którym na podstawie o odrębnych przepisów przyznano certyfikaty lub świadectwa kwalifikacyjne. Zabezpieczenia techniczne Zabezpieczenia tego rodzaju obejmują działalność z wykorzystaniem narzędzi technicznych [3] poza tzw. metodą zagęszczonych kół koncentrycznych, która polega na kompleksowym wykorzystaniu w jednym układzie trzech różnych metod ochrony przed ingerencja fizyczną (ogrodzenie budynku, budynek, ochraniarz sprawdzający tożsamość, identyfikatory, dostęp do pomieszczenia, gdzie przechowywane są informacje, logo użytkownika, hasło dostępu), stosowane są zabezpieczenia takie jak: - firewall (ściana ogniowa, zapora sieciowa) - to zapora pomiędzy siecią wewnętrzną organizacji a dowolną siecią zewnętrzną. Jej zadaniem jest chronić sieć wewnętrzną przed dostępem osób niepowołanych z sieci zewnętrznej poprzez filtrowanie przychodzących i wychodzących danych, zapewnienie dostępu do określonych usług internetowych i odrzucaniu usług niedopuszczonych przez administratora, - kontrola dostępu – weryfikuje tożsamość i autoryzację użytkowników systemu poprzez autentyfikację (pozytywna identyfikację użytkownika w sieci), autoryzacje (potwierdzenie 5 Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO - - praw dostępu do poszczególnych zasobów systemu, audyt (zbieranie informacji o dostępie do zasobów systemu), szyfrowanie – proces przekształcenia danych czytelnych na postać niezrozumiałą w taki sposób, aby oryginalne dane można było uzyskać za pomocą procesu deszyfrowania, posługując się odpowiednim kluczem szyfrowania, monitoring – stosowanie specjalnych programów, które czuwają nad bezpieczeństwem sieci poprzez bieżącą analizę ruchu w sieci i wpisów do logo, wykrywanie wtargnięć intruzów oraz sporządzanie szczegółowych raportów na temat bezpieczeństwa sieciowego. Systemy obsługi incydentów pozwalają na precyzyjny opis prób wtargnięcia i rekonfigurację sieci dla uniknięcia podobnych sytuacji w przyszłości. Unormowania prawne regulujące zagadnienie bezpieczeństwa informacji Ustawowe zabezpieczenia prawne ochrony informacji wywodzą się z przepisów: - Konstytucji Rzeczpospolitej Polskiej [7], w której to określone zostało: prawo do nieujawniania informacji dotyczących danej osoby, ograniczenie władz publicznych w prawie do pozyskiwania, gromadzenia i udostępniania informacji o obywatelach do zakresu niezbędnego w demokratycznym państwie prawa, prawo każdego do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z funkcjonującymi unormowaniami. - Ustawy o ochronie informacji niejawnej [13], która ma zastosowanie do: organów władzy publicznej, Sił Zbrojnych Rzeczypospolitej Polskiej, Narodowego Banku Polskiego i banków państwowych, państwowych osób prawnych, przedsiębiorców, jednostek naukowych, jednostek naukowo-badawczych. - Ustawy o nieuczciwej konkurencji [10], w której między innymi określono, że czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnice przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej. Przez tajemnicę przedsiębiorstwa należy rozumieć nie ujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe lub organizacyjne przedsiębiorstwa, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Informacje te mogą między innymi dotyczyć wielkości produkcji i sprzedaży, źródła zaopatrzenia i zbytu, itp. W razie dokonania czynu nieuczciwej konkurencji, przedsiębiorca, którego zostały naruszone interesy, może żądać: zaniechania niedozwolonych działań, usunięcia skutków niedozwolonych działań, naprawienia wyrządzonej szkody, wydanie bezpodstawnie uzyskanych korzyści. Wykorzystanie przez pracownika we własnej działalności gospodarczej informacji, co do których przedsiębiorca nie podjął niezbędnych działań w celu zachowania ich poufności, traktuje się jako wykorzystanie powszechnej wiedzy, co do której przedsiębiorca nie ma żadnych ustawowych uprawnień. 6 Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO - - - - - Ustawy o rachunkowości [11], w której to określono, że w obowiązku przedsiębiorcy jest przechowywanie w należyty sposób i chronienie przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem wszelkiej dokumentacji rachunkowej. Ochrona ksiąg rachunkowych przy użyciu systemu komputerowego powinna polegać na: stosowanie odpornych na zagrożenie nośników danych, doborze odpowiednich środków ochrony zewnętrznej, systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na nośnikach magnetycznych, zapewnienie ochrony przed nieupoważnionym dostępem do programów komputerowych. Ustawy Kodeks Cywilny [8], w którym ujęto, że odpowiedzialność cywilna wynika ze szkody wyrządzonej przedsiębiorcy. Jeśli przedsiębiorca podjął decyzję w stosunku do jakich informacji należy zachować poufność, to w takim przypadku informacja traktowana jest jako niematerialny składnik przedsiębiorstwa, który służy do realizacji określonych zadań gospodarczych. Ustawy Kodeks Karny [12], gdzie ochronie informacji poświęcony został jeden z rozdziałów, w którym to określono miedzy innymi, że kto wbrew przepisom lub przyjętego na siebie zobowiązania, ujawnia lub wykorzystuje informacje, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową podlega grzywnie, karze ograniczenia albo pozbawienia wolności. Odpowiedzialność taka spoczywa również na osobie, która bez uprawnienia uzyskuje informację dla niego nieprzeznaczoną lub osoba, która niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji bądź też w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z informacją. Ustawy Kodeks Spółek Handlowych [14], gdzie określono, że podlega pozbawieniu wolności osoba, która biorąc udział w tworzeniu spółki handlowej, będąc członkiem jej zarządu, rady nadzorczej, komisji rewizyjnej lub też będąc jej likwidatorem, działa na jej szkodę. Ustawa Kodeks Pracy [9], z której wynika, że pracownik ponosi odpowiedzialność materialną, jeśli wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę. Zarządzanie bezpieczeństwem informacyjnym Jak już wspominano, obecnie trudno wyobrazić sobie firmę, która nie wykorzystuje w działalności sieci komputerowych podłączonych do Internetu. Jednak działalności taka pociąga za sobą szereg zagrożeń, na które przedsiębiorca musi zwracać uwagę w bieżącym zarządzaniu firmą. Co prawda nie ma polityki bezpieczeństwa informacji, która byłaby na tyle uniwersalna, aby mogła się sprawdzić w każdej firmie. Jednak podejmowanie działań mających na celu identyfikacje oraz zapobieganie zagrożeniom informacyjnym, w znacznym stopniu ułatwia wybór stosownych zabezpieczeń, przy których należy się kierować ograniczeniami [6]: - finansowymi – koszt zabezpieczeń nie może przewyższać kosztów chronionego zasobu, technicznymi – nie w każdym przypadku możliwe jest użycie optymalnych rozwiązań technicznych, organizacyjnymi – nie zawsze jest możliwe wdrożenie zabezpieczenia ze względu na przyjęte struktury organizacyjne oraz brak personelu spełniającego wymagania, socjologicznymi – rozwiązania optymalne mogą być nieakceptowane przez personel, 7 Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO - środowiskowymi – otocznie zewnętrzne i wewnętrzne może nie zezwolić na zastosowanie wybranych zabezpieczeń. Planując politykę bezpieczeństwa informacji należy przede wszystkim uwzględniać: - wartość i ilość posiadanych zasobów informacji podlegających ochronie, źródło agresji, możliwości techniczne, organizacyjne i finansowe agresora, liczbę uprawnionych osób do dostępu do informacji, wskazania stosownych służb. Bardzo istotne znaczenie mają również nakłady poniesione na zapewnienie bezpieczeństwa. Należy je porównać z ewentualnymi stratami będącymi skutkiem utraty informacji, kierując się zasadami, do których można zaliczyć: - zabezpieczenia niepełnego, które powoduje poniesienie większych kosztów, a najsłabszy element systemu decyduje o poziomie bezpieczeństwa, zabezpieczenia dostosowanego do warunków danej firmy, które jednak może być droższe od zabezpieczeń standardowych, zapewnienie kompatybilności ochrony technicznej, fizycznej i organizacyjnej, wyszkolenie personelu w zakresie probezpiecznych zachowań jako element niezbędny do poprawnego funkcjonowania przyjętego systemu zabezpieczeń, zabezpieczenia pełne, które zwiększają utrudnienia, jednak i tak nie dają całkowitego bezpieczeństwa. Zawsze należy rozważyć rezygnację z jakiegoś elementu systemu, podejmując ryzyko osiągnięcia zysku ale i poniesienia strat. Ograniczenia są możliwe poprzez zarządzanie ryzykiem, definiowane często jako identyfikacja, mierzenie, sterowanie i kontrolowanie w celu maksymalnego ograniczenia skutków zdarzeń niepożądanych. Większa ilość ważnych i użytecznych informacji zmniejsza nasze ryzyko, dając nam możliwość osiągnięcia lepszych wyników, ale jest to już temat do odrębnej dyskusji. Literatura 1. Ahuja V.: Bezpieczeństwo w sieciach, wydawnictwo Mikom, Warszawa 1997. 2. Bogdański T.: Tajemnica przedsiębiorstwa – zagadnienia konstruktywne, Magazyn Prawniczy, 1977/6/228. 3. Kutyłowski M., Strothmann W.: Teoria i praktyka zabezpieczenia systemów komputerowych, Wydawnictwo Read Me, Warszawa 1998. 4. O’Shaughnessy J.: Organizacja i zarządzanie w przedsiębiorstwie (tłum. z języka angielskiego ), PWN Warszawa 1972. 5. Stallings W.: Ochrona danych w sieci i internecie, Wydawnictwo NaukowoTechniczne, Warszawa 1997. 6. Tyrała P.: Zarządzanie kryzysowe. Ryzyko-Bezpieczeństwo-Obronność, Wydawnictwo Adam Marszałek, Toruń 2001. Akty prawne 7. Konstytucja Rzeczpospolitej Polskiej z dnia 2.04.1997r. (Dz. U. nr 78, poz. 483). 8. Ustawa z dnia 23.04.1964r. Kodeks cywilny (Dz. U. nr 16, poz. 93). 9. Ustawa z dnia 26.06.1974r. Kodeks Pracy (Dz. U. nr 24, poz. 141). 10. Ustawa z dnia 16.04.1993r. o zwalczaniu nieuczciwej konkurencji (Dz. U. nr 47, poz. 211). 8 Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO 11. Ustawa z dnia 29.09.1994r. o rachunkowości (Dz. U. nr 121, poz. 591). 12. Ustawa z dnia 02.06.1997r. Kodeks karny (Dz. U. nr 88, poz. 553). 13. Ustawa z dnia 22.01.1999r. o ochronie informacji niejawnych (Dz. U. nr 11, poz. 95). 14. Ustawa z dnia 26.07.2000r. Kodeks Spółek Handlowych (Dz. U. nr 94, poz. 1037). 15. Rozporządzenie Prezesa Rady Ministrów z dnia 25.02.199r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. nr 18, poz. 162). 9