OCENA BEZPIECZEŃSTWA I JAKOŚCI INFORMACJI W SYSTEMACH TELEMATYKI TRANSPORTU

Podobne dokumenty
Krzysztof Świtała WPiA UKSW

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Promotor: dr inż. Krzysztof Różanowski

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Normalizacja dla bezpieczeństwa informacyjnego

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ISO 9001:2015 przegląd wymagań

Maciej Byczkowski ENSI 2017 ENSI 2017

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Kryteria oceny Systemu Kontroli Zarządczej

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Bezpieczeństwo informacji. jak i co chronimy

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

PRELEGENT Przemek Frańczak Członek SIODO

Standard ISO 9001:2015

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Imed El Fray Włodzimierz Chocianowicz

I. O P I S S Z K O L E N I A

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

ISO bezpieczeństwo informacji w organizacji

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Zarządzanie ryzykiem w bezpieczeństwie informacji

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

Reforma ochrony danych osobowych RODO/GDPR

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

KLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

Informatyka w kontroli i audycie

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Audyt systemów informatycznych w świetle standardów ISACA

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Marcin Soczko. Agenda

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Zarządzanie ryzykiem w bezpieczeostwie IT

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

BADANIA REALIZACJI ZASAD BEZPIECZEŃSTWA DANYCH W SYSTEMACH KOMPUTEROWYCH MA- ŁYCH FIRM

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Klasyfikacja informacji

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

Procesowa specyfikacja systemów IT

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

System. zarządzania jakością. Pojęcie systemu. Model SZJ wg ISO 9001:2008. Koszty jakości. Podsumowanie. [Słownik języka polskiego, PWN, 1979] System

ISO w Banku Spółdzielczym - od decyzji do realizacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Błędy procesu tworzenia oprogramowania (Badania firmy Rational Software Corporation)

SZCZEGÓŁOWY HARMONOGRAM KURSU

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

AERONAUTICAL DATA QUALITY

Kwestionariusz samooceny kontroli zarządczej

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

WYTYCZNE W ZAKRESIE CZYNNOŚCI KONTROLNYCH W ZAKŁADACH STWARZAJĄCYCH RYZYKO WYSTĄPIENIA POWAŻNEJ AWARII PRZEMYSŁOWEJ 1

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

System kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

POLITYKA JAKOŚCI. Polityka jakości to formalna i ogólna deklaracja firmy, jak zamierza traktować sprawy zarządzania jakością.

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Czy zarządzać bezpieczeństwem IT w urzędzie?

Transkrypt:

Mirosław SERGEJCZYK, Ewa DUDEK OCENA BEZPECZEŃSTWA JAKOŚC NFORMACJ W SYSTEMACH TELEMATYK TRANSPORTU W artykule omówiono zagadnienia bezpieczeństwa i jakości informacji w oparciu o standardy systemów zarządzania przedstawione w normach SO. Zdefiniowano atrybuty bezpieczeństwa danych, a następnie opisano System Zarządzania Bezpieczeństwem nformacji SZB oparty na modelu PDCA. W dalszej części publikacji przeanalizowano problem oceny, przedstawiając klasyfikację metod jej ewaluacji oraz schemat procesu oceny. W części końcowej omówiono zagadnienie zarządzania ryzykiem, będące częścią składową kompleksowego podejścia do zarządzania bezpieczeństwem informacji. WSTĘP Dynamiczny rozwój transportu i zastosowanie w jego różnych gałęziach nowych osiągnięć technicznych i technologicznych powoduje, iż coraz większą rolę w świadczeniu usług transportowych odgrywają systemy telematyczne, w tym szczególnie systemy wymiany danych i informacji. Kluczowym elementem systemów telematyki transportu jest przesyłanie informacji za pomocą różnego typu środków łączności. Bezpieczeństwo, terminowość i płynność wykonania różnorakich zadań w transporcie morskim, kolejowym, lotniczym czy drogowym jest bezpośrednio powiązana z jakością dostarczanych danych i informacji. Dla przykładu efektywne i bezpieczne zarządzanie ruchem kolejowym czy lotniczym od dawna jest silnie uzależnione od sprawności i niezawodności systemu łączności. W nowoczesnych systemach kluczową rolę zaczyna odgrywać transmisja dużej ilości danych cyfrowych pomiędzy ośrodkami sterowania ruchem, a także w relacjach pojazd/statek powietrzny centrum sterowania. Ze względu na to, iż informacja jest jednym z najważniejszych zasobów, należy zapewnić jej ochronę na pożądanym poziomie. Stąd też nabiera istotnego znaczenia problematyka bezpieczeństwa informacyjnego systemów TS. W artykule przedstawiono przegląd wybranych standardów systemów zarządzania jakością i bezpieczeństwem informacji. 1. BEZPECZEŃSTWO DANYCH/NFORMACJ Rozważając zagadnienie bezpieczeństwa informacji należy odwołać się w pierwszej kolejności do standardów ustanowionych przez Międzynarodową Organizację Normalizacyjną (ang. nternational Organization for Standardization SO) w tym w szczególności norm serii PN-EN SO 9000 (Systemy zarządzania jakością) oraz PN-EN SO 27000 (Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji). Wymagania w nich opisane są ogólne i przeznaczone do stosowania we wszystkich organizacjach niezależnie od typu, rozmiaru czy natury biznesu. Normy te nie określają szczegółowych rozwiązań technicznych, lecz wskazują obszary, które należy uregulować. dealnie też sprawdzą się w zastosowaniach transportowych. Norma SO 27001 [9] definiuje pojęcie bezpieczeństwa informacji jako zachowania poufności, integralności i dostępności informacji (z zastrzeżeniem, iż dodatkowo mogą być brane pod uwagę inne własności takie jak: autentyczność, rozliczalność, niezaprzeczalność i niezawodność). Przy czym wg [9] poufność to właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom. ntegralność to właściwość polegająca na zapewnieniu dokładności i kompletności aktywów. Zaś dostępność rozumiana jest jako właściwość bycia dostępnym i użytecznym na żądanie upoważnionej osoby (podmiotu lub ustalonego procesu). Bezpieczeństwo danych wg [1, 10] polega na ich ochronie, czyli zabezpieczeniu przed nieuprawnionym lub nieprawidłowym, przypadkowym bądź umyślnym ujawnieniem, modyfikacją lub zniszczeniem. Wyróżnia się cztery podstawowe atrybuty bezpieczeństwa danych: 1. Poufność, która oznacza niedostępność treści zawartych w danych dla wszystkich podmiotów nieuprawnionych do jej odczytania. Danym, których naruszenie poufności byłoby szczególnie niewskazane i kosztowne, przypisywany jest odpowiednio wysoki poziom bezpieczeństwa (poufne, tajne, ściśle tajne, itp.). Bezpośrednim sposobem zapewnienia poufności jest szyfrowanie danych. Procedury uwierzytelniania, ograniczenia uprawnień dostępu czy ograniczanie fizycznego dostępu do systemu komputerowego są środkami pośrednim, prowadzącymi do osiągnięcia tego celu. Pomimo stosowania różnego rodzaju środków, zapewniających poufność, istnieje niebezpieczeństwo przypadkowego lub celowego jej naruszenia. W związku z tym system ochrony powinien nie tylko zapewniać poufność, lecz także gwarantować możliwość wykrycia prób i przypadków jej naruszenia. 2. ntegralność danych oznaczającą, iż dane nie zostaną w żaden nieuprawniony sposób zmienione, a tym samym ich stan pozostanie zgodny z wymaganym i oczekiwanym stanem właściwym. ntegralność danych może być naruszona przez nieuprawnionego użytkownika, błędy i zaniedbania popełnione przez użytkownika upoważnionego, a także w wyniku awarii, zakłóceń w transmisji, błędów w oprogramowaniu, działania wirusów, itp. Nieupoważniona modyfikacja nie musi wiązać się z naruszeniem poufności danych. Podobnie jak poufność, integralność musi być zapewniona podczas przetwarzania, przechowywania i przesyłania informacji. ntegralność danych zapewnia się stosując funkcje skrótu, a w pewnym stopniu także kody wykrywające i korygujące błędy. W sposób pośredni można przyczynić się do osiągnięcia tego celu poprzez stosowanie procedur uwierzytelniania, ograniczenia uprawnień dostępu, ograniczenie fizycznego dostępu do systemu komputerowego, stosowanie metod zwiększających niezawodność sprzętu i tolerancję na błędy. Konieczne może być 414 AUTOBUSY 12/2016

