Wyciek danych: Różnice pomiędzy wersjami
m (Infobox update) |
(LinkTitles.) |
||
| Linia 13: | Linia 13: | ||
</ul> | </ul> | ||
}} | }} | ||
'''Wyciek danych''' to | '''Wyciek danych''' to niepożą[[dane]] [[zdarzenie]] skutkujące upowszechnieniem danych, przyczyną którego jest utrata lub nieautoryzowane użycie <ref>J. Madej 2011, s. 37</ref>. Do takiej sytuacji dochodzi gdy atrybuty bezpieczeństwa nie zostały zachowane. Według [[normy]] PN-I-13335-1 atrybuty bezpieczeństwa informacji to: '''[[poufność]], autentyczność, [[dostępność]] [[integralność]] danych, integralność systemu, integralność, rozliczalność, [[niezawodność]]<ref>[https://www.iso.org/standard/39066.html ISO/IEC TR 13335/PN-I-13335-1]</ref>.''' | ||
==Przyczyny utraty danych== | ==Przyczyny utraty danych== | ||
| Linia 22: | Linia 22: | ||
** niesprawność systemów informatycznych i sprzętowych, spowodowana zużyciem lub nieprawidłowym użytkowaniem. | ** niesprawność systemów informatycznych i sprzętowych, spowodowana zużyciem lub nieprawidłowym użytkowaniem. | ||
* '''Zagrożeniami zewnętrznymi:''' | * '''Zagrożeniami zewnętrznymi:''' | ||
** umyślne ataki na system informacyjny skutkujące utratą danych, | ** umyślne ataki na [[system]] informacyjny skutkujące utratą danych, | ||
** awaria sprzętu, wynikającą z braku prądu, | ** [[awaria]] sprzętu, wynikającą z braku prądu, | ||
** kataklizmy naturalne takie jak powódź, pożar, trzęsienie ziemi, | ** kataklizmy naturalne takie jak powódź, pożar, trzęsienie ziemi, | ||
** katastrofy budowlane, komunikacyjne. | ** katastrofy budowlane, komunikacyjne. | ||
| Linia 29: | Linia 29: | ||
==Baza danych a nieautoryzowane użycie== | ==Baza danych a nieautoryzowane użycie== | ||
<google>t</google> | <google>t</google> | ||
Zasoby informacji i wiedzy magazynowane są w bazach dzięki profesjonalnemu oprogramowaniu. W bazie danych organizacji znajdują się dane pracowników, informacje o organizacji, meta dane oraz para dane <ref>J. Kisielnicki 2013, s. 39-40</ref>. Te bardzo wrażliwe informacje mogą zostać użyte przez nieuprawnione podmioty. Analizując trójkąt niematerialnych zasobów organizacji, można wywnioskować, że w przypadku wycieku z bazy danych, tylko wyselekcjonowane dane, poddane analizie oraz przedstawione w odpowiedni sposób staną się użyteczną informacją. Gdy istotne informacje zostają zinterpretowane przez odbiorcę i mają dla niego wartość, wtedy stają się wiedzą. Zdobytą wiedzę można wykorzystać przeciwko organizacji <ref>M. Grabowski, A. Zając 2009, s. 111-113</ref><ref>J. Kisielnicki 2013, s. 27-28</ref>. | [[Zasoby]] informacji i wiedzy magazynowane są w bazach dzięki profesjonalnemu oprogramowaniu. W bazie danych organizacji znajdują się dane pracowników, [[informacje]] o organizacji, meta dane oraz para dane <ref>J. Kisielnicki 2013, s. 39-40</ref>. Te bardzo wrażliwe informacje mogą zostać użyte przez nieuprawnione podmioty. Analizując trójkąt niematerialnych zasobów organizacji, można wywnioskować, że w przypadku wycieku z bazy danych, tylko wyselekcjonowane dane, poddane analizie oraz przedstawione w odpowiedni sposób staną się użyteczną informacją. Gdy istotne informacje zostają zinterpretowane przez odbiorcę i mają dla niego [[wartość]], wtedy stają się wiedzą. Zdobytą wiedzę można wykorzystać przeciwko organizacji <ref>M. Grabowski, A. Zając 2009, s. 111-113</ref><ref>J. Kisielnicki 2013, s. 27-28</ref>. | ||
[[Plik:DIWM.png|300px|right|thumb|Rys. 1. Hierarchia DIKW: data, information, knowledge, wisdom (źródło: M. Grabowski, A. Zając 2009, s. 102)]] | [[Plik:DIWM.png|300px|right|thumb|Rys. 1. Hierarchia DIKW: data, information, knowledge, wisdom (źródło: M. Grabowski, A. Zając 2009, s. 102)]] | ||
| Linia 39: | Linia 39: | ||
W przypadku danych osobowych, ujawnienie ich lub modyfikacja przez nieuprawnione podmioty jest regulowana aktem prawnym „Art.43.Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem, jak również do zachowania w tajemnicy udostępnionych danych osobowych oraz sposobów ich zabezpieczenia<ref>[http://isip.sejm.gov.pl/isap.nsf/download.xsp/WDU20190000125/T/D20190125L.pdf ''Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości''], 2018, s. 14</ref> .” | W przypadku danych osobowych, ujawnienie ich lub modyfikacja przez nieuprawnione podmioty jest regulowana aktem prawnym „Art.43.Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem, jak również do zachowania w tajemnicy udostępnionych danych osobowych oraz sposobów ich zabezpieczenia<ref>[http://isip.sejm.gov.pl/isap.nsf/download.xsp/WDU20190000125/T/D20190125L.pdf ''Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości''], 2018, s. 14</ref> .” | ||
Tylko ciągłe doskonalenie funkcjonowania systemów bezpieczeństwa, wdrażanie ostrych procedur i prowadzenie cyklicznych szkoleń pracowników może zmniejszyć ryzyko lub prawie wyeliminować zagrożenie wycieku danych <ref>J. Kisielnicki 2013, s.42</ref>. | Tylko [[ciągłe doskonalenie]] funkcjonowania systemów bezpieczeństwa, wdrażanie ostrych procedur i prowadzenie cyklicznych szkoleń pracowników może zmniejszyć [[ryzyko]] lub prawie wyeliminować [[zagrożenie]] wycieku danych <ref>J. Kisielnicki 2013, s.42</ref>. | ||
==Przypisy== | ==Przypisy== | ||
Wersja z 16:34, 22 maj 2020
| Wyciek danych |
|---|
| Polecane artykuły |
Wyciek danych to niepożądane zdarzenie skutkujące upowszechnieniem danych, przyczyną którego jest utrata lub nieautoryzowane użycie [1]. Do takiej sytuacji dochodzi gdy atrybuty bezpieczeństwa nie zostały zachowane. Według normy PN-I-13335-1 atrybuty bezpieczeństwa informacji to: poufność, autentyczność, dostępność integralność danych, integralność systemu, integralność, rozliczalność, niezawodność[2].
