Informacja i bezpieczeństwo informacji

Transkrypt

1 Informacja i bezpieczeństwo informacji Informacją określamy dane, poprzez które wzrasta stopień wiedzy odbiorcy oraz które wnoszą do jego świadomości pierwiastek nowości. Dane przedstawiają elementy świata zewnętrznego wskazujące konieczność zapamiętania pewnych faktów, zdarzeń, prawidłowości itp. lub łatwość ich przetwarzania. Generując informację, tj. dane wraz z ich przesłaniem (sensem), należy zwrócić uwagę, że aby odnotować informację należy wyodrębnić właściwą grupę tzn. przedstawić ją w postaci danych. Zatem dane mogą wyrażać informacje, jeżeli uprzednio zostaną właściwie uporządkowane zostaną użyte do stworzenia sprecyzowanych komunikatów. Dane i informacje określają pojęcia o odmiennych znaczeniach. Informacje stanowią poziom wyższy w odniesieniu do danych. Określenia te nie mogą być wykorzystywane zamiennie, jako synonimy. Interpretacja danych niesie konieczność posiadania odpowiedniej wiedzy, aby nadać im sens. Odróżnienie znaczeń informacja i dana umożliwia zdefiniowanie tezy: tworzenia procesów informacyjnych nie można zapoczątkować od gromadzenia danych, lecz od wskazania istotnych informacji. Stanowi to zabezpieczenie w odniesieniu do nierozważnych działań związanych z kompletowaniem dużych zbiorów danych, które nie daje pewności zdobycia przydatnych informacji. Gromadzenie w bazie danych określonej tematyki przyjętej jako informacje stwarza możliwość przekształcenia informacji w zbiór danych, dzięki czemu można je konfigurować w całkowicie inne struktury niż na początku. Zgodnie z definicją, informacji nie można przechowywać, procesowi przechowywania mogą podlegać jedynie dane. Zarówno człowiek, jak i maszyna mogą być odbiorcami tych danych, jednakże tylko człowiek posiada zdolność ich interpretowania, poprzez co stanowią one dla niego informacje, maszyna nie posiada umiejętności wnioskowania ani logicznego myślenia, niezbędnych do interpretacji, stąd też maszyna podejmuje działania jedynie na danych, natomiast informacja jest skierowana tylko do człowieka. Zarządzając informacją należy nawiązać do istoty informacji oraz określić sposób jej zabezpieczenia w działających organizacjach. Bezpieczeństwo informacji pojęcie to przytacza się coraz częściej i przez coraz większą liczbę osób. Wzrostem zainteresowania tą tematyką dochodzi, gdy w środkach masowego przekazu pojawia się wiadomość, że klienci jednego z banków padli ofiarą ataku, przez co przechwycono ich hasła dostępu do rachunków bankowych. Czy w związku z powyższym bezpieczeństwo informacji stanowi temat doraźny? Czy adresatem są tylko duże organizacje? Czy pojęcie bezpieczeństwa informacji dotyczy także małych podmiotów, w której zatrudniono tylko kilku pracowników i w ocenie właściciela firma nie dysponuje

2 informacjami, które musiałaby chronić? Co to jest Bezpieczeństwa Informacji? Bezpieczeństwa Informacji (PBI) obejmuje zestaw przyjętych zasad i elementarnych wymagań, przedstawiających, w jaki sposób materialnymi i informacyjnymi aktywami podmiotu należy zarządzać, w jaki sposób można je udostępniać i zabezpieczyć przed nieupoważnionym wykorzystaniem, zniszczeniem lub nieautoryzowanymi zmianami. Bezpieczeństwa powinna tworzyć spisany dokument, z którego tematyką zostali zapoznani wszyscy pracownicy podmiotu. Osoby nowo zatrudnione zaś obligatoryjnie powinny przejść szkolenie w zakresie jej treści. Z PBI powinny być również zaznajomione osoby podejmujące współpracę z jednostką. Dokument PBI opracowany jest przy użyciu pojęć technicznych i prawniczych, mogących stanowić trudność w odbiorze dla przeciętnego czytelnika, dlatego tak istotne jest, aby opracować dokument sformułowany w sposób prosty i zrozumiały dla użytkownika. PBI musi podlegać systematycznej aktualizacji i modyfikacji w zakresie potrzeb danej organizacji i powstających zmian w jej otoczeniu. Znaczenie Polityki bezpieczeństwa nie jest jednoznaczne, może obejmować: Polityką bezpieczeństwa w rozumieniu całościowym, Polityką bezpieczeństwa w rozumieniu Ustawy o Ochronie Danych Osobowych, Polityką bezpieczeństwa określającą założenia skierowane wyłącznie dla przyjętego systemu IT (zbioru danych). bezpieczeństwa w rozumieniu całościowym, nie zawiera szczegółowych, a jednocześnie kompletnych informacje zastosowanych założeń dla określonego obszaru. Np. nie zawiera pełnego katalogu przyjętych zasad wykorzystywanych w zakresie zabezpieczeń serwerów, całościowej instrukcji reagowania w sytuacji zagrożenia bezpieczeństwa czy konfigurowania szyfrowanej poczty) ten zakres powinien być ujęty w innej dokumentacji, tj. standardach czy procedurach. Należy zwrócić uwagę, że klasyfikacja ta nierzadko ulega zatarciu i w efekcie w małych czy średnich podmiotach polityka bezpieczeństwa może uwzględniać elementy standardów czy procedur. W jakim celu stosuje się PBI? W procesie opracowania dokumentu PBI, należy mieć na uwadze kilka celów: jednym z najistotniejszych jest spełnienie wymogów uregulowanych prawnie. Ważne jest, aby podejść do tematu bezpieczeństwa informacji w sposób bardziej zaangażowany, nie tylko tworzyć kompletne i zrozumiałe dokumenty, ale także aby w funkcjonowaniu jednostki

3 faktycznie wdrożyć zasady polityki bezpieczeństwa. Jak wcześniej wskazano informacja jest ważnym zasobem, którym organizacja może zarządzać i za który ponosi odpowiedzialność. Informacja jest elementarnym zasobem stanowiącym wartość najcenniejszą, ważniejszą niż np. nieruchomości, sprzęt komputerowy czy inne wyposażenie. Niektóre podmioty są w posiadaniu informacji o obywatelach, które winny być w sposób szczególnie chroniony np. informacje o dochodach, stanie zdrowia itp. Możemy wyróżnić trzy priorytety, którym system bezpieczeństwa informacji powinien służyć i zagwarantować: 1) Poufność określana jako zapewnienie, że informacja podlegająca ochronie udostępniona jest wyłącznie dla osoby dysponującej odpowiednim upoważnieniem; 2) Integralność zagwarantowanie, że kompletne i dokładne informacje podlegają przetwarzaniu w kontrolowany sposób; 3) Dostępność osoby dysponujące upoważnieniem i którym informacje są potrzebne, mają zapewniony do nich dostęp we właściwym miejscu i czasie. Integralność i dostępność obejmują zarówno informacje chronione, jak i jawne. Informacja publicznie udostępniona, jak np. treść strony internetowej urzędu, także powinna zostać objęta ochroną (np. przed włamaniem i modyfikacją jej treści). Celem PBI jest także zagwarantowanie gotowości jednostki do przedsięwzięć w sytuacjach kryzysowych, które dają możliwość kontynuowania funkcjonowania jednostki co najmniej w obszarze podstawowych zadań. Istotnym celem polityki bezpieczeństwa jest zapewnienie, aby każdy użytkownik informacji miał świadomość własnej odpowiedzialności za utrzymywanie bezpieczeństwa. Co PBI powinno zawierać? Istotne jest, aby dokument opisujący zasady funkcjonowania polityki bezpieczeństwa zawierał: 1) definicje bezpieczeństwa informacji, wraz ze wskazaniem ogólnych celów i zakresów oraz wymiar bezpieczeństwa w postaci mechanizmu dającego możliwość na wspólne wykorzystanie informacji; 2) oświadczenie o intencjach osób obejmujące stanowiska kierownicze, uznające cele i zasady w zakresie bezpieczeństwa informacji; 3) krótkie objaśnienie polityki bezpieczeństwa, reguł, standardów i wymagań zgodności stanowiących istotną wartość dla instytucji, np.: a) zgodność z przepisami prawa i wymaganiami wynikającymi z zawartych umów; b) wymagania dotyczące podejmowania kształcenia w zakresie bezpieczeństwa; c) zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania;

4 d) zarządzanie kontynuacją funkcjonowania biznesowego; e) następstwa naruszenia polityki bezpieczeństwa; 4) definicje obejmujące ogólne i szczególne obowiązki wynikające z zarządzania bezpieczeństwem informacji, w tym także zgłaszania incydentów naruszenia bezpieczeństwa; 5) objaśnienia w ramach dokumentacji uzupełniającej politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dla pojedynczych systemów informatycznych lub reguł bezpieczeństwa, do przestrzegania których użytkownicy są zobligowani. Przepisy ustawy o ochronie danych osobowych określają, jakie elementy w szczególności polityka bezpieczeństwa powinna zawierać: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, stanowiące zakres, w którym dane osobowe podlegają przetwarzaniu; 2) katalog zbiorów danych osobowych wraz z uwzględnieniem programów wykorzystywanych do przetwarzania tych danych; 3) objaśnienie struktury zbiorów danych wraz z wyznaczeniem istoty poszczególnych pól informacyjnych i połączenia pomiędzy nimi; 4) określenie sposobu przepływu danych między pojedynczymi systemami; 5) wskazanie środków technicznych i organizacyjnych gwarantujących poufność, integralność i rozliczalność w procesie przetwarzania danych. Propozycja planu polityki bezpieczeństwa informacji: bezpieczeństwa bezpieczeństwa danych osobowych bezpieczeństwa Fizycznego i technicznego Bezpieczeństwa Informacji (Internet, poczta elektroniczna) rachunkowości Instrukcje zarządzania systemami informatycznymi w zakresie przetwarzania danych osobowych Instrukcja ochrony bezpośredniej i pośredniej Regulamin korzystania z urządzeń mobilnych Instrukcja zarządzania danymi w systemie rachunkowości

5 Administrator danych osobowych w zakresie polityki bezpieczeństwa danych osobowych jest zobowiązany sporządzić instrukcję opisującą sposób zarządzania systemem informatycznym, wykorzystywanym w procesie przetwarzania danych. Instrukcja powinna określać informacje o wdrożonym systemie informatycznym oraz o zbiorach danych osobowych, które podlegają przetwarzaniu. Należy określić informację o zastosowanych rozwiązaniach technicznych, jak również określać procedury dające gwarancję ochrony przetwarzanych danych. W sytuacji wykorzystywania kilku systemów informatycznych, administrator danych może sporządzić ogólną instrukcję lub instrukcje wyodrębnione dla każdego z tych systemów. Ogólna instrukcja powinna określać przyjęte rozwiązania wspólne dla wszystkich, jak również opisywać procedury typowe dla pojedynczych systemów. W dokumencie tym należy przedstawić procedury przydzielania uprawnień w zakresie przetwarzania danych i ewidencjonowania ich w systemie informatycznym oraz zasady wyznaczania osób ponoszących odpowiedzialność za ich funkcjonowanie. Administrator danych zobligowany jest do zapewnienia bezpieczeństwa przetwarzanych danych polegających na zastosowaniu właściwych środków technicznych i organizacyjnych w celu ochrony danych w razie zniszczenia, kradzieży, utraty. Wśród środków organizacyjnych należy wymienić m.in. edukację pracowników, klauzule zachowania tajemnicy, nadanie identyfikatora i zaszyfrowanie dostępu, zasady pracy użytkowników od momentu ich rozpoczęcia do zakończenia, tworzenie kopii zapasowych, kontrola dostępu do pomieszczeń, w których daną są przetwarzane, natomiast do środków technicznych należą m. in.: monitoring, systemy alarmowe, szafy pancerne, itd. W polityce bezpieczeństwa, dokumencie z którym zobowiązany jest zapoznać się każdy pracownik nie należy szczegółowo podawać charakterystyki technicznej i konfiguracji wykorzystywanych narzędzi. Dokumenty ten powinien być udostępniony wyłącznie osobom posiadającym właściwe upoważnienia. W zakresie przepływu danych pomiędzy systemami administrator danych zobowiązany jest określić sposoby korzystania z przeglądarek internetowych, poczty elektronicznej, a dokładnie przedstawić procedury przechowywania haseł użytkowników do wykorzystywanych aplikacji internetowych. W sytuacji, gdy dane przekazywane są w sposób manualny (zewnętrzne nośniki danych) lub półautomatycznie (teletransmisja, specjalne funkcje eksportu/importu danych) należy określić procedurę ich przekazywania. Opisany przepływ często występuje w pomiędzy systemami kadrowymi i płacowym, a systemem płatnik wykorzystywanym do rozliczeń z ZUS. bezpieczeństwa nie nakłada w tej sytuacji opisywania metod technologicznych, jednostki lub rodzaju narzędzi w zakresie przesyłania danych koniecznych do zagwarantowania ich ochrony w trakcie teletransmisji. Rachunkowość ze względu na specyficzny system informacji, w ramach którego gromadzone, przetwarzane i udostępniane są dane w różnej postaci (obejmujący aktywa i źródła ich pochodzenia,

6 przepływy pieniężne, przychody, koszty i wynik działalności podmiotu) wymaga szczególnych zabezpieczeń. Stąd też, tak istotne jest sporządzenie procedur tworzących uporządkowany system ochrony przetwarzanych informacji. Właściwa ochrona może zapewnić wdrożona polityka bezpieczeństwa informacji, w wyniku której ograniczony zostanie dostęp do informacji, zapobiegając jednocześnie sytuacją, w których dane mogą ulec zniszczeniu, kradzieży czy ich nieuprawnionej modyfikacji. Zgodnie z przepisami ustawy o rachunkowości zbiory danych należy w należyty sposób przechowywać i zapobiegać powyższym sytuacją. Jednym z dokumentów gwarantującym sprawne funkcjonowanie rachunkowości stanowi tzw. polityka rachunkowości. Obowiązkowy dokument umożliwiający ewidencję zdarzeń gospodarczych oraz ich możliwość modyfikacji celem pozyskiwania użytecznych informacji z systemu rachunkowości. Nieodłącznym elementem rachunkowości jest sprawozdanie finansowe, które również podlega ochronie. Ze względu na fakt, że przedstawieniu podlegają dane liczbowe wynikające z ewidencji księgowej w zestawieniu niezbędnym do kontroli, oceny i statystyki gospodarczej należy zapobiec nieuprawnionym ich zmianom. Ochronie podlegają również dowody księgowe potwierdzające dokonanie operacji gospodarczej, będące jednocześnie podstawą ewidencji w urządzeniach księgowych, a także dokumenty wygenerowane w wyniku przeprowadzonej inwentaryzacji składników majątku. W szczególności należy określić kryteria tworzące zasady, tryb i organizację przeprowadzania inwentaryzacji, a zatem wewnętrzne procedury instrukcje, zarządzenia oraz inne dokumenty jak np. arkusze spisu z natury, pisemne uzgodnienie salda. Zabezpieczenia te powinny być stosowane przy wykorzystaniu odpornych na zagrożenia nośników danych, na właściwej ochronie zewnętrznej, przy regularnym sporządzaniu kopii zapasowych zbiorów danych zapisanych na informatycznych nośnikach danych, gwarantujących trwałość zapisu informacji systemu rachunkowości, a także na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości, przy użyciu właściwych rozwiązań informatycznych i organizacyjnych.

7