także zagwarantowanie możliwości wykrycia każdego przypadku lub próby naruszenia integralności danych. 3. Dostępność oznacza niczym nieograniczoną możliwość korzystania z danych przez uprawnionych do tego użytkowników. Dostępność danych może być naruszona przez nieupoważnionego użytkownika, błędy popełniane przez użytkownika upoważnionego, a także w wyniku awarii, zakłóceń w transmisji, błędu oprogramowania, przeciążenia systemu. Wstrzymanie przez nieupoważnionego użytkownika dostępu do zasobów może stanowić wstęp do ataku na poufność i integralność danych. Pożądane może być więc zapewnienie możliwości wykrycia każdego przypadku nieuzasadnionej odmowy dostępu do danych. Dostępność zapewnia się poprzez stosowanie odpowiednio zabezpieczonych systemów operacyjnych, stały nadzór nad stopniem wykorzystania zasobów, stosowanie systemów sterowania ruchem sieciowymi obciążeniem serwerów, stosowanie metod zwiększających niezawodność sprzętu i tolerancję na błędy. 4. Spójność danych odnosi się przede wszystkim do pakietów danych i oznacza konieczność spełnienia przez każdy element pakietu danych zbioru warunków, sformułowanych w jego definicji. Warunki te zwane są warunkami spójności. stnieje związek między integralnością i spójnością danych, choć nie są to pojęcia tożsame. Niekiedy w sposób wyraźny mówi się tylko o trzech pierwszych aspektach bezpieczeństwa danych, traktując spójność, jako szczególny przypadek integralności. Podejście to jest więc tożsame z zaprezentowanym w normie SO 27001 [9]. Reasumując, w przedstawionych definicjach zwraca uwagę fakt, iż pojęcie bezpieczeństwa danych czy też informacji jest określane przez zestaw kilku własności (atrybutów). Dopiero przy ich pomocy można jednoznacznie ocenić poziom bezpieczeństwa. Ponadto zagadnienie bezpieczeństwa informacji to nie tylko procedury i procesy. Należy zadbać o nie także w związku z ludźmi i stosowanymi technologiami. 2. SYSTEM ZARZĄDZANA BEZPECZEŃSTWEM NFORMACJ Aby efektywnie funkcjonować, organizacje transportowe muszą zidentyfikować i wykonać wiele działań. nformacja, podobnie jak inne ważne aktywa jest niezbędna dla poprawnego działania i stanowi pewną wartość. Ponadto ze względu na to, iż informacja jest jednym z najważniejszych zasobów, należy zapewnić jej ochronę na pożądanym poziomie. To oznacza, że należy opracować i wdrożyć na poziomie organizacyjnym i technicznym procedury i środki, które zapewnią [2]: a) zachowanie poufności informacji chronionych, b) integralność informacji chronionych i jawnych oraz dostępność do nich, c) wymagany poziom bezpieczeństwa przetwarzanych informacji, d) maksymalnie ograniczenie występowanie zagrożeń dla bezpieczeństwa informacji, e) poprawne i bezpieczne funkcjonowanie systemów przetwarzania informacji, f) gotowość do podejmowania działań w sytuacjach kryzysowych. Jedną ze strategicznych decyzji jest więc przedstawienie modelu oraz ustanowienie, wdrożenie, eksploatacja, monitorowanie, przegląd, utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem nformacji SZB, rozumianego jako część systemu zarządzania, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Koncepcja takiego systemu opiera się na modelu PDCA Planuj, Działaj, Sprawdzaj, Wykonuj (ang. Plan, Do, Check, Act), przedstawionym na rysunku 1. Etap Planuj (ang. Plan) to ustanowienie polityki SZB, celów, procesów i procedur dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji. Etap Wykonuj (ang. Do) to wdrożenie i eksploatacja polityki SZB, zabezpieczeń, procesów i procedur. W trakcie etapu Sprawdzaj (ang. Check) odbywa się szacowanie i, tam gdzie ma zastosowanie, pomiar wydajności procesów w odniesieniu do polityki SZB, celów i doświadczenia praktycznego oraz dostarczanie kierownictwu raportów do przeglądu. Podczas ostatniego z etapów, czyli Działaj (ang. Act) podejmowane są działania korygujące i zapobiegawcze w oparciu o wyniki wewnętrznego audytu SZB i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZB. 3. OCENA JAKOŚC NFORMACJ W szerszym ujęciu zagadnienia zarządzania bezpieczeństwem danych i informacji można powiedzieć, iż kompleksowa ocena bezpieczeństwa informacji wymaga rozważenia problemu jakości dostarczanych danych. W wielu opracowaniach pojęcie bezpieczeństwa informacji jest bowiem utożsamiane z zapewnieniem ich odpowiedniej PLANUJ (PLAN) Ustanowienie Systemu Zarządzania Bezpieczeństwem nformacji - SZB WYKONUJ (DO) ZARZADZANE BEZPECZEŃSTWEM NFORMACJ DZAŁAJ (ACT) Utrzymanie i doskonalenie SZB Wdrożenie i eksploatacja SZB WYMAGANA OCZEKWANA DOT. BEZPECZEŃSTWA NFORMACJ Monitorowanie i przegląd SZB SPRAWDZAJ (CHECK) Rys. 1. Model PDCA stosowany w systemach SZB [opracowanie własne na podstawie 9] 12/2016 AUTOBUSY 415

jakości. Powszechnie znanym standardem systemu zarządzania jakością jest natomiast norma SO 9001 [7], która specyfikuje model i wymagania Systemu Zarządzania Jakością - QMS. Norma SO 9001 jest normą stale aktualizowaną i doskonaloną. Aktualnie obowiązująca edycja z 2015 r. w znaczącym stopniu odbiega od wszystkich poprzednich edycji, w szczególności strukturą rozdziałów (obecnie 10 ze względu na dopasowanie do nowej struktury norm ze standardami systemów zarządzania), jak również nowymi elementami, spośród których warto wymienić: udokumentowane informacje, działania zapobiegawcze i korygujące oparte na zarządzaniu ryzykiem, podejmowanie decyzji w oparciu o wyniki analizy faktów, zarządzanie relacjami ze stronami zainteresowanymi, wskaźniki skuteczności osiągania celów i procesów. Jakość to jedno z tych pojęć, które trudno ściśle zdefiniować. Nie jest ona bowiem jednoznaczna, a jej wyrażenie i znaczenie często zależy od kontekstu, kategorii, aspektu czy punktu widzenia. Dlatego właśnie w literaturze napotkać można wiele różnych ujęć i definicji jakości. Na potrzeby niniejszej publikacji do dalszych rozważań przyjęto pojęcie jakości, zdefiniowane w normie SO 9000 [6] jako stopień, w jakim zbiór inherentnych właściwości spełnia wymagania. Jakość danych J można wyrazić jako pewien skończony zbiór cech, opisujących właściwości jakościowe [3]: J={c 1, c 2, c 3,, c n} (1) J jakość; ci i-ta cecha jakościowa. Dla tak określonej lotniczych (1) zdefiniowano zbiór stanów jakości JS: J S={s 1, s 2, s 3,, s n} (2) JS stan jakości; si stan (wartość) i-tej cechy jakościowej. oraz poziom jakości JP, który zależny jest od poziomu cech jakościowych: J P ={p 1, p 2, p 3,, p n} (3) JP poziom jakości; pi poziom i-tej cechy jakościowej. Zagadnienie w zastosowaniu transportowym (w tym przypadku danych geoprzestrzennych wykorzystywanych w transporcie lotniczym) jest także omówione w normie SO 19157 [8]. Norma ta między innymi przedstawia klasyfikację metod oceny rysunek 2. dane odniesienia pochodzą ze źródła wewnętrznego bezpośrednie (zalecane) Metody oceny dane odniesienia pochodzą ze źródła zewnętrznego pośrednie Rys. 2. Klasyfikacja metod oceny [opracowanie własne na podstawie 8] Bezpośrednie metody ewaluacji ustalają jakość danych poprzez porównanie ocenianych danych z wewnętrznymi i/lub zewnętrznymi danymi odniesienia. Mogą zostać dalej sklasyfikowane ze względu na źródło informacji odniesienia, niezbędnych do dokonania ewaluacji, na wewnętrzne lub zewnętrzne. Wewnętrzna bezpośrednia procedura ewaluacji wykorzystuje jedynie dane zawarte w ocenianym zbiorze. Zewnętrzna bezpośrednia procedura ewaluacji wymaga danych odniesienia ze źródła zewnętrznego względem ocenianego zbioru danych. Są to preferowane metody oceny jakości. Pośrednie metody oceny bazują na wnioskowaniu bądź estymacji na podstawie informacji o danych takich jak: pochodzenie, cel i sposób pozyskania danych, itp. W związku z czym wynik tej oceny może być subiektywny, a przy raportowaniu konieczne jest załączenie opisu, w jaki sposób dokonano oceny. Z tego właśnie względu zaleca się raczej stosowanie metod bezpośrednich, jako bardziej obiektywnych. Norma SO19157 [8] przedstawia również propozycję procedury oceny. Proces ewaluacji jest tam rozumiany jako sekwencja kroków, prowadząca do końcowej oceny jakości danych i został przedstawiony w postaci schematu przedstawionego na rysunku 3. Dane Rozpocznij proces oceny jakości Określ Etap 1: Określ zakres i atrybuty Etap 2: Określ miary Etap 3: Określ procedury oceny Oceń Etap 4: Ustal wynik oceny Proces oceny zakończony Specyfikacja produktu lub wymagania użytkownika Poziom zgodności Rys. 3. Proces oceny [opracowanie na podstawie 8] Poszczególne etapy tego procesu są szerzej omówione w dokumencie źródłowym [8], stąd nie ma chyba potrzeby ich szerszego opisywania. 4. ANALZA RYZYKA Kompleksowe podejście do zagadnienia zarządzania bezpieczeństwem informacji wymaga następujących działań: a) zrozumienia wymagań bezpieczeństwa informacji oraz ustanowienia zasad i celów (w odniesieniu do ludzi, procedur i technologii), b) wdrożenia i eksploatacji zabezpieczeń w celu zarządzania ryzykiem bezpieczeństwa informacji w kontekście całkowitego ryzyka biznesowego organizacji, c) monitorowania i przeglądu wydajności oraz skuteczności SZB, d) ciągłego doskonalenia w oparciu o obiektywny pomiar. 416 AUTOBUSY 12/2016

