Zarządzanie bezpieczeństwem a polityka bezpieczeństwa systemu informatycznego w przedsiębiorstwie

Transkrypt

1 Zeszyty Naukowe nr 798 Uniwersytetu Ekonomicznego w Krakowie 2009 Katedra Informatyki Zarządzanie bezpieczeństwem a polityka bezpieczeństwa systemu informatycznego w przedsiębiorstwie Streszczenie. Artykuł poświęcony jest trudnościom, które powstają podczas definiowania terminów bezpieczeństwo systemów informatycznych, zarządzanie bezpieczeństwem i polityka bezpieczeństwa SI. Autor dokonał przeglądu licznych publikacji, norm i standardów z zakresu bezpieczeństwa systemów informatycznych i przedstawił rozbieżności terminologiczne występujące pomiędzy wspomnianymi pojęciami oraz podjął próbę wyjaśnienia przyczyn ich powstania. Ponadto w artykule zaprezentowane zostały definicje tych pojęć zgodne z przyjętymi międzynarodowymi standardami i światową praktyką. Słowa kluczowe: bezpieczeństwo systemów informatycznych, zarządzanie bezpieczeństwem systemów informatycznych, polityka bezpieczeństwa 1. Wprowadzenie Na całym świecie wraz z rozwojem i upowszechnieniem się systemów informatycznych (SI) zagadnienia związane z zapewnieniem ich bezpieczeństwa nabrały niekwestionowanego znaczenia. Polska nie jest tutaj wyjątkiem rodzime przedsiębiorstwa, zmuszone do utrzymania odpowiedniego poziomu bezpieczeństwa w swoich systemach informatycznych, zgłaszają zapotrzebowanie na wszelkie informacje i usługi z tym związane. Naturalną odpowiedzią na rosnące zapotrzebowanie rynku jest pojawienie się licznych publikacji (książek, wytycznych, artykułów itp.) oraz świadczenie przez firmy informatyczne usług z zakresu bezpieczeństwa komputerowego (m.in. w obszarze audytu bezpieczeństwa SI,

2 86 doradztwa, projektowania i wdrażania zabezpieczeń itp.). Ogromna liczba publikacji oraz usług świadczonych przez liczne firmy informatyczne może sprawiać wrażenie, że na polskim rynku problematyka bezpieczeństwa jest ściśle określona i doskonale znana. Tymczasem okazuje się, że już na etapie definiowania problemu i zakresu działań pojawiają się pewne trudności i niezgodności pojęciowe. Kierownictwa przedsiębiorstw, studiując publikacje z zakresu bezpieczeństwa systemów informatycznych lub oczekując od specjalistycznych firm konkretnej pomocy, niejednokrotnie natrafiają na nieścisłości związane z postrzeganiem i nazywaniem poszczególnych, często elementarnych, zjawisk i działań. Już na początku trudność sprawia zdefiniowanie samego bezpieczeństwa systemu informatycznego. Jednak największe nieścisłości związane są z pojęciem polityki bezpieczeństwa oraz zarządzania bezpieczeństwem. Mimo że wskazane problemy mogą wydawać się czysto teoretyczne i łatwe do rozwiązania poprzez dobór odpowiedniej nomenklatury, w praktyce stwarzają niemałe trudności (np. jeżeli przedsiębiorstwo korzysta z usług różnych firm doradczych, które inaczej definiują zagadnienie bezpieczeństwa i w odmienny sposób postrzegają proces jego osiągnięcia). Dlatego właśnie celem niniejszego artykułu jest zwrócenie uwagi na pewne trudności w definiowaniu wspomnianych pojęć oraz rozbieżności terminologiczne występujące pomiędzy nimi. Autor dokonał przeglądu licznych publikacji, norm i standardów z zakresu bezpieczeństwa systemów informatycznych, porównał występujące tam definicje poszczególnych terminów (ze szczególnym zwróceniem uwagi na rozbieżności między nimi) oraz podjął się próby wyjaśnienia przyczyn powstania tych różnic. Ponadto przedstawił znaczenie omawianych pojęć zgodne z przyjętymi obecnie międzynarodowymi standardami i światową praktyką. 2. Pojęcie bezpieczeństwa systemu informatycznego Bezpieczeństwo, mimo że wydaje się powszechnie zrozumiałe, w rzeczywistości należy do sfery subiektywnych odczuć i może być postrzegane w różny sposób. W Słowniku języka polskiego [Słownik 2002] określa się je jako stan niezagrożenia, spokoju, pewności. Zgodnie z innym słownikiem [Smolski i in. 1999] bezpieczeństwo to pojęcie trudne do zdefiniowania. Sytuacja, w której istnieją formalne, instytucjonalne, praktyczne gwarancje ochrony. W terminologii informatycznej także można znaleźć różne definicje bezpieczeństwa, np.:

3 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 87 bezpieczeństwo to miara zaufania, że system i jego dane pozostaną nienaruszone 1 [Adamczewski 2000], bezpieczeństwo komputerowe to stan, w którym komputer jest bezpieczny, tzn. jego użytkownik może na nim polegać, a zainstalowane oprogramowanie działa zgodnie ze stawianymi mu oczekiwaniami [Garfinkel i Spafford 1997], bezpieczeństwo systemów informatycznych polega na ochronie informacji, systemów lub usług przed katastrofami, błędami i manipulacjami, a także na minimalizowaniu prawdopodobieństwa i skutków wystąpienia przypadków naruszenia bezpieczeństwa oraz sprowadza się do zachowania poufności, integralności i dostępności zasobów i usług systemu [Boran 1999]. Traktowanie bezpieczeństwa jako stanu, w którym jego pewne właściwości (tzw. atrybuty bezpieczeństwa) są zachowane, staje się coraz bardziej powszechne. Już w 1992 r. Organizacja Rozwoju i Współpracy Gospodarczej (OECD) w swoich Wytycznych w sprawie bezpieczeństwa systemów informacyjnych określiła i zdefiniowała podstawowe atrybuty bezpieczeństwa systemu takie jak dostępność, poufność i integralność [Adamski 1998]. W 1996 r. Międzynarodowa Organizacja Normalizacyjna (ISO) w raporcie technicznym ISO/IEC TR uzupełniła listę atrybutów o trzy kolejne rozliczalność, autentyczność i niezawodność [PN-I ] 2, ponieważ wg ISO zachowanie tylko poufności, integralności i dostępności jest niewystarczające do zapewnienia bezpieczeństwa systemów informatycznych. Wystarczają one jednak do zapewnienia bezpieczeństwa informacji (zob. [PN-ISO/IEC 17799]). Obecnie, zgodnie ze standardami polskimi i międzynarodowymi, pod pojęciem bezpieczeństwa systemów informatycznych rozumiane są wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności systemu [PN-I ]. Wymienione atrybuty bezpieczeństwa systemu informatycznego należy rozumieć następująco: poufność (ang. confidentiality) właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom; integralność systemu (ang. system integrity) właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od 1 Traktowanie bezpieczeństwa jako pewnej miary ma duże znaczenie dla działań związanych z wyznaczeniem poziomu bezpieczeństwa. 2 Polska norma [PN-I ] jest tłumaczeniem międzynarodowego raportu technicznego dotyczącego zarządzania bezpieczeństwem systemów informatycznych: ISO/IEC TR :1996, Information Technology Guidelines for the Management of IT Security, Part 1: Concepts and Models for IT Security, 1996.

4 88 nieautoryzowanej manipulacji, celowej lub przypadkowej. Integralność danych (ang. data integrity) właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany; dostępność (ang. availability) właściwość bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot; rozliczalność (ang. accountability) właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; autentyczność (ang. authenticity) właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana. Autentyczność dotyczy takich podmiotów jak użytkownicy, procesy, systemy i informacja; niezawodność (ang. reliability) właściwość oznaczająca spójne, zamierzone zachowanie i jego skutki. Tak sformułowana definicja obejmuje złożony i niejednorodny charakter bezpieczeństwa systemów informatycznych oraz podkreśla konieczność rozpatrywania go na wielu płaszczyznach. Jest ona obecnie przyjęta i uznana na całym świecie. 3. Pojęcie zarządzania bezpieczeństwem i polityki bezpieczeństwa systemu informatycznego uwagi terminologiczne W literaturze światowej terminy polityka bezpieczeństwa (ang. security policy) oraz zarządzanie bezpieczeństwem systemów informatycznych (ang. management of IT security) obowiązywały powszechnie już w latach 90. Opublikowany w 1996 r. raport ISO/IEC TR Guidelines for the Management of IT Security dodatkowo rozpowszechnił i ujednolicił ich znaczenie. Zgodnie z nim zarządzanie bezpieczeństwem jest pojęciem szerszym niż polityka bezpieczeństwa i obejmuje wszystkie procesy (działania) zmierzające do utrzymania odpowiedniego poziomu bezpieczeństwa. Opracowanie i realizowanie polityki bezpieczeństwa jest tylko jednym z elementów zarządzania bezpieczeństwem. Sama polityka bezpieczeństwa to ustalone zasady (zarządzenia, procedury) określające sposób postępowania z zasobami systemu, zapewniający im odpowiednią ochronę. Tymczasem w polskiej literaturze przedmiotu pojęcia te napotkały na problemy translacyjne i znaczeniowe. Pierwsze wysokonakładowe publikacje poświęcone tym zagadnieniom były tłumaczeniami książek anglojęzycznych (np. [Stallings 1997, Garfinkel i Spafford 1997, Ahuja 1997, Klander 1998]). Występujący w nich termin security policy tłumaczony był różnie, co zależało głównie od tłumacza, nie zawsze obeznanego z tą tematyką. Jednak w opracowaniach polskich autorów również nie było jednorodności. Security policy tłumaczono jako polityka ochrony, polityka bezpieczeństwa lub polityka zabezpieczenia

5 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 89 (zob. np. [Stawowski 1998, Piotrowski, Szymaczek 1997]), przy czym polityka zabezpieczenia została przyjęta przez Polski Komitet Normalizacyjny w normie Zabezpieczenia w systemach informatycznych Terminologia wydanej w 1998 r. [PN-I-02000] jako oficjalne tłumaczenie tego terminu. Bardziej istotny jest jednak fakt, że w praktyce nie funkcjonowało pojęcie zarządzania bezpieczeństwem SI. Rolę występującego w literaturze anglojęzycznej management of IT security przypisywano właśnie polityce zabezpieczenia 3 (zob. np. [Piotrowski i Szymaczek 1997, Stawowski 1998, Ciesielczyk i Watras 1998, Górski 1998, Kifner 1999, Szukszta 1999]). Do takiego stanu rzeczy przyczyniło się zapewne samo słowo polityka, które w języku polskim rozumiane jest jako określone działanie [Szymczak 2002], zaś w języku angielskim jako plan działania [Collins English Dictionary 1991]. Dopiero przetłumaczenie, uznanie za normę i opublikowanie przez Polski Komitet Normalizacyjny w 1999 r. raportu ISO/IEC TR [PN-I ] sprawiło, że terminy polityka bezpieczeństwa oraz zarządzanie bezpieczeństwem systemów informatycznych zaczęły rozpowszechniać się także w rodzimej literaturze przedmiotu. Dalsze prace Międzynarodowej Organizacji Normalizacyjnej doprowadziły do ustanowienia w 2000 r. międzynarodowej normy ISO/IEC Code of Practice for Information Security Management. Norma ta wprowadziła obok pojęcia zarządzania bezpieczeństwem systemów informatycznych szersze znaczeniowo pojęcie zarządzanie bezpieczeństwem informacji. Dokument ten również w Polsce, jeszcze przed uznaniem go przez PKN za normę Praktyczne zasady zarządzania bezpieczeństwem informacji [PN-ISO/IEC 17799], zdobył uznanie środowisk informatycznych i ostatecznie przyczynił się do rozpowszechnienia omawianych pojęć. Od tego czasu zarządzaniu bezpieczeństwem systemów informatycznych i zarządzaniu bezpieczeństwem informacji 4 poświęcono wiele 3 Np. M. Stawowski [1998] podaje, że: polityka bezpieczeństwa obejmuje wszystkie przedsięwzięcia realizowane przez kierownictwo, administratorów, personel techniczny, użytkowników oraz innych członków organizacji związane z utrzymaniem odpowiedniego poziomu bezpieczeństwa systemu. 4 Obecnie specjaliści z tej dziedziny są zgodni, że w praktyce terminy zarządzanie bezpieczeństwem systemów informatycznych (lub informacyjnych) i zarządzanie bezpieczeństwem informacji w systemie informatycznym są niemal jednoznaczne, ponieważ opisują to samo zagadnienie, choć z różnych stron. W przypadku zarządzania bezpieczeństwem systemu informatycznego ochronie podlega system informatyczny, a więc także zgromadzone w nim dane i informacje, które są przecież jego częścią. W przypadku zarządzania bezpieczeństwem informacji, aby chronić informację, należy chronić system informatyczny, w którym jest ona zgromadzona. Wynika to z silnego związku informacji z narzędziami do jej gromadzenia i przetwarzania.

6 90 publikacji (zob. np. [Gaudyn 2001, Wawrzyniak 2001, Total Information 2001, Białas 2001, Niemiec 2002]), szkoleń, warsztatów i konferencji Zarządzanie bezpieczeństwem systemów informatycznych w przedsiębiorstwie Według międzynarodowych i polskich norm zarządzanie bezpieczeństwem systemów informatycznych to proces stosowany w celu osiągnięcia i utrzymania odpowiedniego poziomu ich poufności, integralności, rozliczalności, dostępności, autentyczności i niezawodności (por. [PN-I , PrPN-I ]). W zestawieniu z przedstawioną definicją bezpieczeństwa można stwierdzić, że zarządzanie bezpieczeństwem SI jest procesem, który ma na celu doprowadzenie do osiągnięcia i utrzymania odpowiedniego poziomu bezpieczeństwa systemu informatycznego. Zarządzanie bezpieczeństwem systemów informatycznych jest procesem trwałym, w skład którego wchodzą inne procesy składające się z kolejnych podprocesów [PN-I ]. Schematycznie przedstawia to rys. 1. Ogólnie przyjmuje się, że na zarządzanie bezpieczeństwem systemów informatycznych składają się następujące procesy: opracowanie polityki bezpieczeństwa SI wynikającej z przyjętych celów i strategii, określenie ról i odpowiedzialności w SI przedsiębiorstwa, zarządzanie ryzykiem, zarządzanie konfiguracją, zarządzanie zmianami, planowanie awaryjne i planowanie odtwarzania systemu po katastrofach, wyspecyfikowanie, wybór i wdrożenie zabezpieczeń, szkolenia i uświadamianie w zakresie bezpieczeństwa, działania bieżące, w skład których wchodzi m.in. eksploatacja zabezpieczeń, audyt bezpieczeństwa, monitorowanie, wykrywanie incydentów i reagowanie na nie. W praktyce realizacja wszystkich wymienionych działań koniecznych do efektywnego zarządzania bezpieczeństwem systemu informatycznego możliwa jest tylko wtedy, gdy bezpieczeństwo stanie się integralną częścią ogólnego zarzą- 5 Np. Warsztaty Zarządzanie bezpieczeństwem informacji Norma ISO 17799:2000 organizowane przez Polską Izbę Informatyki i Telekomunikacji w grudniu 2003 r. w Warszawie. Konferencja Zarządzanie bezpieczeństwem informacji. IT Security Management pod patronatem Stowarzyszenia do spraw Audytu i Kontroli Systemów Informatycznych ISACA (zob. isaca.org.pl) zorganizowana w styczniu 2004 r. w Warszawie.

7 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 91 Zarządzanie bezpieczeństwem systemów informatycznych Opracowanie polityki bezpieczeństwa Zarządzanie konfiguracją SI Zarządzanie ryzykiem Monitorowanie poziomu bezpieczeństwa Uświadamianie i szkolenia użytkowników w zakresie bezpieczeństwa SI Analiza ryzyka Rys. 1. Procesy zarządzania bezpieczeństwem systemów informatycznych wg ISO/IEC TR Źródło: opracowanie własne na podstawie [PN-I ]. dzania przedsiębiorstwem 6 i gdy zagadnieniu bezpieczeństwa w przedsiębiorstwie nada się odpowiednią rangę. We współczesnej gospodarce oznacza to, że bezpieczeństwo należy traktować na równi z innymi aspektami działalności przedsiębiorstwa (np. finansami, marketingiem) i rozpatrywać na kilku poziomach. Takie podejście pozwala wyróżnić kilka rodzajów bezpieczeństwa (zob. rys. 2). W hierarchii tej bezpieczeństwo systemu informatycznego, choć znajduje się na najniższym poziomie, w rzeczywistości jest pochodną przyjętych rozwiązań w zakresie bezpieczeństwa systemów informatycznych, które z kolei wynika z ogólnego bezpieczeństwa przedsiębiorstwa. Aby możliwe było funkcjonowanie takiej struktury, na każdym poziomie muszą istnieć odpowiednio sformułowane i spójne cele, strategie i polityka bezpieczeństwa. Cele muszą określać, co należy 6 Należy pamiętać, że bezpieczeństwo systemów informatycznych wymaga planowanego działania i nie należy rozważać go odrębnie. Powinno być cechą całego procesu zarządzania strategicznego, co zapewni, że od samego początku będzie ono zaplanowane i zaprojektowane dla danego systemu. W większości przypadków dodawanie zabezpieczeń w późniejszym okresie będzie trudniejsze i bardziej kosztowne. Niektóre zagadnienia z zakresu bezpieczeństwa systemów informatycznych mają szersze implikacje w zarządzaniu przedsiębiorstwem.

8 92 Przedsiębiorstwo Cele Strategia Polityka Finanse przedsiębiorstwa Bezpieczeństwa przedsiębiorstwa Marketing przedsiębiorstwa Polityka personalna przedsiębiorstwa Bezpieczeństwo systemów informatycznych Bezpieczeństwo systemu informatycznego (1) Bezpieczeństwo systemu informatycznego (2) Bezpieczeństwo systemu informatycznego (n) Rys. 2. Hierarchia celów, strategii i polityki w przedsiębiorstwie Źródło: opracowanie własne na podstawie [PN-I , PrPN-I ].

9 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 93 osiągnąć, strategie jak osiągnąć cele, a polityka formalizować sposób osiągnięcia celów. Oznacza to, że wypracowanie polityki bezpieczeństwa jest jednym z etapów (procesów) zarządzania bezpieczeństwem systemów informatycznych w przedsiębiorstwie. 5. Polityka bezpieczeństwa systemu informatycznego Spośród wszystkich procesów wchodzących w skład zarządzania bezpieczeństwem SI na pierwszym miejscu wymienia się opracowanie odpowiedniej polityki bezpieczeństwa systemu informatycznego. Nie istnieje jednak powszechnie zaakceptowany, dokładny wzór polityki bezpieczeństwa i w wielu kwestiach każde przedsiębiorstwo powinno wypracować swoje rozwiązania [Skuteczne zarządzanie 2003]. Polityka bezpieczeństwa systemu informatycznego to zasady, zarządzenia i procedury, które określają, jak zasoby są zarządzane, chronione i dystrybuowane w instytucji i jej systemach informatycznych [PN-I ]. Oznacza to, że polityka ta powinna zawierać szczegóły dotyczące zarówno konkretnych wymagań w zakresie bezpieczeństwa, jak i wykorzystanych w systemie zabezpieczeń. Ponadto powinno to być stanowisko najwyższego kierownictwa przedsiębiorstwa, gdyż tylko ono jest władne wydawać stosowne zarządzenia. Przypisywanie tej polityce najważniejszej roli w zarządzaniu bezpieczeństwem jest powszechnie uznane i zgodne z najlepszą praktyką 7. Według niektórych autorów (zob. np. [Kiełtyka 2002]) proces zarządzania bezpieczeństwem sprowadza się do tworzenia polityki bezpieczeństwa, jej realizacji oraz utrzymania osiągniętego poziomu bezpieczeństwa. Co więcej, odpowiednio do poziomów bezpieczeństwa w przedsiębiorstwie, polityka bezpieczeństwa systemu informatycznego musi odzwierciedlać zasady polityki opracowanej na wyższych poziomach (zob. rys. 2), tzn. polityki bezpieczeństwa przedsiębiorstwa (zawierającej podstawowe zasady 7 Doświadczenia wykazały, że dla skutecznego zarządzania bezpieczeństwem w przedsiębiorstwie decydujące są następujące czynniki [PN-ISO/IEC 17799]: opracowanie polityki bezpieczeństwa odzwierciedlającej cele przedsiębiorstwa, podejście do wdrażania zarządzania bezpieczeństwem zgodnie z kulturą przedsiębiorstwa, przypisanie pracownikom zakresu odpowiedzialności za bezpieczeństwo systemu, zauważalne wsparcie i zaangażowanie kadry kierowniczej, właściwe zrozumienie wymagań ochronnych i prawidłowa ocena ryzyka, efektywne propagowanie zasad bezpieczeństwa wśród kierownictwa i pracowników, rozpowszechnianie wytycznych dotyczących polityki bezpieczeństwa wśród wszystkich pracowników i kontrahentów, zapewnienie odpowiednich szkoleń i uświadamiania pracowników w zakresie bezpieczeństwa SI, monitorowanie i kontrola stanu bezpieczeństwa oraz przekazywanie propozycji ulepszeń.

10 94 i wytyczne dotyczące bezpieczeństwa całego przedsiębiorstwa) oraz polityki bezpieczeństwa systemów informatycznych w przedsiębiorstwie (odzwierciedlającej zasady polityki bezpieczeństwa przedsiębiorstwa i określającej ogólne warunki korzystania z systemów informatycznych). W praktyce jednak trzypoziomowa hierarchia celów, strategii i polityki występuje na ogół tylko w przedsiębiorstwach posiadających więcej niż jeden system informatyczny. W większości przedsiębiorstw struktura ta ulega zazwyczaj spłaszczeniu, co oznacza, że polityka bezpieczeństwa systemu informatycznego powinna wynikać bezpośrednio z przyjętej polityki bezpieczeństwa przedsiębiorstwa. Inaczej mówiąc, warunkiem koniecznym do sformułowania skutecznej polityki bezpieczeństwa systemu informatycznego jest odzwierciedlanie przez nią rzeczywistych potrzeb przedsiębiorstwa w zakresie bezpieczeństwa oraz uwzględnianie istniejących ograniczeń (m.in. finansowych, technicznych, organizacyjnych). Opracowanie polityki bezpieczeństwa systemu informatycznego Projekt systemu ochrony Wdrożenie systemu ochrony Utrzymanie stanu bezpieczeństwa systemu informatycznego Rys. 3. Etapy zarządzania bezpieczeństwem systemów informatycznych Źródło: opracowanie własne. Zarządzanie bezpieczeństwem SI jest zbiorem procesów mającym na celu utrzymanie odpowiedniego poziomu bezpieczeństwa systemów informatycznych w przedsiębiorstwie. Część z nich może zachodzić równolegle, jednak niektóre wymagają realizacji w ściśle określonej kolejności. Dlatego z praktycznego punktu widzenia konieczne jest określenie poszczególnych etapów zarządzania bezpieczeństwem systemu informatycznego. W literaturze przedmiotu można znaleźć wiele opisów i schematów procesu zarządzania bezpieczeństwem SI. Analizując je, warto zauważyć, że poszczególne opracowania podają różną liczbę etapów wchodzących w skład tego procesu i różne rodzaje występujących w nich sprzężeń zwrotnych. Jednak pomimo różnic w poziomie szczegółowości i w nazewnictwie ważne jest to, że

11 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 95 we wszystkich opracowaniach można wyróżnić następujące etapy zarządzania bezpieczeństwem SI 8 : opracowanie polityki bezpieczeństwa systemu informatycznego, zaprojektowanie systemu ochrony, wdrożenie systemu ochrony, utrzymanie stanu bezpieczeństwa systemu informatycznego. Istotnym elementem są tutaj sprzężenia zwrotne, które powinny zachodzić pomiędzy dowolnymi etapami (zob. rys. 3). 6. Zakończenie Celem niniejszego opracowania jest zwrócenie uwagi na występujące w polskiej praktyce i literaturze przedmiotu rozbieżności terminologiczne dotyczące zarządzania bezpieczeństwem i polityki bezpieczeństwa systemu informatycznego oraz zdefiniowanie tych pojęć zgodnie z przyjętymi międzynarodowymi standardami. Dodatkowe wyjaśnienia przyczyn pojawienia się omawianych rozbieżności pokazały, że jak to już niejednokrotnie miało miejsce dowolność tłumaczeń oraz spóźnione działania odpowiednich organów normalizacyjnych doprowadziły do sytuacji, w której funkcjonujące na świecie terminy nabrały w Polsce innego znaczenia. Należy jeszcze raz podkreślić, że aby zapewnić właściwy poziom bezpieczeństwa SI, przedsiębiorstwa powinny kompleksowo zarządzać bezpieczeństwem swoich systemów informatycznych, a jednym z etapów prawidłowego zarządzania jest opracowanie odpowiedniej polityki bezpieczeństwa SI. Literatura Adamczewski P. [2000], Leksykon informatyki stosowanej, Wydawnictwo Akademii Ekonomicznej w Poznaniu, Poznań. Adamski A. [1998], Prawo do bezpiecznej sieci [w:] Bezpieczeństwo sieci, Computer- World Raport, 21 września, Warszawa. Ahuja V. [1997], Bezpieczeństwo w sieciach, Zakład Nauczania Informatyki Mikom, Warszawa. Białas A. [2001], Zarządzanie bezpieczeństwem informacji, NetWorld, nr 3. Boran S. [1999], The IT Security Cookbook, 8 Poszczególne etapy zarządzania bezpieczeństwem systemów informatycznych omówione zostały w artykule: Madej J., Sztorc J., Proces zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie, zamieszczonym w niniejszym Zeszycie Naukowym.

12 96 Ciesielczyk T., Watras G. [1998], Polityka bezpieczeństwa systemów informatycznych [w:] Informatyka w zastosowaniach ekonomicznych, Prace Naukowe Akademii Ekonomicznej we Wrocławiu nr 788, Wrocław Collins English Dictionary [1991], Harper-Collins Publishers, New York. Garfinkel S., Spafford G. [1997], Bezpieczeństwo w Unixie i Internecie, Wydawnictwo RM, Warszawa. Gaudyn D. [2001], Model zarządzania bezpieczeństwem informacji w organizacji ubezpieczeniowej, rozprawa doktorska, Akademia Górniczo-Hutnicza, Kraków. Górski J. [1998], Polityka bezpieczeństwa informacji, Informatyka, nr 9. Stowarzyszenie do spraw Audytu i Kontroli Systemów Informatycznych ISACA (Information Systems Audit and Control Association), Skuteczne zarządzanie bezpieczeństwem zasobów [2003], wywiad z R. Kępczyńskim, IBM Global Services [w:] Zarządzanie zasobami informatycznymi, ComputerWorld White Paper, kwiecień, oprac. IDG Forum, Warszawa. Kiełtyka L. [2002], Komunikacja w zarządzaniu. Techniki, narzędzia i formy przekazu informacji, Agencja Wydawnicza Placet, Warszawa. Kifner T. [1999], Polityka bezpieczeństwa i ochrony informacji, Wydawnictwo Helion, Gliwice. Klander L. [1998], Hacker proof, czyli jak się bronić przed intruzami, Zakład Nauczania Informatyki Mikom, Warszawa. Niemiec A. [2002], Zarządzanie bezpieczeństwem informacji w świetle norm ISO, Wrocław, Piotrowski J., Szymaczek M. [1997], Projektowanie skutecznych systemów ochrony informacji, Informatyka, nr 7 8. Polska Norma PN-I-02000:1998 [1998], Technika informatyczna Zabezpieczenia w systemach informatycznych. Terminologia, Polski Komitet Normalizacyjny, Warszawa. Polska Norma PN-I :1999 [1999], Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Polska Norma PN-ISO/IEC 17799:2003 [2003], Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji, Polski Komitet Normalizacyjny, Warszawa. Projekt Polskiej Normy PrPN-I [2000], Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Zarządzanie i planowanie bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Słownik języka polskiego [2002], red. M. Szymczak, Wydawnictwo Naukowe PWN, Warszawa. Smolski R., Smolski M., Stadtmüller E.H. [1999], Słownik encyklopedyczny, Wydawnictwo Europa, Wrocław. Stallings W. [1997], Ochrona danych w sieci i intersieci, Wydawnictwo Naukowo-Techniczne, Warszawa. Stawowski M. [1998], Ochrona informacji w sieciach komputerowych, Wydawnictwo ArsKom, Warszawa. Szukszta L. [1999], Polityka bezpieczeństwa systemów informatycznych i telekomunikacyjnych w polskim systemie bankowym, Informatyka, nr 11, Warszawa.

13 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 97 Total Information Security Management [2001], dokumentacja metody TISM wersja 1.2 RC 1, European Network Security Institute, Wawrzyniak D. [2001], Zarządzanie bezpieczeństwem systemów informatycznych w bankowości, rozprawa doktorska, Akademia Ekonomiczna im. Oskara Langego we Wrocławiu, Wrocław. Security Management and Security Policy on Enterprise Computer Systems The paper describes difficulties in defining expressions: computer system security, security management and security policy on computer system. The author analysed numerous publications, norms and standards devoted to computer systems security and submitted terminological dissimilarities that occur between considered terms, together with an attempt of explanation of their reasons. Moreover, the article presents definitions of these terms, created in accordance with accepted international standards and with world-wide practice.