Przyczyny utraty danych
Wyciek danych spowodowany jest[3]:
- Zagrożeniami wewnętrznymi:
- błędy użytkowników, wyrządzone brakiem odpowiednich szkoleń lub niedbałością w wykonywaniu swoich obowiązków,
- celowe działania niezadowolonych lub skorumpowanych pracowników, skutkujące kradzieżą, fałszerstwem, zniszczeniem a nawet podpaleniem,
- niesprawność systemów informatycznych i sprzętowych, spowodowana zużyciem lub nieprawidłowym użytkowaniem.
- Zagrożeniami zewnętrznymi:
Baza danych a nieautoryzowane użycie
Zasoby informacji i wiedzy magazynowane są w bazach dzięki profesjonalnemu oprogramowaniu. W bazie danych organizacji znajdują się dane pracowników, informacje o organizacji, meta dane oraz para dane [4]. Te bardzo wrażliwe informacje mogą zostać użyte przez nieuprawnione podmioty. Analizując trójkąt niematerialnych zasobów organizacji, można wywnioskować, że w przypadku wycieku z bazy danych, tylko wyselekcjonowane dane, poddane analizie oraz przedstawione w odpowiedni sposób staną się użyteczną informacją. Gdy istotne informacje zostają zinterpretowane przez odbiorcę i mają dla niego wartość, wtedy stają się wiedzą. Zdobytą wiedzę można wykorzystać przeciwko organizacji [5][6].
Bezpieczeństwo i regulacje prawne
Istnieje akt prawny który reguluje politykę bezpieczeństwa informacji w Polsce: „Art.1.Bazy danych podlegają ochronie określonej w ustawie niezależnie od ochrony przyznanej na podstawie ustawy z dnia 4 lutego 1994r. o prawie autorskim i prawach pokrewnych (Dz.U. z 2019 r. poz. 1231) bazom danych spełniającym cechy utworu.” [7]
Aby zapewnić bezpieczeństwo i zapobiec wyciekom danych trzeba ciągle doskonalić systemy informacyjne. „Bezpieczeństwo nie jest działaniem jednorazowym polegającym na wdrożeniu zabezpieczeń, lecz ciągłym, dynamicznym i złożonym procesem, wymagającym stałego nadzoru i przystosowania do zmiennych warunków otoczenia. Ponadto bezpieczeństwo należy rozpatrywać w aspekcie organizacyjnym, technicznym oraz prawnym[8]."
W przypadku danych osobowych, ujawnienie ich lub modyfikacja przez nieuprawnione podmioty jest regulowana aktem prawnym „Art.43.Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem, jak również do zachowania w tajemnicy udostępnionych danych osobowych oraz sposobów ich zabezpieczenia[9] .”
Tylko ciągłe doskonalenie funkcjonowania systemów bezpieczeństwa, wdrażanie ostrych procedur i prowadzenie cyklicznych szkoleń pracowników może zmniejszyć ryzyko lub prawie wyeliminować zagrożenie wycieku danych [10].
Przypisy
- ↑ J. Madej 2011, s. 37
- ↑ ISO/IEC TR 13335/PN-I-13335-1
- ↑ J. Czekaj 2012, s. 126-132
- ↑ J. Kisielnicki 2013, s. 39-40
- ↑ M. Grabowski, A. Zając 2009, s. 111-113
- ↑ J. Kisielnicki 2013, s. 27-28
- ↑ Ustawa o ochronie baz danych, 2001, s. 3
- ↑ J. Czekaj 2012, s. 128
- ↑ Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, 2018, s. 14
- ↑ J. Kisielnicki 2013, s.42
Bibliografia
- Czekaj J. (red) (2012), Podstawy zarządzania informacją, Wydawnictwo Uniwersytetu Ekonomicznego w Krakowie, Kraków, s. 126-132
- Grabowski M., Zając A. (2009), Dane, informacja, wiedza - próba definicji, "Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie", nr 798, s. 11-113
- Kisielnicki J. (2013), Systemy informatyczne zarządzania, Placet, s. 27-28, 39-40, 42
- Madej J. (2011), Wydatki na bezpieczeństwo systemów informatycznych : inwestycja czy koszt funkcjonowania systemu?, "Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie", nr 865, s. 37
- Ustawa o ochronie baz danych, Dz.U. 2019 poz. 125
- Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, Dz.U. 2019 poz. 2134
 |
Treść tego artykułu została oparta na aktach prawnych. Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu. |
Autor: Alicja Wojciechowska
