Multilingual Studies at a Distance

Students and Academics of All Countries, Unite! :-)

Organizacja wewnętrzna bezpieczeństwa informacji

Czytając normę PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007, punkt 6: Organizacja bezpieczeństwa informacji już na samym wstępie możemy przeczytać: „Zaleca się by kierownictwo zatwierdziło politykę bezpieczeństwa informacji, przypisało odpowiedzialność związaną z bezpieczeństwem, koordynowało i poddawało przeglądom wdrażanie bezpieczeństwa w organizacji”.

Spoglądając na strukturę organizacyjną dobrze znanego nam lotniska Ławicy (http://www.airport-poznan.com.pl/pl/port_lotniczy/popup.html) możemy zauważyć, że spełnia ono wymienione w punkcie 6.1.2 Koordynacja bezpieczeństwa informacji wyżej wymienionej normy:

„Zabezpieczenie: zaleca się, aby działania w zakresie bezpieczeństwa informacji były koordynowane przez reprezentantów różnych części organizacji pełniących odpowiednie role i funkcje.

Wskazówki wdrożenia: Zazwyczaj koordynacja bezpieczeństwa informacji wymaga współdziałania kierownictwa, użytkowników, administratorów, projektantów aplikacji, audytorów i pracowników działu bezpieczeństwa oraz specjalistycznych umiejętności(…)”.

Wydaje mi się, że wieloznaczny jest w tej normie ostatni przytoczony przeze mnie cytat, bo wśród osób, które mogą mieć dostęp do owych informacji są wymieni użytkownicy. Czy aby nie powinno to stwierdzenie zostać lepiej sprecyzowane, nie pozostawiając wątpliwości, co do zakresu dostępu osób nieupoważnionych?

Jak zobligować użytkowników do współdziałania w tym zakresie?

Na przykładzie lotniska widzimy, że Kancelaria Tajna i Biuro Ochrony Informacji Niejawnych podlega pod Pełnomocnika ds. Informacji Niejawnych. Stwarza to możliwość oddziaływania na inne komórki firmy, a nawet możliwości konsultacji ich z Zarządem, podkreśla to rangę tematu zabezpieczenia informacji.

Czy wystarczającym jest owe obostrzenie wymienione w punkcie 6.1.5 p.t. Umowy o zachowaniu poufności: „Umowy o zachowaniu poufności i nieujawnianiu informacji chronią informacje należące do organizacji i informują sygnatariuszy o ich odpowiedzialności w zakresie ochrony, używania i ujawniania informacji w sposób odpowiedzialny i autoryzowany”?

A może jest ono zbyt restrykcyjne?

Zapraszam do dyskusji :)

Views: 128

Replies to This Discussion

Permalink Reply by Tadeusz Lemańczyk on October 5, 2011 at 7:51am
W związku z zacytowanym w ubiegłym semestrze przez Monikę Kaszkowiak określeniem "grupy interdyscyplinarnej" chciałbym dodać słowa, które nie pojawiły się w cytacie Elizy Sochackiej bezpośrednio po słowach "specjalistycznych umiejętności". Są to mianowicie słowa "z takich dziedzin, jak ubezpieczenia, prawo, zarządzanie zasobami ludzkimi, informatyką lub ryzykiem". Ich związek ze zdaniem końcowym p. 6.1 ("Zaleca się też promowanie interdyscyplinarnego podejścia do bezpieczeństwa informacji") nie wymaga dodatkowego z mej strony podkreślenia. Chciałbym jednak zachęcić Was, także w tym miejscu, do wypowiadania się na temat tego, która z tych dziedzin jest Wam, jako studentom pierwszego stopnia kierunku studiów Inżynieria bezpieczeństwa, już w tym momencie najbliższa, oraz tego, co jeszcze powinniście zrobić, by, nie pretendując do miana specjalisty w każdej z tych dziedzin, móc jednak występować w swej przyszłej pracy zawodowej w charakterze kompetentnego koordynatora działań specjalistów tych dziedzin, działań nakierowanych na zapewnienie bezpieczeństwa informacji w Waszych zakładach pracy.
Permalink Reply by Natalia Kożuch on March 11, 2012 at 10:45pm

"Zazwyczaj koordynacja bezpieczeństwa informacji wymaga współdziałania kierownictwa, użytkowników, administratorów, projektantów aplikacji, audytorów i pracowników działu bezpieczeństwa oraz specjalistycznych umiejętności z takich dziedzin jak ubezpieczenia, prawo, zarządzanie zasobami ludzkimi, informatyką lub ryzykiem." (PN-ISO/IEC 17799:2007 6.1.2 Koordynacja bezpieczeństwa informacji)

Zwracając uwagę na przytoczony przeze mnie fragment normy dotyczącej bezpieczeństwa informacji chciałabym odpowiedzieć na zadane w powyższym komentarzu pytanie, które wynika również właśnie z tego fragmentu, a mianowicie: która z wymienionych dziedzin, jest nam, studentom inżynierii bezpieczeństwa najbliższa w tym momencie oraz co należy jeszcze zrobić aby móc w przyszłości występować jako kompetentny koordynator w naszej przyszłej pracy zawodowej?

Uważam, że jako studenci drugiego roku kierunku inżynieria bezpieczeństwa mamy już za sobą nie tylko przedmioty wchodzące w program nauczania na Politechnice Poznańskiej jako podstawowe. Wśród bardziej specjalistycznych wyróżnić można, już na tym etapie, te przedmioty które mają związek z naszym przyszłym zawodem. http://www.bip.nauka.gov.pl/_gAllery/23/65/2365/48_inzynieria_bezpi... W załączonym tutaj spisie przedmiotów realizowanych przez nasz kierunek wyróżnić można takie jak analiza ryzyka, identyfikacja zagrożeń i ocena ryzyka, prawo, monitorowanie zagrożeń bezpieczeństwa czy też informatyka oraz bezpieczeństwo informacji. Jest to odpowiedź na pierwsze z zadanych pytań. Są to przedmioty, których zakres wiedzy jest nam znany już w tym momencie.

Dokładniejszego przeanalizowania wymagają dwa ostatnie przeze mnie wymienione - informatyka oraz bezpieczeństwo informacji. Myślę, że właśnie te dwa przedmioty mogą grać kluczową rolę, jeżeli ktoś z nas chciałby zająć się w przyszłości zarządzaniem bezpieczeństwem informacji w przedsiębiorstwie. Z pewnością poziom wiedzy jaką posiadamy obecnie z tych przedmiotów jest niewystarczający. Również nasza uczelnia nie posiada na drugim stopniu kształcenia specjalizacji dotyczącej bezpieczeństwa informacji. Jednak na dzień dzisiejszy istnieje wiele rozwiązań dla osób, które chciałyby w przyszłości zająć się tą właśnie dziedziną. Organizowane są przeróżne szkolenia, których celem jest zapoznanie się z zagrożeniami informacji firmowych, zapoznanie z obowiązkami i zadaniami administratora bezpieczeństwa informacji, przedstawienie sposobu zarządzania bezpieczeństwem informacji w tym reakcji na incydenty związane z naruszeniem bezpieczeństwa, zakresu dokumentacji i sposobu opracowywania polityki bezpieczeństwa informacji. Jedną z ofert takiego szkolenia oraz korzyści z niego wynikające można znaleźć na tej stronie - http://www.czj-infox.pl/szkolenia-otwarte/administrator-bezpieczest... . Również dobrym rozwiązaniem są szkolenia, które dobrze i zrozumiale przybliżyły by treści norm PN-ISO/IEC 17799:2007 oraz PN-ISO/IEC 27001:2007. Ich znajomość jest podstawowym wymogiem pracy na omawianym przeze mnie stanowisku specjalisty do spraw bezpieczeństwa informacji w przedsiębiorstwie.

W tym miejscu warto dodać, że we współczesnym świecie dużą rolę odgrywa rozwój techniki. Dlatego nie tylko w przypadku specjalisty ds bezpieczeństwa informacji ale także na wielu innych wymagana jest znajomość systemów informatycznych. Zwracając uwagę na bezpieczeństwo informacji w przedsiębiorstwie należy być czujnym na przypadkowe upowszechnianie danych poufnych na stronach internetowych, włamania hakerskie czy też przypadkowe kradzieże danych zapisanych na laptopach czy pendrivach oraz należy podejmować odpowiednie akcje aby im przeciwdziałać.

Opisane przeze mnie umiejętności zarówno z dziedziny informatyki jak i bezpieczeństwa informacji są w obecnym momencie podstawowymi wymaganiami do przyjęcia na stanowiska osób zajmujących się BI. Kandydaci na nie powinni być dobrze wykształceni w wymaganym zakresie wiedzy i odpowiedzialni ponieważ ich niekompetentne zachowanie może mieć poważne konsekwencje.

RSS

© 2012   Created by Tadeusz Lemańczyk.   Powered by .

Badges  |  Report an Issue  |  Terms of Service