Kształtowanie,

[ Pobierz całość w formacie PDF ]

                                                                                                                             Mariusz Tylk

                                                                                                                        Nr albumu: 23029

                                                                                                                         Bartłomiej Kuba

                                                                                                                        Nr albumu: 23030      

 

 

 

Kształtowanie bezpieczeństwa informacji, zachowań pracowniczych

instytucji i przedsiębiorstw

 

 

Bezpieczeństwo Narodowe

III rok V semestr

 

 

 

 

 

 

 

 

 

Kształtowanie bezpieczeństwa informacji, zachowań pracowniczych

instytucji i przedsiębiorstw

 

 

W XXI wieku coraz częściej mówi się o rewolucji informatycznej, o strategicznym znaczeniu informacji dla firm i instytucji, a także o oraz bezpieczeństwie informacji i systemach z nią związanych. Brak odpowiedniego systemu i zasad ochrony informacji nie może doprowadzić w bliższej lub dalszej perspektywie do utraty zaufania klientów, konkurencyjności jednostki, a także do utraty płynności finansowej oraz zgodności sfery prawnej. Wszystko dlatego, że informacja w organizacji czy instytucji stanowi zasób, który posiada pewną wartość. Można ją rozpatrywać, w co najmniej dwóch wymiarach:

-        dotyczącym kosztu jej uzyskania i oczekiwanych zysków z jej wykorzystania;

-        ceny, jaką jest gotów zapłacić konkurent za zdobycie (i ewentualnie po zmodyfikowaniu – wykorzystanie) posiadanej przez daną firmę informacji oraz strat, jakie poniesie firma z tego tytułu.

Informacje stanowią niezwykle ważną wartość biznesową służącą budowaniu przewagi konkurencyjnej instytucji i przedsiębiorstw, są też jednym z najważniejszych aktywów biznesowych. Bezpieczeństwo informacji to niezbędny czynnik sukcesu rynkowego i kluczowy element wiarygodności korporacyjnej. Tak naprawdę za ochronę informacji w instytucjach i przedsiębiorstwach w ogromnej mierze odpowiada każdy zatrudniony w niej pracownik czy współpracownik..

Bezpieczeństwo informacji determinują zarówno wymagania prawa, ale i wymagania biznesu (dbałość o interesy firmy oraz minimalizacja strat finansowych i wizerunkowych) takie jak:

-        konkurencyjność;

-        płynność finansowa;

-        zysk;

-        zaufanie klientów;

-        wizerunek i prestiż.

Na każdym poziomie zarządzania bezpieczeństwem informacji należy pamiętać o jego głównym celu, czyli niedopuszczeniu do ich ujawnienia.

               Nadzór nad ochroną informacji w przedsiębiorstwach i instytucjach sprawują wyznaczone do tego celu jednostki. Dodatkowo każdy zatrudniony pracownik jest zobowiązany do zgłoszenia wszystkich przypadków incydentu bezpieczeństwa.

Informacje, do których pracownik ma dostęp mogą występować w formie tradycyjnej bądź elektronicznej. Mogą one występować jako zapis elektroniczny, zapis na papierze, a także jako słowa wypowiedziane w rozmowie, czy jako nagranie audio lub video. Jedno jest pewne - bez względu na ich formę powinny być odpowiednio zabezpieczone. Wszystko dlatego, że posiadają one swoją wymierną wartość, a ich utrata lub wyciek mogą pociągać za sobą poważne straty dla przedsiębiorstwa lub instytucji. Dlatego do obowiązków pracowników należy zapewnienie im odpowiedniego bezpieczeństwa.

Bezpieczeństwo informacji to nic innego, jak zachowanie na wymaganym poziomie:

-        poufności danych - zapewnienie dostępu do nich wyłącznie osobom upoważnionym;

-        integralności, która polega na zapewnieniu dokładności i kompletności informacji oraz metod ich przetwarzania;

-        dostępności, czyli zapewnienia, że tylko osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wyłącznie w sytuacjach, gdy jest to potrzebne;

-        rozliczalności – inaczej zapewnienia identyfikacji użytkowników i wykorzystywanych przez nich usług.

