Bezpieczeństwo informacyjne. Nowe wyzwania - ebook
Wydawnictwo:
Data wydania:
1 stycznia 2018
Format ebooka:
EPUB
Format
EPUB
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najpopularniejszych formatów e-booków na świecie.
Niezwykle wygodny i przyjazny czytelnikom - w przeciwieństwie do formatu
PDF umożliwia skalowanie czcionki, dzięki czemu możliwe jest dopasowanie
jej wielkości do kroju i rozmiarów ekranu. Więcej informacji znajdziesz
w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu.
Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu.
Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
Format
MOBI
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najczęściej wybieranych formatów wśród czytelników
e-booków. Możesz go odczytać na czytniku Kindle oraz na smartfonach i
tabletach po zainstalowaniu specjalnej aplikacji. Więcej informacji
znajdziesz w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu.
Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu.
Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
Multiformat
E-booki sprzedawane w księgarni Virtualo.pl dostępne są w opcji
multiformatu - kupujesz treść, nie format. Po dodaniu e-booka do koszyka
i dokonaniu płatności, e-book pojawi się na Twoim koncie w Mojej
Bibliotece we wszystkich formatach dostępnych aktualnie dla danego
tytułu. Informacja o dostępności poszczególnych formatów znajduje się na
karcie produktu przy okładce. Uwaga: audiobooki nie są objęte opcją
multiformatu.
czytaj
na tablecie
Aby odczytywać e-booki na swoim tablecie musisz zainstalować specjalną
aplikację. W zależności od formatu e-booka oraz systemu operacyjnego,
który jest zainstalowany na Twoim urządzeniu może to być np. Bluefire
dla EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
czytaj
na czytniku
Czytanie na e-czytniku z ekranem e-ink jest bardzo wygodne i nie męczy
wzroku. Pliki przystosowane do odczytywania na czytnikach to przede
wszystkim EPUB (ten format możesz odczytać m.in. na czytnikach
PocketBook) i MOBI (ten fromat możesz odczytać m.in. na czytnikach Kindle).
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
czytaj
na smartfonie
Aby odczytywać e-booki na swoim smartfonie musisz zainstalować specjalną
aplikację. W zależności od formatu e-booka oraz systemu operacyjnego,
który jest zainstalowany na Twoim urządzeniu może to być np. iBooks dla
EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
Czytaj fragment
Pobierz fragment
Pobierz fragment w jednym z dostępnych formatów
Bezpieczeństwo informacyjne. Nowe wyzwania - ebook
Bezpieczeństwo informacyjne. Nowe wyzwania, to uaktualniona wersja publikacji z 2012 roku.
Książka skierowana jest do wszystkich specjalistów zajmujących się, z racji wykonywanego zawodu, bezpieczeństwem informacyjnym, a także studentów takich specjalności jak: bezpieczeństwo komputerów, bezpieczeństwo sieci i systemów, czy inżynieria bezpieczeństwa oraz studiujących na kierunkach takich jak: bezpieczeństwo narodowe, czy bezpieczeństwo wewnętrzne.
Publikację można czytać, w zależności od potrzeb, wybranymi rozdziałami – każdy z nich stanowi zamkniętą całość, zakończoną spisem cytowanej lub pomocnej literatury. Czytelnik, po zakończonej lekturze, otrzyma spójną wiedzę na temat bezpieczeństwa informacyjnego.
| Kategoria: | Informatyka |
| Zabezpieczenie: |
Watermark
|
| ISBN: | 978-83-01-20144-9 |
| Rozmiar pliku: | 5,2 MB |
FRAGMENT KSIĄŻKI
1 Wprowadzenie do ochrony informacji
Współczesne, zaawansowane technologicznie społeczeństwa swój byt w dużym stopniu uzależniają od informacji i to głównie informacji przetwarzanej, przechowywanej i przesyłanej w systemach teleinformatycznych. Informacja:
1) jest towarem, i to często o znaczeniu strategicznym (dla państwa, firmy, ale także konkretnej osoby)
Od zarania dziejów ci, którzy dysponowali właściwą informacją we właściwym czasie, wygrywali wojny oraz osiągali sukcesy rynkowe. Dlatego obecnie, podobnie jak rudy uranu czy nowe technologie, informacja jest towarem, który można kupić, dzięki któremu można osiągnąć określone korzyści i który trzeba chronić, mając na względzie własny interes.
2) jest podstawowym elementem procesów biznesowych
Podstawą działania prawie wszystkich współczesnych firm i organizacji, w tym organizacji takiej jak państwo, jest poprawny obieg informacji. Przerwanie tego obiegu lub sfałszowanie informacji powoduje straty: dla firmy kończące się często bankructwem, a dla państwa – niepokojami społecznymi, zaburzeniami w gospodarce krajowej, gorszym jej postrzeganiem na forum międzynarodowym itd.
3) służy do sterowania procesami w zautomatyzowanych procesach wytwórczych i usługowych o kluczowym znaczeniu dla gospodarki i społeczeństwa
Informacja może występować także w szczególnej postaci – informacji sterującej urządzeniami, zwykle czujnikami i mechanizmami wykonawczymi. Błędne sterowanie takimi systemami może powodować katastrofy (np. ekologiczne) i wywoływać kryzysy na skalę lokalną, ogólnokrajową lub międzynarodową.
4) bywa chroniona na mocy obowiązującego prawa lub zawartych umów
Ze względów przedstawionych w punktach 1–3 oraz ze względu na ochronę dóbr osobistych obywateli wszystkie cywilizowane kraje mają przepisy prawne wymuszające ochronę informacji przed nieuprawnionym dostępem, zapewniające jej właściwe przetwarzanie, przechowywanie i przesyłanie oraz określające zasady zbierania niektórych kategorii informacji.
Aby informacja we właściwy sposób spełniała funkcje wymienione w punktach 1–3, powinna być dobrej jakości. Ogólnie uznanymi kryteriami jakości informacji są:
– relewantność – określa, czy informacja jest istotna dla odbiorcy, związana z tym, czego odbiorca poszukuje;
– dokładność – oznacza, że jest ona precyzyjna oraz zaprezentowana w sposób odpowiedni do poziomu wiedzy jej użytkownika;
– aktualność – oznacza, że informacja jest zmieniana bez opóźnień, odpowiednio do zmian przedmiotu opisu;
– kompletność – oznacza, że informacja jest dostępna w ilości i stopniu szczegółowości zgodnym z wymaganiami jej użytkownika;
– spójność – oznacza, że poszczególne fragmenty informacji są niesprzeczne, dotyczą zadanego tematu i są prezentowane i przekazywane w jednolitej formie;
– odpowiedniość formy – oznacza, że informacja jest prezentowana w sposób, który minimalizuje jej błędną interpretację;
– wiarygodność – oznacza, że informacja zawiera elementy upewniające co do rzetelności niesionego przez nią przekazu.
Jak widać, ocena jakości informacji jest oparta na trzech składowych: treści, formie i użytkowniku informacji, a waga branych pod uwagę kryteriów może się różnić w zależności od dziedziny (obronność, finanse, statystyka itp.) wykorzystywania informacji.
Do poprawnej oceny jakości informacji potrzebna jest dodatkowa informacja ją opisująca. Przykładem takiej standardowej informacji opisującej, umieszczanej w Internecie, są:
1) informacje o interesariuszach (ang. transparency and honesty) – dane identyfikacyjne dostawców treści, administratorów strony, sponsorów, reklamodawców itd., a także określenie celów i zamiarów właściciela strony internetowej oraz grupy docelowej, do której jest skierowana zamieszczona na niej informacja;
2) informacje uwierzytelniające prezentowane treści (ang. authority) – status wykorzystanych źródeł informacji, dane i rekomendacje dotyczące podmiotów opracowujących treści, daty ich dostarczania;
3) informacje o stosowanej polityce zachowania prywatności i ochronie danych (ang. privacy and data protection) – wskazanie polityki zabezpieczania własności intelektualnej i prywatności oraz zgodności z obowiązującymi przepisami prawa;
4) informacje o aktualności treści (ang. updating of information) – daty wprowadzenia zmian, w tym uaktualniania linków;
5) informacje umożliwiające rozliczalność (ang. accountability) – dane identyfikacyjne i kontaktowe osób przygotowujących merytoryczną treść strony WWW oraz zasady edytowania stron i doboru materiału.
Poza wymienionymi na powyższej liście kryteriami jakości informacji, mając na względzie techniczną stronę jej przetwarzania, wyróżnia się kryteria jakości związane z ochroną informacji, takie jak:
1) tajność – informuje o wymaganym stopniu ochrony informacji przed nieuprawnionym dostępem; stopień tajności jest uzgadniany przez osoby lub organizacje dostarczające i otrzymujące informację;
2) integralność – oznacza, że na informacji nie zostały wykonane niedozwolone działania;
3) dostępność – oznacza wymagany przez użytkownika (lub zapisany w wymaganiach stawianych systemowi przetwarzania informacji) stopień dostępności danych, procesów i aplikacji;
4) rozliczalność – określa możliwości identyfikacji użytkowników informacji i systemu teleinformatycznego oraz wykorzystywanych przez nich usług; kryterium to decyduje także o możliwości prowadzenia skutecznej analizy powłamaniowej;
5) niezaprzeczalność – informuje o możliwości wyparcia się uczestnictwa przez podmiot uczestniczący w wymianie informacji;
6) autentyczność – oznacza możliwość jednoznacznego stwierdzenia, jaki podmiot przesłał dane.
Kryteria wymienione na tej liście nie zależą wyłącznie od informacji jako takiej, ale również od przyjętych rozwiązań organizacyjnych i technicznych systemu, w jakim są przetwarzane. Jak widać, wymienione kryteria są elementami bardziej ogólnego kryterium jakości – odpowiednia ochrona informacji, gdzie wzmiankowaną odpowiedniość wyznaczają wymagane wartości kryteriów elementarnych.
Do dalszych rozważań przyjmuje się, że system informacyjny to system przetwarzania informacji. Natomiast system informatyczny to ta część systemu informacyjnego, w której do przetwarzania informacji są wykorzystywane środki techniki komputerowej. Ta definicja obejmuje wszystkie warianty praktycznej realizacji takiego systemu, wg różnych klasyfikacji, takie jak sieć komputerowa, system rozproszony, a także przemysłowy system sterowania (ang. Industrial Control System, ICS).
Bezpieczeństwo informacyjne dotyczy podmiotu (człowieka lub organizacji, również takiej jak państwo), który może być zagrożony utratą zasobów informacyjnych lub otrzymaniem informacji złej jakości. Bezpieczeństwo informacyjne oznacza zatem uzasadnione zaufanie podmiotu do jakości i dostępności pozyskiwanej oraz wykorzystywanej informacji. Ale warunkiem bezpieczeństwa informacyjnego jest bezpieczna informacja, której definicja jest następująca:
DEFINICJA 1.1
Bezpieczeństwo informacji oznacza uzasadnione (np. analizą ryzyka i przyjętymi metodami postępowania z ryzykiem) zaufanie, że nie zostaną poniesione straty wynikające z niepożądanej zmiany, na skutek realizacji zagrożenia, wymaganych wartości istotnych kryteriów jakości informacji.
Z powyższego wywodu wynika, że bezpieczeństwo informacji jest składową bezpieczeństwa informacyjnego – informację (dobrej jakości) najpierw trzeba pozyskać, a potem, w trakcie jej wykorzystywania przez podmiot, odpowiednio chronić. Kryteria jakości istotne dla poszczególnych kategorii informacji oraz konkretnych uwarunkowań jej przetwarzania zwykle określają, w przypadku organizacji biznesowej, w której takie informacje są przetwarzane i wykorzystywane, gremia kierownicze tej organizacji (podmiotu) przy pomocy odpowiednich służb. Należy także zauważyć, że bezpieczeństwo nie jest ani stanem, ani zdarzeniem, ani procesem – to imponderabilia z dziedziny psychologii, co swoje implikacje ma na przykład w możliwościach pomiaru bezpieczeństwa. Dokładniejsza dyskusja nad tym zagadnieniem jest przedstawiona w podrozdziale 2.9.
Ze względu na znaczenie dla podmiotu (w szczególności konkretnej osoby) wszystkie wykorzystywane przez niego i dotyczące go informacje można podzielić na wrażliwe i niewrażliwe. Informacje wrażliwe dla określonego podmiotu to te, które mogą zostać wykorzystane przeciwko jego interesom przez ujawnienie, uniedostępnienie oraz zmanipulowanie.
Do wrażliwych zaliczają się wszystkie informacje, które muszą być chronione, bo tak nakazują obowiązujące przepisy prawne. Informacjami wrażliwymi są też takie, których nakaz ochrony nie jest zawarty w żadnych regulacjach prawnych, a które organizacjom je wytwarzającym i przetwarzającym są zwykle wskazywane przez kompetentne organy, na przykład służby ochrony państwa, wewnętrzne komórki bezpieczeństwa w danej organizacji, pełnomocnika ds. bezpieczeństwa informacji. Takimi informacjami mogą też być dane same w sobie niewrażliwe, ale które stają się takimi w powiązaniu z innymi informacjami, pozwalając wyciągnąć prawidłowe wnioski na przykład o strategii rynkowej firmy w kolejnym kwartale.
Identyfikacja informacji wrażliwej najczęściej ogranicza się do jej inwentaryzacji i przeglądu zasobów w ramach analizy ryzyka. Rzadko bierze się pod uwagę, że oprócz identyfikacji informacji wrażliwych w organizacji trzeba je zlokalizować także poza nią oraz uwzględnić informacje pośrednie, pozwalające na wnioskowanie. Powinno się także zidentyfikować obieg informacji wrażliwej – to pozwala m.in. na opracowanie procedury lokalizacji jej wycieków.
Dodatkowo sprawę komplikuje fakt, że:
– prawa własności w przypadku informacji są często trudne do określenia;
– ustalenie wartości strat w przypadku ataków informacyjnych bywa trudne lub wręcz niemożliwe – dotyczy to na przykład utraty spodziewanych korzyści, wizerunku, przewagi konkurencyjnej itp.;
– lokalizacja wartościowych informacji bywa trudna.
Podsumowując, osoby odpowiedzialne za ochronę informacji powinny dbać o ochronę informacji wrażliwych, a nie danych osobowych czy informacji niejawnych. Te kategorie informacji są tylko szczególnymi przypadkami informacji wrażliwej. Brak takiego podejścia do ochrony informacji jest podstawowym błędem organizacyjnym, którego nie zniwelują żadne środki techniczne.
Specjaliści od techniki komputerowej posługują się najczęściej pojęciem danych, a nie informacji. Przyjmuje się, że informacje jako przedmiot przetwarzania w systemach informatycznych nazywa się danymi. Jednak dla skutecznej ochrony danych/informacji, ze względu na przedstawione wcześniej zależności między systemem informacyjnym a informatycznym, ciągle aktualny paradygmat w dziedzinie bezpieczeństwa informacyjnego brzmi: chronimy informacje – dane są tylko ich szczególnym przypadkiem.1.1. Prywatność, anonimowość, poufność, ...
Wymienione w tytule pojęcia dotyczą osób (podmiotów), o których informacja jest przetwarzana w systemach informacyjnych i najczęściej pojawiają się w powiązaniu z tzw. danymi osobowymi (w rozumieniu ustawy ). Maj 2018 roku to graniczny termin wprowadzenia do polskiego prawa Rozporządzenia i Dyrektywy – przepisów unijnych związanych z ochroną danych osobowych. Podczas opracowywania wspomnianych przepisów pojawiły się koncepcje privacy by design i privacy by default, ale dostrzeżono, że ustanawiane przepisy dotyczą ochrony danych osobowych, a nie prywatności i ostatecznie opisano to jako data protection by design and by default, czyli bez użycia słowa prywatność. Jednak w trakcie różnych dyskusji, szkoleń i konferencji ww. nazwy koncepcji są powszechnie używane i mówi się o ochronie prywatności czy zapewnianiu prywatności. W kontekście tych wypowiedzi pojawiają się też często takie określenia, jak anonimowość czy poufność, zwykle w wariancie anonimizacji (np. danych osobowych) czy zapewniania poufności. Można z tego wnioskować, że obie te czynności (anonimizacja i zapewnianie poufności) są elementami zapewniania prywatności. Kłopot polega na tym, że w przepisach polskiego prawa nie ma definicji prywatności.
Przykład 1.1
W słownikach można znaleźć następujące definicje prywatności, anonimowości i poufności:
prywatny: dotyczący kogoś osobiście, czyichś spraw osobistych, stanowiący czyjąś osobistą własność; niezwiązany z żadną instytucją itp.; osobisty, niepaństwowy, nieurzędowy.
Słownik Języka Polskiego. PWN. T. 2. Warszawa. 1982
anonimowy
1. nieujawniający swego nazwiska lub nieznany z nazwiska
2. taki, którego autor lub sprawca nie jest znany
3. będący udziałem ludzi nieznanych lub niczym się niewyróżniających
• anonimowo • anonimowość
prywatny
1. stanowiący czyjąś osobistą własność
2. niepodlegający państwu ani żadnym instytucjom publicznym
3. dotyczący czyichś spraw osobistych i rodzinnych
• prywatnie • prywatność
poufny
1. udostępniany tylko niewielu osobom, wymagający dyskrecji
2. będący wyrazem zażyłości
• poufnie • poufność
Słownik PWN pod red. W. Doroszewskiego (www.sjp.pwn.pl)
Zapisy o ochronie pewnych dóbr, uważanych powszechnie za prywatne, są zawarte w przepisach polskiego prawa, m.in. w Konstytucji RP (patrz przykład 1.2) oraz kodeksie cywilnym. Warto przy tym zwrócić uwagę, że w obu wymienionych dokumentach nie występuje ani nie jest zdefiniowane pojęcie prywatności – używane są natomiast takie określenia, jak dobra osobiste czy życie prywatne. Poufność z kolei występuje na przykład w rozporządzeniu wydanym do ustawy o ochronie informacji niejawnych.
Przykład 1.2
Zapisy dotyczące ochrony życia prywatnego są zawarte w Konstytucji RP, w grupie artykułów Wolności i prawa osobiste. Najważniejsze z nich, dotyczące zagadnień z tego rozdziału, to:
Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.
Art. 49. Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony.
Art. 51. 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Również w standardach NIST (ang. National Institute of Standards and Technology) nie ma definicji prywatności, chociaż termin ten jest używany, na przykład w wydanym w 2017 r. standardzie NISTIR 8062: An Introduction to Privacy Engineering and Risk Management in Federal Systems . Nie ma w tych standardach także pojęcia danych osobowych w rozumieniu przyjętym w UE, są za to Personally Identifiable Information (PII), które to określenie należy rozumieć jako informację, która może być użyta albo samodzielnie, albo w powiązaniu z innymi informacjami, które są dowiązane lub mogą być dowiązane do określonej osoby, do zidentyfikowania tożsamości lub wyśledzenia tej osoby. We wspomnianym standardzie zwraca się uwagę, że o ile konsekwencje nieautoryzowanego dostępu do PII są w miarę dobrze rozpoznane, to konsekwencje dostępu autoryzowanego (dostarczyciele usług, służby ochrony państwa, pracodawcy, podmioty administracji publicznej, takie jak służba zdrowia itp.) są gorzej rozpoznane i rozumiane. Te niewiadome w zakresie pojęć takich jak prywatność nie przeszkadzają jednak w tworzeniu norm wskazujących sposoby szacowania wpływu przyjętych rozwiązań w dziedzinie przetwarzania PII na prywatność.
W efekcie, w różnych gremiach dyskusyjnych mniej lub bardziej świadomie przyjmuje się, że zapewnianie ochrony danych osobowych znaczy to samo, co zapewnianie prywatności. To, co wydaje się nie budzić wątpliwości u dziennikarzy, prawników, socjologów, humanistów i specjalistów od obronności i bezpieczeństwa narodowego, może budzić wątpliwości u inżyniera, który dostał zadanie zabezpieczenia prywatności (np. pracowników jakiejś organizacji). Pytanie, które się tutaj natychmiast nasuwa, jest następujące: czy, jeżeli zabezpieczyłem zgodnie z regułami sztuki dane osobowe tych pracowników, oznacza to, że zabezpieczyłem również prywatność tych osób?. Odpowiedź na to pytanie pozostawiam Czytelnikom.
Współczesne, zaawansowane technologicznie społeczeństwa swój byt w dużym stopniu uzależniają od informacji i to głównie informacji przetwarzanej, przechowywanej i przesyłanej w systemach teleinformatycznych. Informacja:
1) jest towarem, i to często o znaczeniu strategicznym (dla państwa, firmy, ale także konkretnej osoby)
Od zarania dziejów ci, którzy dysponowali właściwą informacją we właściwym czasie, wygrywali wojny oraz osiągali sukcesy rynkowe. Dlatego obecnie, podobnie jak rudy uranu czy nowe technologie, informacja jest towarem, który można kupić, dzięki któremu można osiągnąć określone korzyści i który trzeba chronić, mając na względzie własny interes.
2) jest podstawowym elementem procesów biznesowych
Podstawą działania prawie wszystkich współczesnych firm i organizacji, w tym organizacji takiej jak państwo, jest poprawny obieg informacji. Przerwanie tego obiegu lub sfałszowanie informacji powoduje straty: dla firmy kończące się często bankructwem, a dla państwa – niepokojami społecznymi, zaburzeniami w gospodarce krajowej, gorszym jej postrzeganiem na forum międzynarodowym itd.
3) służy do sterowania procesami w zautomatyzowanych procesach wytwórczych i usługowych o kluczowym znaczeniu dla gospodarki i społeczeństwa
Informacja może występować także w szczególnej postaci – informacji sterującej urządzeniami, zwykle czujnikami i mechanizmami wykonawczymi. Błędne sterowanie takimi systemami może powodować katastrofy (np. ekologiczne) i wywoływać kryzysy na skalę lokalną, ogólnokrajową lub międzynarodową.
4) bywa chroniona na mocy obowiązującego prawa lub zawartych umów
Ze względów przedstawionych w punktach 1–3 oraz ze względu na ochronę dóbr osobistych obywateli wszystkie cywilizowane kraje mają przepisy prawne wymuszające ochronę informacji przed nieuprawnionym dostępem, zapewniające jej właściwe przetwarzanie, przechowywanie i przesyłanie oraz określające zasady zbierania niektórych kategorii informacji.
Aby informacja we właściwy sposób spełniała funkcje wymienione w punktach 1–3, powinna być dobrej jakości. Ogólnie uznanymi kryteriami jakości informacji są:
– relewantność – określa, czy informacja jest istotna dla odbiorcy, związana z tym, czego odbiorca poszukuje;
– dokładność – oznacza, że jest ona precyzyjna oraz zaprezentowana w sposób odpowiedni do poziomu wiedzy jej użytkownika;
– aktualność – oznacza, że informacja jest zmieniana bez opóźnień, odpowiednio do zmian przedmiotu opisu;
– kompletność – oznacza, że informacja jest dostępna w ilości i stopniu szczegółowości zgodnym z wymaganiami jej użytkownika;
– spójność – oznacza, że poszczególne fragmenty informacji są niesprzeczne, dotyczą zadanego tematu i są prezentowane i przekazywane w jednolitej formie;
– odpowiedniość formy – oznacza, że informacja jest prezentowana w sposób, który minimalizuje jej błędną interpretację;
– wiarygodność – oznacza, że informacja zawiera elementy upewniające co do rzetelności niesionego przez nią przekazu.
Jak widać, ocena jakości informacji jest oparta na trzech składowych: treści, formie i użytkowniku informacji, a waga branych pod uwagę kryteriów może się różnić w zależności od dziedziny (obronność, finanse, statystyka itp.) wykorzystywania informacji.
Do poprawnej oceny jakości informacji potrzebna jest dodatkowa informacja ją opisująca. Przykładem takiej standardowej informacji opisującej, umieszczanej w Internecie, są:
1) informacje o interesariuszach (ang. transparency and honesty) – dane identyfikacyjne dostawców treści, administratorów strony, sponsorów, reklamodawców itd., a także określenie celów i zamiarów właściciela strony internetowej oraz grupy docelowej, do której jest skierowana zamieszczona na niej informacja;
2) informacje uwierzytelniające prezentowane treści (ang. authority) – status wykorzystanych źródeł informacji, dane i rekomendacje dotyczące podmiotów opracowujących treści, daty ich dostarczania;
3) informacje o stosowanej polityce zachowania prywatności i ochronie danych (ang. privacy and data protection) – wskazanie polityki zabezpieczania własności intelektualnej i prywatności oraz zgodności z obowiązującymi przepisami prawa;
4) informacje o aktualności treści (ang. updating of information) – daty wprowadzenia zmian, w tym uaktualniania linków;
5) informacje umożliwiające rozliczalność (ang. accountability) – dane identyfikacyjne i kontaktowe osób przygotowujących merytoryczną treść strony WWW oraz zasady edytowania stron i doboru materiału.
Poza wymienionymi na powyższej liście kryteriami jakości informacji, mając na względzie techniczną stronę jej przetwarzania, wyróżnia się kryteria jakości związane z ochroną informacji, takie jak:
1) tajność – informuje o wymaganym stopniu ochrony informacji przed nieuprawnionym dostępem; stopień tajności jest uzgadniany przez osoby lub organizacje dostarczające i otrzymujące informację;
2) integralność – oznacza, że na informacji nie zostały wykonane niedozwolone działania;
3) dostępność – oznacza wymagany przez użytkownika (lub zapisany w wymaganiach stawianych systemowi przetwarzania informacji) stopień dostępności danych, procesów i aplikacji;
4) rozliczalność – określa możliwości identyfikacji użytkowników informacji i systemu teleinformatycznego oraz wykorzystywanych przez nich usług; kryterium to decyduje także o możliwości prowadzenia skutecznej analizy powłamaniowej;
5) niezaprzeczalność – informuje o możliwości wyparcia się uczestnictwa przez podmiot uczestniczący w wymianie informacji;
6) autentyczność – oznacza możliwość jednoznacznego stwierdzenia, jaki podmiot przesłał dane.
Kryteria wymienione na tej liście nie zależą wyłącznie od informacji jako takiej, ale również od przyjętych rozwiązań organizacyjnych i technicznych systemu, w jakim są przetwarzane. Jak widać, wymienione kryteria są elementami bardziej ogólnego kryterium jakości – odpowiednia ochrona informacji, gdzie wzmiankowaną odpowiedniość wyznaczają wymagane wartości kryteriów elementarnych.
Do dalszych rozważań przyjmuje się, że system informacyjny to system przetwarzania informacji. Natomiast system informatyczny to ta część systemu informacyjnego, w której do przetwarzania informacji są wykorzystywane środki techniki komputerowej. Ta definicja obejmuje wszystkie warianty praktycznej realizacji takiego systemu, wg różnych klasyfikacji, takie jak sieć komputerowa, system rozproszony, a także przemysłowy system sterowania (ang. Industrial Control System, ICS).
Bezpieczeństwo informacyjne dotyczy podmiotu (człowieka lub organizacji, również takiej jak państwo), który może być zagrożony utratą zasobów informacyjnych lub otrzymaniem informacji złej jakości. Bezpieczeństwo informacyjne oznacza zatem uzasadnione zaufanie podmiotu do jakości i dostępności pozyskiwanej oraz wykorzystywanej informacji. Ale warunkiem bezpieczeństwa informacyjnego jest bezpieczna informacja, której definicja jest następująca:
DEFINICJA 1.1
Bezpieczeństwo informacji oznacza uzasadnione (np. analizą ryzyka i przyjętymi metodami postępowania z ryzykiem) zaufanie, że nie zostaną poniesione straty wynikające z niepożądanej zmiany, na skutek realizacji zagrożenia, wymaganych wartości istotnych kryteriów jakości informacji.
Z powyższego wywodu wynika, że bezpieczeństwo informacji jest składową bezpieczeństwa informacyjnego – informację (dobrej jakości) najpierw trzeba pozyskać, a potem, w trakcie jej wykorzystywania przez podmiot, odpowiednio chronić. Kryteria jakości istotne dla poszczególnych kategorii informacji oraz konkretnych uwarunkowań jej przetwarzania zwykle określają, w przypadku organizacji biznesowej, w której takie informacje są przetwarzane i wykorzystywane, gremia kierownicze tej organizacji (podmiotu) przy pomocy odpowiednich służb. Należy także zauważyć, że bezpieczeństwo nie jest ani stanem, ani zdarzeniem, ani procesem – to imponderabilia z dziedziny psychologii, co swoje implikacje ma na przykład w możliwościach pomiaru bezpieczeństwa. Dokładniejsza dyskusja nad tym zagadnieniem jest przedstawiona w podrozdziale 2.9.
Ze względu na znaczenie dla podmiotu (w szczególności konkretnej osoby) wszystkie wykorzystywane przez niego i dotyczące go informacje można podzielić na wrażliwe i niewrażliwe. Informacje wrażliwe dla określonego podmiotu to te, które mogą zostać wykorzystane przeciwko jego interesom przez ujawnienie, uniedostępnienie oraz zmanipulowanie.
Do wrażliwych zaliczają się wszystkie informacje, które muszą być chronione, bo tak nakazują obowiązujące przepisy prawne. Informacjami wrażliwymi są też takie, których nakaz ochrony nie jest zawarty w żadnych regulacjach prawnych, a które organizacjom je wytwarzającym i przetwarzającym są zwykle wskazywane przez kompetentne organy, na przykład służby ochrony państwa, wewnętrzne komórki bezpieczeństwa w danej organizacji, pełnomocnika ds. bezpieczeństwa informacji. Takimi informacjami mogą też być dane same w sobie niewrażliwe, ale które stają się takimi w powiązaniu z innymi informacjami, pozwalając wyciągnąć prawidłowe wnioski na przykład o strategii rynkowej firmy w kolejnym kwartale.
Identyfikacja informacji wrażliwej najczęściej ogranicza się do jej inwentaryzacji i przeglądu zasobów w ramach analizy ryzyka. Rzadko bierze się pod uwagę, że oprócz identyfikacji informacji wrażliwych w organizacji trzeba je zlokalizować także poza nią oraz uwzględnić informacje pośrednie, pozwalające na wnioskowanie. Powinno się także zidentyfikować obieg informacji wrażliwej – to pozwala m.in. na opracowanie procedury lokalizacji jej wycieków.
Dodatkowo sprawę komplikuje fakt, że:
– prawa własności w przypadku informacji są często trudne do określenia;
– ustalenie wartości strat w przypadku ataków informacyjnych bywa trudne lub wręcz niemożliwe – dotyczy to na przykład utraty spodziewanych korzyści, wizerunku, przewagi konkurencyjnej itp.;
– lokalizacja wartościowych informacji bywa trudna.
Podsumowując, osoby odpowiedzialne za ochronę informacji powinny dbać o ochronę informacji wrażliwych, a nie danych osobowych czy informacji niejawnych. Te kategorie informacji są tylko szczególnymi przypadkami informacji wrażliwej. Brak takiego podejścia do ochrony informacji jest podstawowym błędem organizacyjnym, którego nie zniwelują żadne środki techniczne.
Specjaliści od techniki komputerowej posługują się najczęściej pojęciem danych, a nie informacji. Przyjmuje się, że informacje jako przedmiot przetwarzania w systemach informatycznych nazywa się danymi. Jednak dla skutecznej ochrony danych/informacji, ze względu na przedstawione wcześniej zależności między systemem informacyjnym a informatycznym, ciągle aktualny paradygmat w dziedzinie bezpieczeństwa informacyjnego brzmi: chronimy informacje – dane są tylko ich szczególnym przypadkiem.1.1. Prywatność, anonimowość, poufność, ...
Wymienione w tytule pojęcia dotyczą osób (podmiotów), o których informacja jest przetwarzana w systemach informacyjnych i najczęściej pojawiają się w powiązaniu z tzw. danymi osobowymi (w rozumieniu ustawy ). Maj 2018 roku to graniczny termin wprowadzenia do polskiego prawa Rozporządzenia i Dyrektywy – przepisów unijnych związanych z ochroną danych osobowych. Podczas opracowywania wspomnianych przepisów pojawiły się koncepcje privacy by design i privacy by default, ale dostrzeżono, że ustanawiane przepisy dotyczą ochrony danych osobowych, a nie prywatności i ostatecznie opisano to jako data protection by design and by default, czyli bez użycia słowa prywatność. Jednak w trakcie różnych dyskusji, szkoleń i konferencji ww. nazwy koncepcji są powszechnie używane i mówi się o ochronie prywatności czy zapewnianiu prywatności. W kontekście tych wypowiedzi pojawiają się też często takie określenia, jak anonimowość czy poufność, zwykle w wariancie anonimizacji (np. danych osobowych) czy zapewniania poufności. Można z tego wnioskować, że obie te czynności (anonimizacja i zapewnianie poufności) są elementami zapewniania prywatności. Kłopot polega na tym, że w przepisach polskiego prawa nie ma definicji prywatności.
Przykład 1.1
W słownikach można znaleźć następujące definicje prywatności, anonimowości i poufności:
prywatny: dotyczący kogoś osobiście, czyichś spraw osobistych, stanowiący czyjąś osobistą własność; niezwiązany z żadną instytucją itp.; osobisty, niepaństwowy, nieurzędowy.
Słownik Języka Polskiego. PWN. T. 2. Warszawa. 1982
anonimowy
1. nieujawniający swego nazwiska lub nieznany z nazwiska
2. taki, którego autor lub sprawca nie jest znany
3. będący udziałem ludzi nieznanych lub niczym się niewyróżniających
• anonimowo • anonimowość
prywatny
1. stanowiący czyjąś osobistą własność
2. niepodlegający państwu ani żadnym instytucjom publicznym
3. dotyczący czyichś spraw osobistych i rodzinnych
• prywatnie • prywatność
poufny
1. udostępniany tylko niewielu osobom, wymagający dyskrecji
2. będący wyrazem zażyłości
• poufnie • poufność
Słownik PWN pod red. W. Doroszewskiego (www.sjp.pwn.pl)
Zapisy o ochronie pewnych dóbr, uważanych powszechnie za prywatne, są zawarte w przepisach polskiego prawa, m.in. w Konstytucji RP (patrz przykład 1.2) oraz kodeksie cywilnym. Warto przy tym zwrócić uwagę, że w obu wymienionych dokumentach nie występuje ani nie jest zdefiniowane pojęcie prywatności – używane są natomiast takie określenia, jak dobra osobiste czy życie prywatne. Poufność z kolei występuje na przykład w rozporządzeniu wydanym do ustawy o ochronie informacji niejawnych.
Przykład 1.2
Zapisy dotyczące ochrony życia prywatnego są zawarte w Konstytucji RP, w grupie artykułów Wolności i prawa osobiste. Najważniejsze z nich, dotyczące zagadnień z tego rozdziału, to:
Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.
Art. 49. Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony.
Art. 51. 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Również w standardach NIST (ang. National Institute of Standards and Technology) nie ma definicji prywatności, chociaż termin ten jest używany, na przykład w wydanym w 2017 r. standardzie NISTIR 8062: An Introduction to Privacy Engineering and Risk Management in Federal Systems . Nie ma w tych standardach także pojęcia danych osobowych w rozumieniu przyjętym w UE, są za to Personally Identifiable Information (PII), które to określenie należy rozumieć jako informację, która może być użyta albo samodzielnie, albo w powiązaniu z innymi informacjami, które są dowiązane lub mogą być dowiązane do określonej osoby, do zidentyfikowania tożsamości lub wyśledzenia tej osoby. We wspomnianym standardzie zwraca się uwagę, że o ile konsekwencje nieautoryzowanego dostępu do PII są w miarę dobrze rozpoznane, to konsekwencje dostępu autoryzowanego (dostarczyciele usług, służby ochrony państwa, pracodawcy, podmioty administracji publicznej, takie jak służba zdrowia itp.) są gorzej rozpoznane i rozumiane. Te niewiadome w zakresie pojęć takich jak prywatność nie przeszkadzają jednak w tworzeniu norm wskazujących sposoby szacowania wpływu przyjętych rozwiązań w dziedzinie przetwarzania PII na prywatność.
W efekcie, w różnych gremiach dyskusyjnych mniej lub bardziej świadomie przyjmuje się, że zapewnianie ochrony danych osobowych znaczy to samo, co zapewnianie prywatności. To, co wydaje się nie budzić wątpliwości u dziennikarzy, prawników, socjologów, humanistów i specjalistów od obronności i bezpieczeństwa narodowego, może budzić wątpliwości u inżyniera, który dostał zadanie zabezpieczenia prywatności (np. pracowników jakiejś organizacji). Pytanie, które się tutaj natychmiast nasuwa, jest następujące: czy, jeżeli zabezpieczyłem zgodnie z regułami sztuki dane osobowe tych pracowników, oznacza to, że zabezpieczyłem również prywatność tych osób?. Odpowiedź na to pytanie pozostawiam Czytelnikom.
więcej..
