Bezpieczeństwo informacji: Różnice pomiędzy wersjami
m (Infobox update) |
m (cleanup bibliografii i rotten links) |
||
(Nie pokazano 16 wersji utworzonych przez 2 użytkowników) | |||
Linia 1: | Linia 1: | ||
'''Bezpieczeństwo informacji''' - Przechowywane w bazach danych [[informacje]], powinny podlegać ochronie. Dotyczy to w szczególności danych o charakterze strategicznym, o kluczowym znaczeniu dla funkcjonowania przedsiębiorstwa. [[Projekt]] systemu informacyjnego wspomagającego [[zarządzanie]] strategiczne, powinien uwzględniać problematykę bezpieczeństwa informacji, poprzez określenie ogółu zasad, metod i narzędzi ochrony i nadzoru nad informacją. | |||
[[Definicja]] bezpieczeństwa informacji jest problematyczna, ponieważ [[rozwój]] technologiczny w zakresie komputeryzacji intensywnie się zmienia, pojawiają się coraz to nowe działania przełamujące zabezpieczenia. Zatem precyzyjnie sformułowana definicja jest ściśle powiązana z określeniem atrybutu bezpieczeństwa do których zalicza się: | |||
* [[poufność]] - oznacza że [[informacja]] nie jest dostępna dla nieautoryzowanych osób, podmiotów lub procesów; | |||
* Autentyczność - oznacza, że [[tożsamość]] podmiotu lub zespołu jest taka jak deklarowano, | |||
* [[Dostępność]] - daje możliwość wykorzystania w danym czasie przez osobę, która ma do tego [[prawo]], | |||
* [[Integralność]] danych - ta właściwość oznacza że [[dane]] nie zostały zmienione lub zniszczone w sposób nieautoryzowany, | |||
* Integralność systemowa - właściwość umożliwiająca systemowi realizację zamierzonej funkcji w nienaruszony przez nieautoryzowane manipulacje (celowe lub przypadkowe) sposób; | |||
* Integralność - integralność danych oraz systemu, | |||
* Rozliczalność - oznacza, że działania podmiotu np. użytkownika mogą być mu przypisane, | |||
* [[Niezawodność]] - spójne, zamierzone zachowanie i skutki [J. Czekaj 2012, s. 128] | |||
==TL;DR== | |||
Artykuł omawia znaczenie bezpieczeństwa informacji w przechowywanych danych i systemach informacyjnych. Definiuje atrybuty bezpieczeństwa, takie jak poufność, autentyczność, dostępność, integralność, rozliczalność i niezawodność. Opisuje politykę bezpieczeństwa informacji oraz akty prawne regulujące ochronę danych. Przedstawia elementy bezpieczeństwa informacji, takie jak zarządzanie ryzykiem i zagrożenia. Wskazuje na różne zagrożenia, takie jak błędy człowieka, awarie, katastrofy i rozmyślne działania. | |||
<google>n</google> | |||
==Polityka bezpieczeństwa informacji== | ==Polityka bezpieczeństwa informacji== | ||
Dobrze prosperujące [[przedsiębiorstwo]] nie może sobie pozwolić na utratę lub nieautoryzowane ujawnienia poufnych danych, dlatego niezwykle ważnym działaniem podejmowanym przez firmy oraz instytucje publiczne staje się zabezpieczanie środków przechowywania danych lub przetwarzania informacji [J. Czekaj 2012, s. 126]. Dla ochrony polityki bezpieczeństwa informacji obowiązują [[akty prawne]] takie jak: | Dobrze prosperujące [[przedsiębiorstwo]] nie może sobie pozwolić na utratę lub nieautoryzowane ujawnienia poufnych danych, dlatego niezwykle ważnym działaniem podejmowanym przez firmy oraz instytucje publiczne staje się zabezpieczanie środków przechowywania danych lub przetwarzania informacji [J. Czekaj 2012, s. 126]. Dla ochrony polityki bezpieczeństwa informacji obowiązują [[akty prawne]] takie jak: | ||
Linia 42: | Linia 31: | ||
* rozwiązania prawne - uregulowania w prawie karnym stojące na straży bezpieczeństwa informacji dotyczące przede wszystkim poufności informacji, oszustw, manipulacji, wandalizmu, itp. | * rozwiązania prawne - uregulowania w prawie karnym stojące na straży bezpieczeństwa informacji dotyczące przede wszystkim poufności informacji, oszustw, manipulacji, wandalizmu, itp. | ||
==Elementy bezpieczeństwa informacji == | ==Elementy bezpieczeństwa informacji== | ||
Zarządzanie bezpieczeństwem informacji opiera się na wszystkim tym co możemy rozumieć przez elementy bezpieczeństwa informacji. Kluczowym celem jest [[zarządzanie ryzykiem]], co pozwala na minimalizowanie ryzyka wystąpienia zagrożeń. Podstawowymi pojęciami, które wyjaśnia [[norma]] poświęcona technice informacyjnej, są: | Zarządzanie bezpieczeństwem informacji opiera się na wszystkim tym co możemy rozumieć przez elementy bezpieczeństwa informacji. Kluczowym celem jest [[zarządzanie ryzykiem]], co pozwala na minimalizowanie ryzyka wystąpienia zagrożeń. Podstawowymi pojęciami, które wyjaśnia [[norma]] poświęcona technice informacyjnej, są: | ||
* [[zagrożenie]] | * [[zagrożenie]] - zjawisko wywołane działaniem niepożądanym, skutkiem takiego incydentu może być [[szkoda]] na rzecz systemu lub instytucji ; | ||
* [[zasoby]] | * [[zasoby]] - wszystko to co jest potrzebne lub ma [[wartość]] dla instytucji, | ||
* zabezpieczenie | * zabezpieczenie - [[procedura]] redukująca [[ryzyko]] | ||
* [[podatność]] | * [[podatność]] - [[zasób]] lub [[grupa]] zasobów, która może w łatwy sposób ulec zagrożeniu [J. Łuczak, M. Tyburski 2010, s. 20] | ||
==Zagrożenia związane z bezpieczeństwem informacji== | ==Zagrożenia związane z bezpieczeństwem informacji== | ||
Bezpieczeństwo informacji jest rozpatrywane w trzech zależnych od siebie obszarach: | Bezpieczeństwo informacji jest rozpatrywane w trzech zależnych od siebie obszarach: | ||
* bezpieczeństwo informacji obejmującej zasób strategiczny państwa, | * bezpieczeństwo informacji obejmującej zasób strategiczny państwa, | ||
* bezpieczeństwo krytycznej infrastruktury teleinformatycznej, | * bezpieczeństwo krytycznej infrastruktury teleinformatycznej, | ||
* warunki ułatwiające przechowywanie, zachowanie i rozwoju społeczeństwa informacyjnego. | * warunki ułatwiające przechowywanie, zachowanie i rozwoju społeczeństwa informacyjnego. | ||
Bezpieczeństwo informacji można rozumieć jako wypadkową bezpieczeństwa prawnego, fizycznego, teleinformatycznego i osobowo-organizacyjnego. [ M. Pala 2016, s 137] | Bezpieczeństwo informacji można rozumieć jako wypadkową bezpieczeństwa prawnego, fizycznego, teleinformatycznego i osobowo-organizacyjnego. [ M. Pala 2016, s 137] | ||
Działania zabezpieczające podejmowane podczas sytuacji zagrażającej systemowi lub zasobom są zadaniami trudnymi i bardzo kosztownymi, dlatego często są one przerywane lub w ogóle nie stosowane. | Działania zabezpieczające podejmowane podczas sytuacji zagrażającej systemowi lub zasobom są zadaniami trudnymi i bardzo kosztownymi, dlatego często są one przerywane lub w ogóle nie stosowane. | ||
We współczesnym świece napotyka się coraz więcej zagrożeń, co zwiększa ryzyko naruszania ochrony procesów gromadzenia i wykorzystania danych oraz utraty informacji. Niezbędne więc jest stworzenie modelu strategii zarządzania informacjami i ich bezpieczeństwa w organizacji, które obejmują: systemy, procesy, osoby oraz przetwarzaną informację.[ J. Czekaj 2012, s. 129] | We współczesnym świece napotyka się coraz więcej zagrożeń, co zwiększa ryzyko naruszania ochrony procesów gromadzenia i wykorzystania danych oraz utraty informacji. Niezbędne więc jest stworzenie modelu strategii zarządzania informacjami i ich bezpieczeństwa w organizacji, które obejmują: systemy, procesy, osoby oraz przetwarzaną informację.[ J. Czekaj 2012, s. 129] | ||
Podstawowymi zagrożeniami bezpieczeństwa informacji są: | Podstawowymi zagrożeniami bezpieczeństwa informacji są: | ||
* Błędy człowieka | * Błędy człowieka - sytuacja taka ma miejsce przez niedbalstwo, brak wiedzy lub nieuwagę administratorów, projektantów, użytkowników systemu, | ||
* Awarie | * Awarie - nieoczekiwane defekty sprzętu, urządzeń i oprogramowań, niezbędnych do prawidłowego przetwarzania i przechowywania zasobów; | ||
* | * Katastrofy - zdarzenia losowe naturalne np. powódź, trzęsienie ziemi, pożar, huragan itp. oraz wywołane przez ludzi np. katastrofy budowane, komunikacyjne, które prowadzą do zakłóceń funkcjonowania systemów. | ||
* Rozmyślne działania - celowe ataki ludzkie lub zautomatyzowane na system, kradzież sprzętu i zasobów. Ataki wewnętrzne | * Rozmyślne działania - celowe ataki ludzkie lub zautomatyzowane na system, kradzież sprzętu i zasobów. Ataki wewnętrzne - niezadowoleni lub przekupieni pracownicy; ataki zewnętrzne - hakerzy, szpiedzy [D. L. Pipking 2002, s. 26] | ||
[[ | {{infobox5|list1={{i5link|a=[[Wyciek danych]]}} — {{i5link|a=[[Integralność danych]]}} — {{i5link|a=[[Polityka bezpieczeństwa informacji]]}} — {{i5link|a=[[Podatność informatyczna]]}} — {{i5link|a=[[Odzyskiwanie danych]]}} — {{i5link|a=[[Cyberbezpieczeństwo]]}} — {{i5link|a=[[Monitoring]]}} — {{i5link|a=[[Zarządzanie konfiguracją]]}} — {{i5link|a=[[Infrastruktura krytyczna]]}} }} | ||
==Bibliografia== | ==Bibliografia== | ||
* Czekaj J., | <noautolinks> | ||
* Dudek | * Czekaj J. (2012), ''Podstawy zarządzania informacją'', Wydawnictwo Uniwersytetu Ekonomicznego w Krakowie, Kraków | ||
* Kubiak M. Topolewski S. i in. 2016, ''Bezpieczeństwo informacji w XXI wieku '' Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach, | * Dudek E., Kozłowski M. (2015), ''Zagadnienie bezpieczeństwa zintegrowanych informacji operacyjnych w porcie lotniczym'', Logistyka, nr 4 | ||
* Łuczak J. M. | * Kubiak M., Topolewski S. i in. (2016), ''Bezpieczeństwo informacji w XXI wieku'', Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach, Siedlce | ||
* Pipking D. | * Łuczak J., Tyburski M. (2010), ''Systemowe zarządzanie bezpieczeństwem informacji ISO/IEC 27001'', Uniwersytet Ekonomiczny w Poznaniu | ||
* Polaczek | * Pipking D. (2002), ''Bezpieczeństwo informacji. Ochrona globalnego przedsiębiorstwa'', WNT, Warszawa | ||
* Wołoszyn J., Lula P., ''Informatyczne metody i środki ochrony zasobów informacyjnych przedsiębiorstwa'', w: '' | * Polaczek T. (2006), ''Audyt bezpieczeństwa informacji w praktyce'', Helion, Gliwice | ||
* Wołowski | * Wołoszyn J., Lula P. (2001), ''Informatyczne metody i środki ochrony zasobów informacyjnych przedsiębiorstwa'', [w:] ''System informacji strategicznej. Wywiad gospodarczy a konkurencyjność przedsiębiorstwa'', pod red. R. Borowieckiego, Difin, Warszawa | ||
* Woźniak K., '' | * Wołowski F., Zawiła-Niedźwiecki J. (2012), ''Bezpieczeństwo systemów informacyjnych'', edu-Libri | ||
* Woźniak K. (2005), ''System informacji menedżerskiej jako instrument zarządzania strategicznego w firmie'', praca doktorska, Akademia Ekonomiczna w Krakowie, Kraków | |||
</noautolinks> | |||
{{a|Krzysztof Woźniak, Monika Tatka}} | {{a|Krzysztof Woźniak, Monika Tatka}} | ||
[[Kategoria:Bezpieczeństwo informacji]] | |||
{{#metamaster:description|Bezpieczeństwo informacji - ochrona danych w bazach. Kluczowe dla przedsiębiorstwa. Poufność, autentyczność i integralność. Dowiedz się więcej!}} |
Aktualna wersja na dzień 16:27, 19 gru 2023
Bezpieczeństwo informacji - Przechowywane w bazach danych informacje, powinny podlegać ochronie. Dotyczy to w szczególności danych o charakterze strategicznym, o kluczowym znaczeniu dla funkcjonowania przedsiębiorstwa. Projekt systemu informacyjnego wspomagającego zarządzanie strategiczne, powinien uwzględniać problematykę bezpieczeństwa informacji, poprzez określenie ogółu zasad, metod i narzędzi ochrony i nadzoru nad informacją.
Definicja bezpieczeństwa informacji jest problematyczna, ponieważ rozwój technologiczny w zakresie komputeryzacji intensywnie się zmienia, pojawiają się coraz to nowe działania przełamujące zabezpieczenia. Zatem precyzyjnie sformułowana definicja jest ściśle powiązana z określeniem atrybutu bezpieczeństwa do których zalicza się:
- poufność - oznacza że informacja nie jest dostępna dla nieautoryzowanych osób, podmiotów lub procesów;
- Autentyczność - oznacza, że tożsamość podmiotu lub zespołu jest taka jak deklarowano,
- Dostępność - daje możliwość wykorzystania w danym czasie przez osobę, która ma do tego prawo,
- Integralność danych - ta właściwość oznacza że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- Integralność systemowa - właściwość umożliwiająca systemowi realizację zamierzonej funkcji w nienaruszony przez nieautoryzowane manipulacje (celowe lub przypadkowe) sposób;
- Integralność - integralność danych oraz systemu,
- Rozliczalność - oznacza, że działania podmiotu np. użytkownika mogą być mu przypisane,
- Niezawodność - spójne, zamierzone zachowanie i skutki [J. Czekaj 2012, s. 128]
TL;DR
Artykuł omawia znaczenie bezpieczeństwa informacji w przechowywanych danych i systemach informacyjnych. Definiuje atrybuty bezpieczeństwa, takie jak poufność, autentyczność, dostępność, integralność, rozliczalność i niezawodność. Opisuje politykę bezpieczeństwa informacji oraz akty prawne regulujące ochronę danych. Przedstawia elementy bezpieczeństwa informacji, takie jak zarządzanie ryzykiem i zagrożenia. Wskazuje na różne zagrożenia, takie jak błędy człowieka, awarie, katastrofy i rozmyślne działania.
Polityka bezpieczeństwa informacji
Dobrze prosperujące przedsiębiorstwo nie może sobie pozwolić na utratę lub nieautoryzowane ujawnienia poufnych danych, dlatego niezwykle ważnym działaniem podejmowanym przez firmy oraz instytucje publiczne staje się zabezpieczanie środków przechowywania danych lub przetwarzania informacji [J. Czekaj 2012, s. 126]. Dla ochrony polityki bezpieczeństwa informacji obowiązują akty prawne takie jak:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. nr 133, poz. 883)
- Ustawa z dnia 27 lipca 2001 r. o ochronie bez danych (Dz. U. nr 128, poz. 1402)
- Ustawa z dnia 18 wrześnie 2001 r. o podpisie elektronicznym (Dz. U. nr 130, poz.1450)
- Ustawa z dnia 5 sierpni 2010 r. o ochronie informacji niejawnych (Dz. U. nr 182, poz. 1228)
- Przepisy karne odnoszące się do przypadków łamania prawa przez osoby używające komputerów i sieci znajdujące się w kodeksie karnym oraz znowelizowanych ustaw chroniących informacje [ J. Czekaj 2012, s. 127].
W szczególności polityka bezpieczeństwa określa (P. Lula, J. Wołoszyn 2001, s. 224):
- zabezpieczenia fizyczne - mające na celu zabezpieczenie okien, drzwi, ścian, instalacji, montaż alarmów, czujników, telewizji przemysłowej,
- zabezpieczenia wykorzystujące metody i środki informatyki - wśród których należy wyróżnić rozwiązania sprzętowe oraz programowe,
- zabezpieczenia organizacyjne - polegające na przeprowadzeniu zmian organizacyjnych mających na celu zwiększenie poziomu bezpieczeństwa systemu (zaprojektowanie regulaminów i procedur pracy, procedury postępowania awaryjnego, odpowiedzialność pracowników),
- zabezpieczenia administracyjne - do mechanizmów tych należy zaliczyć przede wszystkim system certyfikacji potwierdzający przydatność do pracy w warunkach danej organizacji (certyfikaty mogą dotyczyć osób, sprzętu, technologii, oprogramowania),
- rozwiązania prawne - uregulowania w prawie karnym stojące na straży bezpieczeństwa informacji dotyczące przede wszystkim poufności informacji, oszustw, manipulacji, wandalizmu, itp.
Elementy bezpieczeństwa informacji
Zarządzanie bezpieczeństwem informacji opiera się na wszystkim tym co możemy rozumieć przez elementy bezpieczeństwa informacji. Kluczowym celem jest zarządzanie ryzykiem, co pozwala na minimalizowanie ryzyka wystąpienia zagrożeń. Podstawowymi pojęciami, które wyjaśnia norma poświęcona technice informacyjnej, są:
- zagrożenie - zjawisko wywołane działaniem niepożądanym, skutkiem takiego incydentu może być szkoda na rzecz systemu lub instytucji ;
- zasoby - wszystko to co jest potrzebne lub ma wartość dla instytucji,
- zabezpieczenie - procedura redukująca ryzyko
- podatność - zasób lub grupa zasobów, która może w łatwy sposób ulec zagrożeniu [J. Łuczak, M. Tyburski 2010, s. 20]
Zagrożenia związane z bezpieczeństwem informacji
Bezpieczeństwo informacji jest rozpatrywane w trzech zależnych od siebie obszarach:
- bezpieczeństwo informacji obejmującej zasób strategiczny państwa,
- bezpieczeństwo krytycznej infrastruktury teleinformatycznej,
- warunki ułatwiające przechowywanie, zachowanie i rozwoju społeczeństwa informacyjnego.
Bezpieczeństwo informacji można rozumieć jako wypadkową bezpieczeństwa prawnego, fizycznego, teleinformatycznego i osobowo-organizacyjnego. [ M. Pala 2016, s 137] Działania zabezpieczające podejmowane podczas sytuacji zagrażającej systemowi lub zasobom są zadaniami trudnymi i bardzo kosztownymi, dlatego często są one przerywane lub w ogóle nie stosowane. We współczesnym świece napotyka się coraz więcej zagrożeń, co zwiększa ryzyko naruszania ochrony procesów gromadzenia i wykorzystania danych oraz utraty informacji. Niezbędne więc jest stworzenie modelu strategii zarządzania informacjami i ich bezpieczeństwa w organizacji, które obejmują: systemy, procesy, osoby oraz przetwarzaną informację.[ J. Czekaj 2012, s. 129] Podstawowymi zagrożeniami bezpieczeństwa informacji są:
- Błędy człowieka - sytuacja taka ma miejsce przez niedbalstwo, brak wiedzy lub nieuwagę administratorów, projektantów, użytkowników systemu,
- Awarie - nieoczekiwane defekty sprzętu, urządzeń i oprogramowań, niezbędnych do prawidłowego przetwarzania i przechowywania zasobów;
- Katastrofy - zdarzenia losowe naturalne np. powódź, trzęsienie ziemi, pożar, huragan itp. oraz wywołane przez ludzi np. katastrofy budowane, komunikacyjne, które prowadzą do zakłóceń funkcjonowania systemów.
- Rozmyślne działania - celowe ataki ludzkie lub zautomatyzowane na system, kradzież sprzętu i zasobów. Ataki wewnętrzne - niezadowoleni lub przekupieni pracownicy; ataki zewnętrzne - hakerzy, szpiedzy [D. L. Pipking 2002, s. 26]
Bezpieczeństwo informacji — artykuły polecane |
Wyciek danych — Integralność danych — Polityka bezpieczeństwa informacji — Podatność informatyczna — Odzyskiwanie danych — Cyberbezpieczeństwo — Monitoring — Zarządzanie konfiguracją — Infrastruktura krytyczna |
Bibliografia
- Czekaj J. (2012), Podstawy zarządzania informacją, Wydawnictwo Uniwersytetu Ekonomicznego w Krakowie, Kraków
- Dudek E., Kozłowski M. (2015), Zagadnienie bezpieczeństwa zintegrowanych informacji operacyjnych w porcie lotniczym, Logistyka, nr 4
- Kubiak M., Topolewski S. i in. (2016), Bezpieczeństwo informacji w XXI wieku, Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach, Siedlce
- Łuczak J., Tyburski M. (2010), Systemowe zarządzanie bezpieczeństwem informacji ISO/IEC 27001, Uniwersytet Ekonomiczny w Poznaniu
- Pipking D. (2002), Bezpieczeństwo informacji. Ochrona globalnego przedsiębiorstwa, WNT, Warszawa
- Polaczek T. (2006), Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice
- Wołoszyn J., Lula P. (2001), Informatyczne metody i środki ochrony zasobów informacyjnych przedsiębiorstwa, [w:] System informacji strategicznej. Wywiad gospodarczy a konkurencyjność przedsiębiorstwa, pod red. R. Borowieckiego, Difin, Warszawa
- Wołowski F., Zawiła-Niedźwiecki J. (2012), Bezpieczeństwo systemów informacyjnych, edu-Libri
- Woźniak K. (2005), System informacji menedżerskiej jako instrument zarządzania strategicznego w firmie, praca doktorska, Akademia Ekonomiczna w Krakowie, Kraków
Autor: Krzysztof Woźniak, Monika Tatka