Kształtowanie,
[ Pobierz całość w formacie PDF ]Mariusz Tylk
Nr albumu: 23029
Bartłomiej Kuba
Nr albumu: 23030
Kształtowanie bezpieczeństwa informacji, zachowań pracowniczych
instytucji i przedsiębiorstw
Bezpieczeństwo Narodowe
III rok V semestr
Kształtowanie bezpieczeństwa informacji, zachowań pracowniczych
instytucji i przedsiębiorstw
W XXI wieku coraz częściej mówi się o rewolucji informatycznej, o strategicznym znaczeniu informacji dla firm i instytucji, a także o oraz bezpieczeństwie informacji i systemach z nią związanych. Brak odpowiedniego systemu i zasad ochrony informacji nie może doprowadzić w bliższej lub dalszej perspektywie do utraty zaufania klientów, konkurencyjności jednostki, a także do utraty płynności finansowej oraz zgodności sfery prawnej. Wszystko dlatego, że informacja w organizacji czy instytucji stanowi zasób, który posiada pewną wartość. Można ją rozpatrywać, w co najmniej dwóch wymiarach:
- dotyczącym kosztu jej uzyskania i oczekiwanych zysków z jej wykorzystania;
- ceny, jaką jest gotów zapłacić konkurent za zdobycie (i ewentualnie po zmodyfikowaniu – wykorzystanie) posiadanej przez daną firmę informacji oraz strat, jakie poniesie firma z tego tytułu.
Informacje stanowią niezwykle ważną wartość biznesową służącą budowaniu przewagi konkurencyjnej instytucji i przedsiębiorstw, są też jednym z najważniejszych aktywów biznesowych. Bezpieczeństwo informacji to niezbędny czynnik sukcesu rynkowego i kluczowy element wiarygodności korporacyjnej. Tak naprawdę za ochronę informacji w instytucjach i przedsiębiorstwach w ogromnej mierze odpowiada każdy zatrudniony w niej pracownik czy współpracownik..
Bezpieczeństwo informacji determinują zarówno wymagania prawa, ale i wymagania biznesu (dbałość o interesy firmy oraz minimalizacja strat finansowych i wizerunkowych) takie jak:
- konkurencyjność;
- płynność finansowa;
- zysk;
- zaufanie klientów;
- wizerunek i prestiż.
Na każdym poziomie zarządzania bezpieczeństwem informacji należy pamiętać o jego głównym celu, czyli niedopuszczeniu do ich ujawnienia.
Nadzór nad ochroną informacji w przedsiębiorstwach i instytucjach sprawują wyznaczone do tego celu jednostki. Dodatkowo każdy zatrudniony pracownik jest zobowiązany do zgłoszenia wszystkich przypadków incydentu bezpieczeństwa.
Informacje, do których pracownik ma dostęp mogą występować w formie tradycyjnej bądź elektronicznej. Mogą one występować jako zapis elektroniczny, zapis na papierze, a także jako słowa wypowiedziane w rozmowie, czy jako nagranie audio lub video. Jedno jest pewne - bez względu na ich formę powinny być odpowiednio zabezpieczone. Wszystko dlatego, że posiadają one swoją wymierną wartość, a ich utrata lub wyciek mogą pociągać za sobą poważne straty dla przedsiębiorstwa lub instytucji. Dlatego do obowiązków pracowników należy zapewnienie im odpowiedniego bezpieczeństwa.
Bezpieczeństwo informacji to nic innego, jak zachowanie na wymaganym poziomie:
- poufności danych - zapewnienie dostępu do nich wyłącznie osobom upoważnionym;
- integralności, która polega na zapewnieniu dokładności i kompletności informacji oraz metod ich przetwarzania;
- dostępności, czyli zapewnienia, że tylko osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wyłącznie w sytuacjach, gdy jest to potrzebne;
- rozliczalności – inaczej zapewnienia identyfikacji użytkowników i wykorzystywanych przez nich usług.
W dobie komputeryzacji oprócz rozwoju technologicznego pojawiają się dodatkowe zagrożenia w kwestii bezpieczeństwa informacji. Systemy komputerowe, w których składowane są dane są narażone na ataki i wyciek informacji. Obszary zagrożeń dla systemów komputerowych to między innymi:
- kwalifikacje i wiarygodność personelu;
- centra administracyjne systemu i sieci;
- infrastruktura telekomunikacyjna;
- produkcja sprzętu i oprogramowania;
- procedury korzystania z systemów i sieci informatycznych;
- nośniki danych.
Najsłabszymi ogniwami w ochronie informacji są kradzieże, zniszczenia, wirusy, błędy oprogramowania, uszkodzenia, podglądy, podsłuchy i ujawnienie danych. Do najczęstszych incydentów bezpieczeństwa w przedsiębiorstwach lub instytucjach można zaliczyć zawarte w poniższej tabeli zdarzenia.
Tabela nr 1: Przykładowe incydenty naruszające bezpieczeństwo informacji
Incydent bezpieczeństwa
Opis incydentu
Ujawnienie informacji chronionej
- podejrzenie ujawnienia informacji o danych osobowych klientów (np. imię, nazwisko, adres itp.),
- podejrzenie ujawnienia danych z faktur lub innych dokumentów, np. rachunków, spisów, raportów.
Ujawnienie przypadków nieuprawnionego modyfikowania informacji chronionych
- wykrycie lub podejrzenie nieuprawnionego modyfikowania informacji chronionych np. redukcji zadłużenia klienta,
- wykrycie lub podejrzenie nieuzasadnionego przyznawania dodatkowych uprawnień.
Utrata kontroli nad uprawnieniami dostępu do chronionej strefy w wyniku świadomego działania
- przekazanie innej osobie takich rzeczy jak klucz do pomieszczeń, karta lub kod dostępu do strefy chronionej lub utrata ich w wyniku kradzieży, rozboju czy wymuszenia.
Nieautoryzowane usunięcie danych
- podejrzenie, że w sposób nieautoryzowany, niewłaściwy usunięto dane z systemów bądź z nośników informatycznych
Niewłaściwie zabezpieczenie danych osobowych lub informacji objętych tajemnicą wewnętrzną firmy lub instytucji
- podejrzenie niezgodnego z ustawą o ochronie danych osobowych lub innej postępowania z danymi osobowymi lub informacjami stanowiącymi tajemnicę przedsiębiorstwa czy instytucji,
- poruszanie w rozmowach prywatnych i korespondencji prywatnej zagadnień stanowiących tajemnicę wewnętrzną danej jednostki.
Wszystkie formy kradzieży w obiektach instytucji czy przedsiębiorstw i poza nimi sprzętu przetwarzającego informacje chronione lub nośnika zawierającego informacje
Celowe niszczenie, blokowanie lub wyłączanie sprzętu przetwarzającego informacje chronione
Atak wirusowy
- podejrzenie, iż systemy / komputery zostały zainfekowane wirusem lub innym szkodliwym oprogramowaniem.
Ważne jest by jednostki miały świadomość istnienia zagrożeń bezpieczeństwa informacji, i aby potrafiły wybrać najistotniejsze potencjalne obszary ich występowania. Dzięki tej świadomości możliwe jest opracowanie i wdrożenie odpowiednich procedur mających na celu ochronę zagrożonych obszarów, a także wprowadzenie procedur ograniczających (uprawniony) dostęp. Istotne jest także szkolenie pracowników i bieżąca kontrola tych obszarów.
Tajemnicę przedsiębiorstwa czy instytucji stanowią nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe i organizacyjne przedsiębiorstwa lub inne informacje o wartości gospodarczej, co do których jednostki podjęły niezbędne działania w celu zachowania ich poufności, polegające na:
- opracowaniu katalogu informacji stanowiących tajemnicę;
- wdrożeniu procedur zabezpieczenia;
- zapewnieniu stosownych zapisów w umowach.
...
[ Pobierz całość w formacie PDF ]