Wydawnictwo Publicus Sp. z o.o.
04-260 Warszawa, ul. Jedwabnicka 1
tel/fax: +48 22 610 10 99 w. 26
Bank Zachodni WBK SA XVII Oddział Warszawa 
08 1090 1753 0000 0001 1981 0954

Ostrzeżenie

JUser::_load: Nie można załadować danych użytkownika o ID: 50.

niedziela, 25 sierpień 2013 16:59

POLITYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE

Napisane przez 

Na łamach poprzedniego wydania naszego pisma pisaliśmy o zagadnieniu bezpieczeństwa informacji i usług elektronicznych urzędu. Wspomnieliśmy również o tym, że ustalenia dotyczące bezpieczeństwa są umieszczane w specjalnym dokumencie, w którym zapisujemy tzw. „politykę bezpieczeństwa”. Zobaczmy zatem, co jest istotne wtedy, kiedy opracowujemy taki dokument.

Atrybuty bezpieczeństwa

Jak już pisaliśmy w poprzednim miesiącu, bezpieczeństwo systemów instytucji oznacza niczym niezakłócone ich funkcjonowanie podczas realizacji zadań wyznaczonych dla tych systemów. Dotyczy to również systemów informatycznych. W tym przypadku należy zapewnić niczym niezakłócone przetwarzanie danych przechowywanych na nośnikach informatycznych. Bezpieczeństwo informacyjne urzędu oznacza sumę bezpiecznego funkcjonowania systemów informatycznych oraz bezpiecznego przetwarzania informacji poza tymi systemami, składowanymi na przykład na papierze. Dlatego też problematyka bezpieczeństwa jest zagadnieniem całościowym i nie może być utożsamiana wyłącznie z komórką informatyczną w urzędzie.

Bezpieczeństwo teleinformatyczne jest związane ze spełnianiem pewnych jego własności, zwanych atrybutami bezpieczeństwa. Są to:

  1. Integralność,
  2. Poufność,
  3. Dostępność,
  4. Autentyczność,
  5. Rozliczalność,
  6. Niezawodność.

Spełnianie przez urząd tych własności nazywane jest aspektem bezpieczeństwa.

Poufność(confidentiality) oznacza, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom.

Autentyczność (authenticity) oznacza, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana. Dotyczy to użytkowników, procesów, systemów, instytucji.

Dostępność (availability) oznacza, że ktoś lub coś, co ma do tego prawo, jest dostępne i możliwe do wykorzystania na żądanie w założonym czasie.

Integralność danych (data integrity) oznacza, że dane w systemie nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

Integralność systemu (system integrity) oznacza, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej – celowej lub przypadkowej – manipulacji.

Integralność (integrity) oznacza integralność danych oraz integralność systemu.

Rozliczalność (accountability) oznacza, że działania podmiotu (np. użytkownika systemu) mogą być jednoznacznie przypisane tylko temu podmiotowi.

Niezawodność (reliability) oznacza spójne, zamierzone zachowanie i skutki działania systemu.

Pamiętajmy o tym, że bezpieczeństwo teleinformatyczne jest warunkiem koniecznym, ale nie wystarczającym dla bezpieczeństwa informacji i usług. Integralność odnosi się zarówno do informacji, usług, sprzętu i oprogramowania. Dla informacji najważniejsze są: integralność, autentyczność, poufność i dostępność. Dla usług: dostępność, integralność i rozliczalność.

Trójpoziomowy model odniesienia

W praktyce systemów bezpieczeństwa często odnosimy się do tzw. modelu trójpoziomowego (nasze rozważania opieramy na bardzo ciekawej książce Andrzeja Białasa pt. „Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie”, WNT, 2006). Trójpoziomowy model odniesienia celów, strategii i polityki bezpieczeństwa informacji i usług w instytucji jest kluczowy dla kompleksowego ujęcia zagadnień bezpieczeństwa. Model ten jest istotny dla przedstawienia ogólnej koncepcji architektury bezpieczeństwa w instytucji. Wychodzi się w nim od potrzeb wynikających z zadań biznesowych lub społecznych, realizowanych przez instytucję, dochodząc do szczegółów jej teleinformatyki i zasad organizacyjnych. Wychodząc od takiego modelu można uporządkować w podejściu hierarchicznym kwestie prawne, organizacyjne, osobowe, technologiczne, fizyczne, socjologiczne, kulturowe, psychologiczne – wszystko to, co istotnie wpływa na poziom bezpieczeństwa informacji i usług w instytucji.

W trójpoziomowym modelu odniesienia bazuje się na trzech kluczowych pojęciach, w których pojęcie niższego poziomu wynika z poziomu wyższego:

Ø  Cel – identyfikuje, co ma być osiągnięte

Ø  Strategia – określa, w jaki sposób osiągać zamierzony cel (zamierzone cele)

Ø  Polityka – określa, co konkretnie ma być realizowane, aby osiągać założenia strategii, i jakie przy tym mają być przestrzegane zasady

Polityka bezpieczeństwa stanowi szczegółową podstawę działań instytucji w zakresie osiągania pożądanego poziomu bezpieczeństwa informacji i usług.

Poziom I – Bezpieczeństwo w instytucji:

  1. Sprecyzowanie podstawowych zasad bezpieczeństwa i wytycznych dla całej instytucji,
  2. Wyrażenie ich w postaci celów, strategii i polityk bezpieczeństwa dla całej instytucji,
  3. Bardzo istotne na pierwszym poziomie jest zapewnienie legalności zasad bezpieczeństwa – ich zgodności z prawem zewnętrznym w stosunku do instytucji i jej wewnętrznymi regulacjami,
  4. Zasady bezpieczeństwa na pierwszym poziomie dotyczą kluczowych zasobów instytucji, tj.:

•       Ciągłości działania instytucji, w tym jej procesów biznesowych,

•       Zdolności produkowania swoich wyrobów lub świadczenia usług,

•       Pozytywnego wizerunku instytucji.

  1. Identyfikowane są relacje zadań statutowych i reguł bezpieczeństwa instytucji.

Poziom II – Bezpieczeństwo teleinformatyczne instytucji:

  1. Polityka bezpieczeństwa jest rozumiana jako zbiór praw, zasad postępowania i praktyk, za pomocą których wrażliwe i krytyczne informacje w zasobach teleinformatycznych są dystrybuowane, zarządzane i chronione w instytucji i jej systemach teleinformatycznych,
  2. Mówiąc inaczej, są to zasady bezpiecznej eksploatacji aktywów teleinformatycznych instytucji,
  3. Dotyczą całości procesu wytwarzania, przetwarzania, przesyłania i przechowywania informacji,
  4. Bierze się również pod uwagę istotne dla bezpieczeństwa zagadnienia z otoczenia teleinformatyki instytucji (np. zakres istotnej informacji, jej postać, jej wpływ na teleinformatykę instytucji).

Poziom III – Bezpieczeństwo poszczególnych systemów teleinformatycznych instytucji:

  1. Działa tutaj zasada najsłabszego ogniwa – najsłabiej chroniony system będzie potencjalną furtką dla incydentów bezpieczeństwa,
  2. Polityka bezpieczeństwa na tym poziomie dotyczy zbioru reguł, zasad i najlepszych praktyk zastosowanych dla ochrony konkretnego systemu teleinformatycznego instytucji,
  3. Bierze się tutaj pod uwagę indywidualne właściwości chronionego systemu (technologie, architektura, własności urządzeń, świadomość użytkowników, reguły prawne),
  4. Zbiór polityk bezpieczeństwa dla poszczególnych systemów wynika ze strategii bezpieczeństwa teleinformatycznego instytucji z poziomu II.

Jak zatem ma się do tego polityka bezpieczeństwa instytucji?Kilka kluczowych spostrzeżeń na ten temat:

  1. Wynika ona z polityki działania instytucji i jej różnych aspektów w wymiarze biznesowym,
  2. Wymiar biznesowy polityki, to m.in. polityka marketingowa, finansowa, PR, informatyzacji, kadrowa itp.,
  3. Trójpoziomowy model odniesienia powinien być stosowany racjonalnie co oznacza, że  trzeba dobierać poziom szczegółowości, rozmiar, strukturę poszczególnych elementów rzeczywistego modelu systemu bezpieczeństwa do faktycznych potrzeb,
  4. Powyższe spostrzeżenie oznacza, że najczęściej dla małej instytucji dokumentacja polityki bezpieczeństwa jest mniejsza, a dla dużej instytucji – jest ona bardziej obszerna.

Hierarchiczna struktura zarządzania bezpieczeństwem

Wynika ona z trójpoziomowego modelu odniesienia i hierarchii dokumentacji bezpieczeństwa, co oznacza, że poszczególne elementy struktury zarządzania odnoszą się do poziomów I, II  i III. Zespoły odpowiedzialne za bezpieczeństwo są powoływane w relacji do koncepcji modelu bezpieczeństwa instytucji. Na tej bazie opracowywana jest całość struktury zarządczej systemu bezpieczeństwa. Kluczową rolę w nadaniu odpowiedniego impetu w tym względzie ma zarząd instytucji. Ważna jest więc rola wójtów, burmistrzów, starostów i prezydentów miast. Ważna jest również rola rad w poszczególnych urzędach. Istotne są: precyzyjny rozdział i określenie obowiązków poszczególnych elementów składowych struktury zarządzania bezpieczeństwem w instytucji.

Dla zarządzania bezpieczeństwem tworzy się tzw. „system bezpieczeństwa instytucji”, który stanowi ogół spójnych środków i skoordynowanych przedsięwzięć w celu zapewnienia jej niezakłóconego funkcjonowania. W jego ramach tworzy się tzw. „system bezpieczeństwa teleinformatycznego instytucji”, który jest ogółem spójnych środków i skoordynowanych przedsięwzięć, zastosowanych w celu zapewnienia właściwego poziomu atrybutów bezpieczeństwa w systemach teleinformatycznych instytucji traktowanych jako jedna całość. Dla poszczególnych systemów informatycznych tworzy się tzw. „systemy bezpieczeństwa autonomicznego systemu teleinformatycznego”, które są ogółem spójnych środków i skoordynowanych przedsięwzięć, zastosowanych w celu zapewnienia właściwego poziomu atrybutów bezpieczeństwa w danych systemie teleinformatycznym.

Zatrudnijmy specjalistów

Tworzenie polityki bezpieczeństwa jest zagadnieniem specjalistycznym i wymaga posiadania odpowiedniej wiedzy i doświadczenia w tym zakresie. Na rynku funkcjonuje wiele firm doradczych specjalizujących się w udzielaniu wsparcia w opracowywaniu polityk bezpieczeństwa i w przeprowadzaniu odpowiednich certyfikacji urzędów – w celu uzyskania przezeń odpowiednich poświadczeń uzyskania właściwej dojrzałości organizacyjnej. Dlatego też ważne jest, aby urząd, znając swoje potrzeby, potrafił skorzystać z pomocy takich specjalistycznych firm. Daje to większą gwarancję na skuteczne przeprowadzenie odpowiednich działań organizacyjnych w urzędzie. Pomoże to również skutecznie dostosować się do wymogów norm z rodziny ISO 27000, które zostały wskazane jako obowiązujące w rozporządzeniu wprowadzającym do urzędów administracji publicznej wymogi Krajowych Ram Interoperacyjności.

Lock full review www.8betting.co.uk 888 Bookmaker

PARTNERZY