Aby System Zarządzania Bezpieczeństwem nformacji mógł zapewniać zachowanie poufności, integralności i dostępności informacji, konieczne jest również zarządzanie ryzykiem z nimi związanym. Wspomniane normy SO serii 9000 oraz 27000 nie określają szczegółowych rozwiązań technicznych. Wskazują natomiast obszary, które należy uregulować, a sposób zabezpieczenia tych obszarów zależy od samej organizacji i powinien być oparty na przeprowadzonej analizie ryzyka i zarządzaniu nim. Pojęcie ryzyka jest w literaturze różnie definiowane. Jedna z najbardziej popularnych definicji to prawdopodobieństwo wystąpienia niekorzystnych skutków [5]. Ponadto należy jeszcze rozróżnić samo ryzyko od zagrożenia. Zagrożenie bowiem to istnienie (potencjał) niebezpieczeństwa lub ujmując to inaczej warunki, które mogą powodować ryzyko. Pojęcie ryzyka rozumiane może być jako określona możliwość wystąpienia negatywnego zjawiska [4]. Ponadto ryzyko całkowite można podzielić na ryzyko wykryte oraz ryzyko pozostałe, składające się z ryzyka akceptowanego oraz ryzyka ukrytego rysunek 4. NEAKCEPTOWANE, WYELMNOWANE WYKRYTE CAŁKOWTE NEAKCEPTOWANE, KONTROLOWANE POZOSTAŁE AKCEPTOWANE Rys. 4. Rodzaje ryzyka [opracowanie na podstawie 4] UKRYTE Ryzyko wykryte nieakceptowane to ta część ryzyka, która, ze względu na negatywne konsekwencje, musi być wyeliminowana lub w przypadku braku możliwości eliminacji, zmniejszona do akceptowalnego poziomu. Wówczas jest to ryzyko kontrolowane. Ryzyko akceptowane, to ta część ryzyka która pozostaje, gdyż dalsze próby jego zmniejszania mogą prowadzić np. do zwiększenia kosztów lub zmniejszenia skuteczności realizacji zadania. Ważną częścią składową jest również ryzyko ukryte, czyli ta część ryzyka, które istnieje, nie zostało wykryte i przez to nie jest znane ani nie może być określone czy zarządzane. Proces zarządzania ryzykiem wg [4] można podzielić na następujące etapy: a) wykrycie (określenie) zagrożeń, b) ocena ryzyka w zależności od częstości wystąpienia danego zagrożenia i potencjalnych jego skutków, c) sterowanie ryzykiem w celu zmniejszania go do akceptowalnego poziomu, d) podjęcie racjonalnej decyzji, e) wdrożenie decyzji i kontrola wykonania zadania. Rys. 6. Etapy procesu zarządzania ryzykiem [opracowanie na podstawie 4] Graficzne przedstawienie procesu zarządzania ryzykiem zawarto na rysunku 6. Należy zwrócić uwagę, iż jest to proces cykliczny, co oznacza iż po zakończeniu realizacji fazy 5 (nadzór i kontrola), należy ponownie określić możliwe zagrożenia (etap 1) i zrealizować wszystkie etapy procesu. Wynika to z faktu, iż zagrożenia mogą się zmieniać w czasie, a ich poprawne określenie jest podstawą oceny i zarządzania ryzykiem. Zagrożenia niewykryte nie mogą być ocenione i kontrolowane. Z tego też właśnie