Bezpieczeństwo informacji

Żeby zdefiniować bezpieczeństwo informacji, należy najpierw wyjaśnić kilka pojęć. Jedno z nich – atrybuty. Atrybut, zgodnie z definicją, jest cechą, własnością. A więc nie chronimy informacji jako takich, a pewne ich cechy, które będą stanowić, że są nadal dla nas cenne.

Analogicznie – zasoby osobowe, czyli ludzie. Ich ochrona jest nakierowana na przeciwdziałanie zagrożeniom, jakie mogą wykorzystać podatności (słabość zasobu na oddziaływanie zagrożenia). Człowiek, aby wykonywał pracę, musi być zdrowy, musi być dostępny. Podobnie rzecz ma się z większością chronionych zasobów. Np. surowiec. Ma pewne właściwości (czasem zwane inherentnymi cechami), które decydują, że możliwe jest jego wykorzystanie w produkcji. Np. wilgotność, konsystencja, kolor, inne cechy fizyczne i często chemiczne.

Jednak w przypadku informacji, jako czegoś, co jest mniej namacalne, obracamy się w pewnym obszarze nieco abstrakcyjnym, trudniejszym do zrozumienia.  Cechy, czyli atrybuty informacji są umowne i dużo trudniej je zmierzyć i potwierdzić zgodność.

Podstawowe atrybuty informacji

W zależności od opracowań, pomysłowości specjalistów ds. bezpieczeństwa informacji, standardów czy norm, informacje mogą mieć od kilku, do nawet kilkunastu atrybutów. Jako, że najczęściej chronionymi informacjami w Polsce są dane osobowe, dlatego tworząc system bezpieczeństwa skupiamy się na atrybutach informacji określonych jako chronione w przepisach polskiego prawa. Jest to dobry punkt wyjścia do tworzenia systemu bezpieczeństwa, ponieważ atrybuty określone w Rozporządzeniu, występują w praktycznie wszystkich innych opracowaniach.

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

• Poufność – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
• Rozliczalność –rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
• Integralność – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

Mimo pozornych różnic, większość opracowań podobnie definiuje te trzy atrybuty.

Bezpieczeństwo informacji, czy danych osobowych, zmierza jak widać do rozpoznania zagrożeń, w celu utrzymania atrybutów w formie niezmienionej. I tak:

Dla atrybutu „poufność” – wymagane jest co najmniej:

• Określenie podmiotów upoważnionych,
• Określenie zasad nadawania i cofania upoważnień

Dla atrybutu „rozliczalność” – wymagane jest co najmniej:

• Określenie sposobu identyfikacji podmiotów
• Określenie sposobów uwierzytelnienia (identyfikacji podmiotu)

Dla atrybutu „integralność” – wymagane jest co najmniej:

• Określenie autoryzacji (po raz kolejny występuje uwierzytelnienie w związku z określeniem podmiotu i nadaniem mu upoważnienia)
• Określenie zasad niszczenia informacji
• Określenie zasad przeciwdziałania zniszczeniu informacji (konieczna jest analiza zagrożeń przed zniszczeniem)

Jak widać, Ustawa o Ochronie Danych Osobowych, wraz z aktem wykonawczym określającym zasady ochrony może być już traktowana jako pewien standard bezpieczeństwa (w treści obu aktów prawnych znajdują się dodatkowe wytyczne). Jest to o tyle istotne, że można na tych samych zasadach określić ochronę dla innych zakresów informacji chronionych, takich jak np. tajemnica przedsiębiorstwa, czy handlowa.

Bardziej zaawansowane systemy bezpieczeństwa raczej precyzują zabezpieczenia, ale należy pamiętać, że ich wdrożenie musi być adekwatne do wymaganego poziomu ochrony, klasyfikowanego na podstawie wyniku analizy zagrożeń (szacowania ryzyka).

• nast. »