W dobie komputeryzacji oprócz rozwoju technologicznego pojawiają się dodatkowe zagrożenia w kwestii bezpieczeństwa informacji. Systemy komputerowe, w których składowane są dane są narażone na ataki i wyciek informacji. Obszary zagrożeń dla systemów komputerowych to między innymi:

-        kwalifikacje i wiarygodność personelu;

-        centra administracyjne systemu i sieci;

-        infrastruktura telekomunikacyjna;

-        produkcja sprzętu i oprogramowania;

-        procedury korzystania z systemów i sieci informatycznych;

-        nośniki danych.

Najsłabszymi ogniwami w ochronie informacji są kradzieże, zniszczenia, wirusy, błędy oprogramowania, uszkodzenia, podglądy, podsłuchy i ujawnienie danych. Do najczęstszych incydentów bezpieczeństwa w przedsiębiorstwach lub instytucjach można zaliczyć zawarte w poniższej tabeli zdarzenia.

Tabela nr 1: Przykładowe incydenty naruszające bezpieczeństwo informacji

Incydent bezpieczeństwa

Opis incydentu

Ujawnienie informacji chronionej

 

-        podejrzenie ujawnienia informacji o danych osobowych klientów (np. imię, nazwisko, adres itp.),

-        podejrzenie ujawnienia danych z faktur lub innych dokumentów, np. rachunków, spisów, raportów.

Ujawnienie przypadków nieuprawnionego modyfikowania informacji chronionych

-        wykrycie lub podejrzenie  nieuprawnionego modyfikowania informacji chronionych np. redukcji zadłużenia klienta,

-        wykrycie lub podejrzenie nieuzasadnionego przyznawania dodatkowych uprawnień.

Utrata kontroli nad uprawnieniami dostępu do chronionej strefy w wyniku świadomego działania

-        przekazanie innej osobie takich rzeczy jak klucz do pomieszczeń, karta lub kod dostępu do strefy chronionej lub utrata ich w wyniku kradzieży, rozboju czy wymuszenia.

Nieautoryzowane usunięcie danych

-        podejrzenie, że w sposób nieautoryzowany, niewłaściwy usunięto dane z systemów bądź z nośników informatycznych

Niewłaściwie zabezpieczenie danych osobowych lub informacji objętych tajemnicą wewnętrzną firmy lub instytucji

-        podejrzenie niezgodnego z ustawą o ochronie danych osobowych lub innej postępowania  z danymi osobowymi lub informacjami stanowiącymi tajemnicę przedsiębiorstwa czy instytucji,

-        poruszanie w rozmowach prywatnych i korespondencji prywatnej zagadnień stanowiących tajemnicę wewnętrzną danej jednostki.

Wszystkie formy kradzieży w obiektach instytucji czy przedsiębiorstw i poza nimi sprzętu przetwarzającego informacje chronione lub nośnika zawierającego informacje

 

Celowe niszczenie, blokowanie lub wyłączanie sprzętu przetwarzającego informacje chronione

 

Atak wirusowy

-        podejrzenie, iż systemy / komputery zostały zainfekowane wirusem lub innym szkodliwym oprogramowaniem.

 

Ważne jest by jednostki miały świadomość istnienia zagrożeń bezpieczeństwa informacji, i aby potrafiły wybrać najistotniejsze potencjalne obszary ich występowania. Dzięki tej świadomości możliwe jest opracowanie i wdrożenie odpowiednich procedur mających na celu ochronę zagrożonych obszarów, a także wprowadzenie procedur ograniczających (uprawniony) dostęp. Istotne jest także szkolenie pracowników i bieżąca kontrola tych obszarów.

Tajemnicę przedsiębiorstwa czy instytucji stanowią nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe i organizacyjne przedsiębiorstwa lub inne informacje o wartości gospodarczej, co do których jednostki podjęły niezbędne działania w celu zachowania ich poufności, polegające na:

-        opracowaniu katalogu informacji stanowiących tajemnicę;

-        wdrożeniu procedur zabezpieczenia;

-        zapewnieniu stosownych zapisów w umowach.

...

[ Pobierz całość w formacie PDF ]
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • psp5.opx.pl