względu w procesie szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych). Transport jest jedną z tych dziedzin, gdzie duża liczba zagrożeń nie jest zaskoczeniem. Celem zarządzania ryzykiem z nimi związanym jest jednak chęć uniknięcia ich negatywnego wpływu, czyli minimalizacja prawdopodobieństwa ich wystąpienia i ograniczenia ewentualnych skutków. Ponadto w większości sytuacji awaryjnych operator/maszynista/pilot ma mocno ograniczony czas na podjęcie właściwych decyzji i ich wdrożenie. Aby minimalizować ryzyko powstania błędów, informacje przesyłane w systemach transportowych powinny spełniać określone cechy: a) informacja musi być łatwa do interpretacji prosta, jednoznaczna, konkretna, b) informacja musi być użyteczna (informacje zbędne nie powinny być przekazywane), c) informacja musi bezpośrednio odpowiadać aktualnej informacji, d) informacja musi spełniać określone przepisami wymagania jakości. PODSUMOWANE Zapewnienie efektywnego funkcjonowania systemów transportowych jest w dzisiejszych czasach w ogromnym stopniu uzależnione od dostarczania informacji odpowiedniej jakości, jako iż każdy ich błąd, opóźnienie, niekompletność czy niedostępność mogą mieć bezpośredni wpływ na realizowane usługi oraz zapewnienie bezpieczeństwa. Mimo iż informacje mogą przybierać różne formy (np. drukowane, przechowywane elektroniczne czy wypowiadane słownie), zawsze muszą być odpowiednio chronione. Standardy ustanowione przez Międzynarodową Organizację Normalizacyjną przedstawiają definicje, związane z zagadnieniem bezpieczeństwa i jakości informacji oraz wskazują obszary, które należy uregulować, aby efektywnie zarządzać bezpieczeństwem informacji. Bezpieczeństwo informacyjne systemów telematyki jest kluczowe dla zapewnienia ciągłości działania usług telematycznych. Dokumentacja Systemu Zarządzania Bezpieczeństwem nformacji systemów telematyki transportu powinna być w określonych odstępach czasu przeglądana i weryfikowana, aby dokument Polityki Bezpieczeństwa nformacyjnego (PB) był cały czas aktualny, a cele pozostały jasne i czytelne. W systemach telematyki transportu należy położyć duży nacisk na kształcenie kadry kierowniczej, operatorów i techników pod względem bezpieczeństwa systemu, a także dostępu do informacji, pomieszczeń i urządzeń znajdujących się w terenie. W analizie ryzyka oraz ocenie jakości systemów telematyki transportu pomocne są audyty, wykonywane przez niezależnych ekspertów. Szczegółowa analiza z wykorzystaniem standardów znanej metodyki pozwoli na zapewnienie ciągłości realizacji usług przez systemy telematyki transportu. BBLOGRAFA 1. Bilski T., Stokłosa J., Pankowski T., Bezpieczeństwo danych w systemach informatycznych, Wydawnictwo Naukowe PWN, 2001, Warszawa-Poznań. 12/2016 AUTOBUSY 417

2. Chowdhury M. A., Sadek A.: Fundamentals of ntelligent Transportation Systems Planning. Artech House TS Library. Boston, London 2003 3. Hamrol A., Mantura W., Zarządzanie jakością, Teoria i praktyka, PWN, 2002, Warszawa. 4. Klich E. Bezpieczeństwo lotów, Wydawnictwo Naukowe nstytutu Technologii Eksploatacji PB, Radom 2011. 5. Molak V., Podstawy analizy ryzyka i zarządzania ryzykiem, CRC Lewis Publishers, Floryda 1996. 6. Norma PN-EN SO 9000:2015-10, Systemy zarządzania jakością - Podstawy i terminologia, Polski Komitet Normalizacyjny, 2015, Warszawa. 7. Norma PN-EN SO 9001:2015-10, Systemy zarządzania jakością Wymagania (wersja angielska), 2015. 8. Norma PN-EN SO 19157:2014:04, nformacja Geograficzna Jakość danych (wersja angielska), 2014. 9. Norma PN-SO/EC 27001:2007, Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji, Polski Komitet Normalizacyjny, 2007, Warszawa. 10. Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, Dz. U. z 2010 r. Nr 182, poz. 1228. Evaluation of information safety and quality of transport telematics systems This article discusses the issues of information safety and quality, based on SO standards for management systems. n its contents attributes of data safety were defined and then the nformation Safety Management System based on the PDCA model was described. n the following part of the paper the problem of data quality evaluation was analyzed, classification of data quality evaluation methods was presented and then the diagram of quality evaluation process was shown. Finally the issue of risk management, being a part of comprehensive approach to information safety management was discussed. Autorzy: prof. nzw. dr hab. inż. Mirosław Siergiejczyk Politechnika Warszawska mgr inż. Ewa Dudek Politechnika Warszawska 418 AUTOBUSY 12/2016

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres