Polityka bezpieczeństwa sieci

Jednak możemy i powinniśmy już posługiwać się wieloma standardami światowymi. Normalizacyjna Komisja Problemowa nr 182 Polskiego Komitetu Normalizacji opracowała 18., a wydała, jak dotąd, 12. norm ISO/IEC. W przygotowaniu są następne. Część standardów ISO/IEC w zakresie zabezpieczeń dotyczy mechanizmów i technik kryptograficznych, pozostałe (w większej części dopiero powstające) to wytyczne w zakresie zabezpieczenia, kryteria do oceny zabezpieczeń STI i słowniki. Są one tworzone na podstawie wielu stosowanych już norm i kryteriów narodowych lub europejskich.

To jednak dopiero połowa sukcesu, normalizacja nie zastąpi bowiem nigdy efektów pracy instytucji państwowych, od których oczekujemy nowelizacji starych aktów prawnych i opracowania wielu nowych. Potrzebne jest to nam do uporządkowania zabezpieczeń STI. Przykładem dla nas powinny być Węgry, będące współpartnerem w procesie wstępowania w struktury atlantyckie. Odpowiednie przepisy o ochronie tajemnicy państwowej i służbowej oraz ustawa o służbach bezpieczeństwa narodowego weszły w życie na Węgrzech już na przełomie 1995/96 r. Uchwalił je parlament na podstawie sprawdzonych rozwiązań zachodnich.

Potrzebne są akty prawne

Tak jak państwa zachodnie, kierując się dobrze rozumianą potrzebą obronności i bezpieczeństwa oraz z uwagi na rozwój gospodarczy, powinniśmy dysponować aktami rangi ustawy (np. Computer Security Act czy ustawa o BSI) lub ogólnymi wytycznymi (np. BS7799 Code of Practise for Information Security Management). Tymczasem nasze krajowe instytucje odpowiedzialne za bezpieczeństwo borykają się z kłopotami kadrowymi - specjaliści odchodzą do sektora komercyjnego. W tym przypadku jest to zjawisko niekorzystne.

Istnieją już częściowo podstawy prawne do ochrony informacji wg wymaganego poziomu zabezpieczenia: ustawa o tajemnicy państwowej, ustawa o łączności, ustawa o ochronie dóbr osobowych, ustawa o ochronie praw autorskich oraz ustawa prawa bankowego, kodeks cywilny i handlowy. Postawmy też na zdrowy rozsądek, powinniśmy więc umieć wyciągać wnioski płynące z analizy ryzyka i audytu.

Elementy, które utrudniają zarządzanie bezpieczeństwem, to brak lub niespójność rozwiązań prawnych. Przeszkadza również niewiedza decydentów w zakresie obowiązków i uprawnień dotyczących ochrony danych (prowadzi to do bezradności zarządów firm, przedsiębiorstw i instytucji w sytuacjach kryzysowych). Te problemy leżą u podstaw opóźnienia edukacyjnego w dziedzinie bezpieczeństwa. Prawdą jest, że teleinformatyki nauczyliśmy się szybko - jednak w zagadnieniach bezpieczeństwa dopiero raczkujemy.

Potrzebne są też pieniądze

Decydenci nad wyraz niefrasobliwie podchodzą do konieczności finansowania metod ochrony danych. Ostatnio doskonale udowodnił to Marcin Musiał. Ten młody jeszcze entuzjasta nowoczesnej techniki, wykorzystując urządzenie wartości 300 zł, podsłuchiwał funkcjonariuszy ścigających złodziei samochodów, stosując zaś urządzenie za 5000 zł, potrafił złamać poufność rozmów ochroniarzy prezydenta. Zdarzenie jest nad wyraz znamienne. Jeżeli dokonując przestępstw o ciężarze kilkuset tysięcy zł można zapewnić sobie przewagę nad stróżami prawa za jedyne 300 zł, a już kilka tysięcy zł ułatwia zamach na bezpieczeństwo głowy państwa, to nasuwają się poważne wątpliwości co do przygotowania naszych służb mundurowych. Przykłady można by mnożyć: awarie sieci telefonicznych, włamania do sieci komputerowych, zaginięcia tajnych dokumentów - słyszymy o tym codziennie.

Oczywiście, możemy do NATO wstępować z grupą nielicznych, zdolnych do pracy entuzjastów maszerując w starych, dziurawych kamaszach, jednak środki na nowoczesne technologie telekomunikacji, ochrony i zabezpieczenia danych musimy mieć w wystarczającej ilości.

Polityka Bezpieczeństwa informacji (termin stosowany wymiennie z Polityką Ochrony Informacji) jest z

Możemy spotkać się z odmiennym przedstawieniem zagadnienia, że jest to przeciwdziałanie zagrożeniom przypadkowej lub celowej utraty:

- poufności,

- integralności,

- dostępu.

W każdym przypadku jej cele są identyczne:

- wspomaganie misji organizacji,

- dopasowanie warunków IT Security do wymagań środowiska technicznego,

- konsekwentne wykorzystanie wyników analizy ryzyka pochodzącej z identyfikacji zagrożeń, prawdopodobieństwa wystąpienia zagrożeń, identyfikacji celu (zasobów wrażliwych), wrażliwości celu (wartości celu).

Dokument ten sporządzają najwyższe szczeble kierownictwa firmy i jest on podstawą do opracowania procedur postępowania z uwzględnieniem obowiązujących standardów. Jest to dokument wysokiego poziomu ogólności, którego treść jest uniwersalna, a czas obowiązywania nieograniczony.


TOP 200