Wydawnictwo Publicus Sp. z o.o.
04-260 Warszawa, ul. Jedwabnicka 1
tel/fax: +48 22 610 10 99 w. 26
Bank Zachodni WBK SA XVII Oddział Warszawa 
08 1090 1753 0000 0001 1981 0954

Ostrzeżenie

JUser::_load: Nie można załadować danych użytkownika o ID: 50.

wtorek, 23 lipiec 2013 22:04

BEZPIECZEŃSTWO INFORMACJI I USŁUG ELEKTRONICZNYCH URZĘDU

Napisane przez 

Od lat urzędy elektroniczne udostępniają interesariuszom kanał komunikacji elektronicznej. Jednym ze sztandarowych projektów rządowych jest platforma ePUAP. Trzeba równocześnie przypomnieć, że popularność drogi elektronicznej w kontakcie w urzędem jest zbyt słaba. Czy powodem jest wyłącznie mentalność ludzi? W jakimś stopniu pewnie tak. Wydaje się jednak, że równie – a może bardziej – istotnym powodem może być brak zaufania interesariuszy do drogi elektronicznej.

Prawdopodobnie nie ufamy technologiom bezpieczeństwa stosowanym w urzędach. Jest to jakiś paradoks. Przecież bankowość internetowa, sklepy internetowe i portale społecznościowe mają się dobrze.

Zagadnienie całościowe

Bezpieczeństwo systemów instytucji oznacza niczym niezakłócone ich funkcjonowanie podczas realizacji zadań, wyznaczonych dla tych systemów. Dotyczy to również systemów informatycznych. W tym przypadku należy zapewnić niczym niezakłócone przetwarzanie danych przechowywanych na nośnikach informatycznych. Bezpieczeństwo informacyjne urzędu oznacza sumę bezpiecznego funkcjonowania systemów informatycznych oraz bezpiecznego przetwarzania informacji poza tymi systemami, składowanymi na przykład na papierze. Dlatego też problematyka bezpieczeństwa jest zagadnieniem całościowym i nie może być utożsamiana wyłącznie z komórką informatyczną w urzędzie.

Dla bezpiecznego funkcjonowania urzędu konieczna jest skuteczna ochrona wszystkich jego aktywów, czyli tych wszystkich bytów, które mają dla niego dużą wartość. Wartość ta wynika z tego, że zapewniają one niczym niezakłócone funkcjonowanie urzędu. Każdy urząd powinien zatem zidentyfikować swoje aktywa. Kolejnym problemem, z jakim mamy do czynienia, jest wiele różnych źródeł złożoności zagadnienia bezpieczeństwa informacji w urzędzie. Są to:

1.       ciągle zachodzące zmiany w systemach informatycznych,

2.       trudne i często zaskakujące środowisko zagrożeń bezpieczeństwa,

3.       skomplikowane procesy zarządzania bezpieczeństwem,

4.       nieprzewidywalny czynnik ludzki w pracy instytucji,

5.       duża złożoność i rozległość systemów informatycznych.

Problem zatem nie jest trywialny – i dlatego należy nim się zająć na poważnie. Nie może być to działanie przy okazji i od niechcenia.

Legislacja w bezpieczeństwie informacji i usług

Administratorzy bezpieczeństwa zajmują się problematyką zarządzania bezpieczeństwem. Są oni odpowiedzialni za całość czynności kontrolowania i zarządzania wszystkimi istotnymi problemami dotyczącymi bezpieczeństwa. Administrator bezpieczeństwa może być jednym, wyznaczonym pracownikiem instytucji. Rolę tę może również pełnić wskazany zespół osób.

Dla właściwego zarządzania bezpieczeństwem informacji i usług ważne jest stosowanie odpowiednich norm i przepisów prawa ogólnego i wewnętrznych regulacji w urzędzie. Poniższy rysunek stanowi ilustrację źródeł regulacji formalnych dla zagadnienia bezpieczeństwa:

Normy i standardy de facto nie są bezpośrednim źródłem prawa dla urzędu. Mogą być wprowadzone wyłącznie poprzez źródła prawa określone w Konstytucji RP i poprzez wewnętrzne regulacje urzędu. Do powszechnych źródeł prawa w Polsce, zgodnie z art. 87 konstytucji należą w kolejności hierarchicznej ich ważności:

1.       Konstytucja RP,

2.       ratyfikowane umowy międzynarodowe,

3.       ustawy,

4.       rozporządzenia,

5.       akty prawa miejscowego na obszarze ich oddziaływania.

Ponadto, jako członek Unii Europejskiej, Polska ma dwa dodatkowe źródła prawa zewnętrznego względem urzędu. Są to:

6.       decyzje Rady UE i Parlamentu Europejskiego, które wchodzą automatycznie na teren prawa polskiego,

7.       dyrektywy UE, które nie wchodzą automatycznie i wymagają implementacji w polskim prawodawstwie.

Zróbmy zatem krótki przegląd wybranych aktów legislacyjnych i normatywnych dotyczących bezpieczeństwa.

W ustawie o informatyzacji wprowadzono szereg regulacji dotyczących bezpieczeństwa przetwarzania informacji, dokumentów elektronicznych oraz bezpiecznego dostarczania usług elektronicznych z wykorzystaniem platformy ePUAP. Zdefiniowano znaczenie profilu zaufanego ePUAP, podpisu potwierdzanego tym profilem, elektronicznej skrzynki podawczej praz urzędowego poświadczenia odbioru dokumentu elektronicznego. Ustalono delegację ustawową dla rozporządzenia w sprawie Krajowych Ram Interoperacyjności, w których bardzo ważnym zakresem jest zdefiniowanie wymogów formalnych dla bezpieczeństwa systemów informatycznych w urzędach administracji publicznej. W tychże ramach wskazano, że kluczowe w tym zakresie są normy z rodziny PN-ISO 27000, o czym napiszemy w dalszej części artykułu. Ważnym zakresem ustawy o informatyzacji jest art. 20a, w którym uregulowano sprawy dotyczące bezpiecznej identyfikacji użytkownika systemów informatycznych. Na tej podstawie zostały wydane trzy dedykowane rozporządzenia ministra spraw wewnętrznych i administracji z kwietnia 2011 roku, które szczegółowo regulują te kwestie.

Ważną ustawą z zakresu bezpieczeństwa przetwarzania informacji jest ustawa o ochronie danych osobowych z 1997 r., która reguluje podstawowe zagadnienia dotyczące postępowania z danymi na podstawie której bezpośrednio lub pośrednio można zidentyfikować osobę, której te dane dotyczą.  Ustawa ta jest doskonale znana w każdym urzędzie, w którym pracują osoby pełniące rolę administratora bezpieczeństwa informacji. Prawdopodobnie ten zakres regulacji bezpieczeństwa jest najczęściej omawiany w codziennej pracy urzędu, a inspektorzy kontrolujący wypełnianie wymogów tejże ustawy są częstymi gośćmi w poszczególnych urzędach.

Kolejną ustawą obejmującą również organy samorządu terytorialnego jest ustawa o ochronie informacji niejawnych ze stycznia 1999 r. Reguluje ona zasady ochrony informacji stanowiących tajemnicę państwową albo tajemnicę służbową. Ustawa ta wraz z rozporządzeniem Prezesa Rady Ministrów w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego bardzo precyzyjnie i restrykcyjnie określa zasady działania instytucji, osób i systemów na styku z informacjami niejawnymi.

Ustawa o podpisie elektronicznym z września 2001 roku reguluje podstawowe kwestie dotyczące elektronicznego podpisu dokumentów przekazywanych drogą elektroniczną. Podpis elektroniczny poświadczony bezpiecznym certyfikatem i podpis poświadczony profilem zaufanym ePUAP stanowią obecnie – zgodnie z prawem – dwa sposoby elektronicznego poświadczania woli osoby składającej podpis. Jest to istotne dla urzędu, który oba te sposoby powinien respektować.

Jako ostatnią wspomnimy ustawę z kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, która jest jedną z pozostałości PRL. Ustawa ta jest o tyle istotna, że powołuje do życia zbiór PESEL, dowód osobisty jako podstawowy dokument tożsamości obowiązujący w Polsce oraz powszechnie nielubiany obowiązek meldunkowy. Zarówno PESEL, jak i dowód osobisty, są kluczowe dla skutecznego i bezpiecznego załatwiania znakomitej większości spraw urzędowych – zarówno drogą tradycyjną, jak i elektroniczną.

Normy w bezpieczeństwie informacji i usług

Przegląd aktów normatywnych wskazuje na wiele różnych norm dotyczących bezpieczeństwa informacji i usług. Wspomnimy o kilku, a mianowicie:

1.       BS 7799, ISO 17799,

2.       ISO/IEC 13355,

3.       ISO/IEC 27000.

Normy z rodziny *799 z 1999 r. wprowadziły systematykę terminologii bezpieczeństwa informacji i stanowią bardzo ważny punkt odniesienia dla całości zagadnień dotyczących bezpiecznego przetwarzania informacji i udostępniania usług drogą elektroniczną. W pierwszej jej części opisano praktykę zarządzania bezpieczeństwem informacji, a w drugiej – specyfikację systemu zarządzania bezpieczeństwem informacji.

Norma 13355 z 2001 r. stanowi kolejne usystematyzowanie problematyki bezpieczeństwa. Korzysta ona między innymi z doświadczenia podczas stosowania norm z rodziny *799. Norma ta zawiera pięć części:

1.       wytyczne do zarządzania bezpieczeństwem systemów informatycznych,

2.       planowanie i zarządzanie bezpieczeństwem systemów informatycznych,

3.       techniki zarządzania bezpieczeństwem systemów informatycznych,

4.       wybór zabezpieczeń,

5.       zabezpieczenia dla połączeń z systemami zewnętrznymi.

Normy z rodziny ISO/IEC 27000 z roku 2009 zostały wprowadzone do stosowania w administracji publicznej w Polsce od 2011 r. na podstawie Krajowych Ram Interoperacyjności. Stanowią one współczesny dorobek standaryzacyjny w zakresie bezpieczeństwa. Do rodziny należą następujące normy:

1.       Terminologia dotycząca bezpieczeństwa:

1.1.    ISO 27000.

2.       Generalne wymagania bezpieczeństwa – normy kluczowe:

2.1.    ISO 27001 – wymagania dotyczące systemu bezpieczeństwa,

2.2.    ISO 27006 – wymagania dotyczące certyfikowania instytucji w zakresie spełniania wymogów norm z rodziny ISO 27000.

3.       Generalne wytyczne bezpieczeństwa:

3.1.    ISO 27002 – wytyczne do stosowania w praktyce,

3.2.    ISO 27003 – wytyczne w zakresie wdrażania wymogów bezpieczeństwa,

3.3.    ISO 27004 – miary bezpieczeństwa i techniki pomiarów spełniania wymogów,

3.4.    ISO 27005 – wytyczne w zakresie zarządzania ryzykiem,

3.5.    ISO 27007 – wytyczne w zakresie audytów bezpieczeństwa.

4.       Normy sektorowe:

4.1.    ISO 27011 – przedsiębiorstwa telekomunikacyjne,

4.2.    ISO 27799 – organizacje ochrony zdrowia.

Zagadnienie specjalistyczne

Uff!... Tylko wspomnieliśmy o zarysie zagadnień bezpieczeństwa, a już mamy do przeanalizowania bardzo dużo konkretów. Każdy z przywołanych tematów może stanowić treść oddzielnego artykułu na łamach naszego pisma. Na teraz jednak wystarczy. W kolejnym artykule spróbujemy przybliżyć naszemu Czytelnikowi zagadnienia dotyczące polityki bezpieczeństwa i akredytacji urzędu na zgodność z wymogami bezpieczeństwa.

Lock full review www.8betting.co.uk 888 Bookmaker

PARTNERZY