Własności bezpieczeństwa informacji

Bezpieczeństwo teleinformatyczne odnosi się do systemów teleinformatycznych i związane jest ściśle ze spełnieniem pewnych właściwości, które zwane są atrybutami bezpieczeństwa lub funkcjami bezpieczeństwa w systemach i ich otoczeniu, pozwalające na osiągnięcie tzw. aspektu bezpieczeństwa[1]. Zgodnie z zapisami normy ISO27001 na bezpieczeństwo informacji składają się trzy elementy – tzw. CIA triad (od angielskich odpowiedników tych pojęć), czyli: jej poufności (confidentiality), integralności (integrity) i dostępności do informacji (availability). Mogą być również dodatkowo brane pod uwagę takie własności jak: autentyczność, rozliczalność niezaprzeczalność oraz niezawodność[2].

  1. integralność – to właściwość, która gwarantuje, że dane nie zostaną zmodyfikowane w sposób inny niż przez celowe działanie danej osoby (lub funkcji jakiejś danej aplikacji), zgodnie z oczekiwaniami organizacji, która dane informacje przetwarza. Integralność zatem wyklucza jakiekolwiek zmiany w danych, przez celowe działania osób trzecich jak i zarówno przez ich przypadkową modyfikację, mając na myśli np. błąd programu lub zniekształcanie danych podczas ich zapisu, odczytu lub transmisji;
  2. poufność – jest to funkcja, która gwarantuje, że tylko osoby upoważnione, mające dostęp do danych ze względu na zakres swoich obowiązków służbowych, mają możliwość wykonywania na nich operacji. Inaczej mówiąc, nieuprawnione osoby nie powinny mieć jakiegokolwiek dostępu do danych, co za tym idzie nie należy ich im ujawniać bądź udostępniać. Dotyczy to osób zarówno z zewnątrz jak i pracowników danej organizacji, którzy wykonują obowiązki bez dostępu do określonych informacji;
  3. dostępność – właściwość wskazująca na to, że określone dane mogą być wykorzystywane przez osoby w określonym czasie i w określony sposób. Oznacza to nic innego jak umożliwienie tym odpowiednim osobom dostępu do danych i dokonywanie na nich operacji. Przykładowo, określone dane powinny być dostępne tylko i wyłącznie dla tych pracowników, którzy wykonują swoje obowiązki służbowe za pomocą tych danych, przy czym są one wykorzystane w godzinach ich pracy, a dostęp powinien być realizowany tylko i wyłącznie z wykorzystaniem używanych przez nich komputerów i systemów. Ograniczenie dostępności do tych danych może być spowodowane np. brakiem zasilania;
  4. autentyczność – funkcja, która mówi o sytuacji gdy tożsamość danej osoby, która wykonuje określone operacje, jest taka sama jak deklarowana. Podmiot, który powinien być rzeczywiście tym, za który się podaje. Dotyczy to zarówno procesu komunikacji jak i dokonywanie operacji na danych;
  5. rozliczalność – w odniesieniu do atrybutów bezpieczeństwa informacji rozliczalność polega na możliwości ustalenia użytkowników, którzy w określonym czasie dokonywali określonych operacji na poszczególnych danych. To taki przypadek, który pokazuje kto dokonał np. modyfikacji lub usunięcia zapisanych w systemach informatycznych danych. Są również przypadki, które ze względu na konieczność spełnienia wymagać dotyczących bezpieczeństwa wynikających z przepisów prawa, rozliczalność będzie oznaczała, że organizacja dokumentuje i jest w stanie wykazać w jaki sposób nałożone na nią obowiązki spełnia w zakresie cyberbezpieczeństwa;
  6. niezawodność – jest to właściwość bezpieczeństwa informacji określająca czas bezawaryjnego działania systemów informatycznych – którą określa się procentowo. Im wyższy procent, tym wyższy poziom niezawodności w działaniu określonego systemu. Niezawodny, optymalny system przez cały czas będzie osiągał 100%[3];
  7. niezaprzeczalność – właściwość umożliwiająca weryfikację, że strony biorące udział w wymianie informacji rzeczywiście brały w niej udział. Nadawca i odbiorca informacji nie mogą się wyprzeć, że uczestniczyli w wymianie informacji w rolach, w których rzeczywiście występowali[4].

Dążenie do wyżej wymienionych cech, stanowi bardzo istotne działanie w procesie bezpieczeństwa informacji. Należy również wskazać, że z uwagi na różne rodzaje właściwości, które z natury mają odmienny charakter i specyficzne cechy, będzie potrzeba podejmowania odrębnych działań, w celu realizacji wszystkich wymienionych własności. Bowiem inne działania należy podjąć do zapewniania dostępności danych, a całkiem jeszcze inne do zachowania ich poufności.

Międzynarodowym standardem przedstawiającym definicje własności bezpieczeństwa informacji, a jednocześnie głównym jej źródłem odnoszącej się do tego zagadnienia jest norma ISO27000. Poza tym ważną rolę w opisywaniu tych własności zajmuje: Ustawa z dnia 5 lipca 2018r. o krajowym systemie cyberbezpieczeństwa[5], która w swoim artykule pierwszym, wymienia te atrybutu odnośnie do cyberbezpieczeństwa, cytując „cyberbezpieczeństwo – odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy;” a także opisane są one również pokrótce w art.8, 14 ,26 oraz 33[6].

Kolejnym ważnym aktem prawnym odnoszącym się do własności bezpieczeństwa informacji jest: Rozporządzanie Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych[7]. Opisując w rozdziale pierwszym własności:

  • autentyczność – właściwość polegającą na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane;
  • dostępność – właściwość określającą, że zasób systemu teleinformatycznego jest możliwy do wykorzystania na żądanie, w założonym czasie, przez podmiot uprawniony do pracy w systemie teleinformatycznym;
  • integralność – właściwość polegającą na tym, że zasób systemu teleinformatycznego nie został zmodyfikowany w sposób nieuprawniony;
  • niezaprzeczalność – w rozumieniu przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 27 kwietnia 2011 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. Nr 93, poz. 546);
  • poufność – właściwość zapewniającą, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom fizycznym;
  • rozliczalność – w rozumieniu przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. Nr 93, poz. 545)[8];

Jest również adnotacja o tym, że podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność[8].

Przypisy

  1. Michał Nosowski: Prawne aspekty cyberbezpieczeństwa. Praktyczne wskazówki dla przedsiębiorców.. Warszawa: Wiedza i Praktyka, s. 9. ISBN 978-83-269-8266-8.
  2. Cechy bezpieczeństwa informacji. [dostęp 2020-04-05]. [zarchiwizowane z tego adresu (2020-02-18)].
  3. Michał Nosowski: Prawne aspekty cyberbezpieczeństwa. Praktyczne wskazówki dla przedsiębiorców.. Warszawa: Wiedza i Praktyka, s. 9-10. ISBN 978-83-269-8266-8.
  4. Wprowadzenie do pojęć związanych z bezpieczeństwem systemów informacyjnych. [dostęp 2020-04-05].
  5. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. [dostęp 2020-04-20].
  6. USTAWA z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
  7. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. [dostęp 2020-04-20].
  8. a b Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych