Polityka bezpieczeństwa i system ochrony informacji w przedsiębiorstwie

Pełen tekst

(1)2002. Jan Madej Kałedra. Informatyki. Polityka bezpieczeństwa i system ochrony informacji w przedsiębiorstwie Streszczenie: Opracowanie. poświęcone. jest polityce. informacji w przedsiębiorstwi e . W jego pierwszej. w funkcjonowaniu. przedsiębior s lwa,. części. bezpieczeństwa. omówiono. i systemowi ochrony informacja pclni. rolę, jaką. a następnie przedslawiono klasyfikację. żród e l zagrożcli,. na. W ich kontekście zaprezentowano zagadnienia związ ane z projektowaniem polityki bczpieczelistwa i wdrażaniem systemu ochrony. Na z akończenie przedstawiono wstępne wyniki badań ankietowych poświęconych ochronie informacji w 110Iskich plklCdsiębiorstwach .. które jest ona. nara żona.. Słowa kluczowe: polityka bczpicczct\stwa, system ochrony, ochrona informacji , bczpieczellstwo informacji. .. l.. Wstęp. Informacja w przedsiębiorstwie, jako strategiczny element jego funkcjonowania, zyskuje obecnie coraz większe znaczenie. W praktyce, cała działalność gospodarcza opiera się wl aśnie na niej: poczynając od danych niezbędnych do formalnego zaistnienia przedsiębiorstwa (dokumentacja księgowa, dane personalne pracowników, zezwolenia na produkcję itp.), a kończąc na informacjach warunkujących jego działałność i konkurencyjność na rynku (dane kontrahentów, dokumentacje technologiczne, strategie rozwoj u itp.) Dodatkowo , dzięki szybkiemu rozwojowi technologii informatycznej, poj awily się niespotykane wcześniej możliwości jej przetwarzania, przesyłania i gromadzenia. Możliwości te , poza oczywistymi zaletami, okazały się takie podatne na nowe, nie znane jeszcze zagroienia. Z tych powodów przedsiębiorstwa coraz częściej zmuszone są dbać o bezpieczeJ\stwo swoich danych i decydować się na opracowanie poli tyki bezpi eczeństwa oraz wdrożenie systemu ochrony informacji'. Aby jednak I Pod. pojęciem. wlaś ciwe mu. polityki bez pieczeństwa będziemy rozumieć zbiór zasad i norm, które slużij zabezpieczeniu zasobów systemu. System ochrony to Zkolei odpowiednie środki.

(2) Jan Madej. polityka i system były skuteczne, ich utworzenie musi zostać poprzedzone zidentyfikowaniem i poznaniem zagrożeń, na jakie narażona jest informacja. Celem tego artykulu jest przedstawienie mechanizmów i środków systemu ochrony informacji, które mogli być wykorzystane w pr zedsiębiorstwie i o których doborze decyduje polityka bezpieczeństwa firmy. Omówione zostaną w kontekście zagrożell, na jakie informacja może być narażona. Na zakończenie zaprezentujemy wstępne wyniki badań ankietowych poświęco nych zagadnieniom ochrony informacji w polskich przedsiębiorstwach. Badania te zostały przeprowadzone w ramach projektu badawczego finansowanego przez KBN.. dokładnym. 2. Informacla I lei rola w. przedsiębiorstwie. W każdym przedsiębiorstwie istnieje system informacyjny stanowiący podstawę jego funkcjonowania. Obecnie systemy te w coraz większym stopniu wykorzystują technikę informatyczną, której niezaprzeczalną zaletą jest możli wość szybkiego oraz łatwego przetwarzania, gromadzenia i przekazywania informacji. Jednak technika informatycz na jest tylko "narzędziem obróbki". Zasadnicze znaczenie dla przedsiębiorstwa ma sama informacja. Potocznie informację utożsamia s ię z wiadomością lub komunikatem, w rzeczywistości jest ona przede wszystkim elementem wiedzy, który pozwala na funkcjonowanie przedsiębiorstwa i jego rozwój. Pod pojęciem informacji rozumiemy tutaj wszystkie papierowe i elektroniczne bazy, kartoteki, dokumenty oraz dyspozycje ustne, które są generowane, przekazywane i gromadzone w systemie informacyjnym przedsiębiorstwa. Jednak posiadanie informacji samo w sobie nie przynosi żadnych korzyści. Wręcz przeciwnie - jej nadmiar lub zła jakość może zdecydowanie zaszkodzić. Tylko ludzie mogą ją wykorzystać w odpowiedni sposób . Ochrona informacji bardzo często niesłusznie kojarzona jest tylko z działa niami i mechanizmami, które mają na celu zablokowanie dostępu osób trzecich do systemu. Tymczasem tego typu ataki grożą przede wszystkim stosunkowo niewielkiej grupie dużych przedsiębi orstw' . W malych i średnich przedsiębior stwach o wiele większym problemem są utraty danych i przestoje w pracy wywołane awariami łub błędy spowodowane niekompletną informacją. Informacja, nawet w swej "tradycyjnej" postaci papierowych dokumentów, zawsze była podatna na różnego rodzaju niebezpieczellstwa. Mogla ulec zniszczeniu , i mechanizmy techniczne, organizacyjne i prawne, wykorzystywane w celu ochrony informacji. Można powiedzieć, że. system ochrony jest narzQdziem wykonawczym polilyki bczpicCZCllstwn.. do nich przede wszystkim najwicksze i nnjbogatsze pf7.cdsicbiorslwR oraz organizacje militarne i rz~dowc. Z rncji swej pozycji s<] one celem częs tych ntaków, Na szczęście dys ponują na 2 Nalcż~. ogól. wystarcznjącymi środkami. na to, aby je skutecznie udaremniać..

(3) Polityka bezpiecze'lstwa i system kradzieży, podrobieniu lub zmodyfikowaniu. Jej ochrona była konieczna zawsze. Jednak obecnie probłem ten nabrał zupelnie innego wymiaru i znaczenia . Rozwój techniki informatycznej (w szczegółności sieci komputerowych lokalnych i rozległych) oraz postępujące uzależnienie od niej wszystkich obszarów funkcjonowania przedsiębiorstwa, wymusza dodatkową konieczność stworzenia odpowiedniego systemu ochrony, którego celem jest zabezpieczanie informacji przetwarzanej, przekazywanej i przechowywanej na komputerowych nośnikach danych. Najlepszym wyjściem jest opracowanie polityki bezpieczeństwa i wdrażanie systemu ochrony równocześnie z tworzeniem samego systemu informacyjnego. Niestety wiele przedsiębiorstw posługuje się istniejącymi od lat systemami informacyjnymi, w których sprawom ochrony nie poświęcono wystarczającej uwagi. W takiej sytuacji pozostaje tylko (poza bardzo kosztownym i pracochłonnym tworzeniem nowego systemu informacyjnego) umi ejętne wkomponowanie w niego elementów bezpieczeJ\stwa i ochrony. Punktem wyjścia dła takiego d ziałania jest uzyskanie odpowiedzi na kilka zasadniczych pytań : l. Gdzie i w jaki sposób przechowywana jest informacja w przedsiębiorstwie? 2. Jakie sąjej potencjalne źródła zagrożeń? 3. Co można zrobić, aby wyeliminować lub ograniczyć zagrożenia? Uzyskanie odpowiedzi na pierwsze pytanie na ogół nie przysparza trudności, gdyż informacja przechowywana jest: - na nośnikach komputerowych (dyski magnetyczne, optyczne, taśmy magnetyczne itp.), - na papierze (wydruki, odręcznie sporządzone dokumenty, notatki), - w pamięci ludzkiej. Samo umiejscowienie wymienionych nośników może być różne (serwery plików, komputery osobiste, kartoteki, szafy na dokumenty, sejfy itp.) Odpowiedź na to możliwa jest po przeprowadzeniu analizy zasobów przedsiębiorstwa. Jeżeli system informacyjny funkcjonuje prawidłowo, to taka analiza nie jest trudna i pozwała równocześnie na wprowadzenie ewentualnych zmian w sposobie przechowywania informacji]. Odpowiedź na dwa pozostałe pytania wymaga dokładnego zidentyfikowania i zrozumienia zagrożeń, jakim podlegają informacje. Zagadnienia te omówimy poniżej.. polityki bezpieczeństwa może być oczywiście okazją clo zmodyfikowania istsystemu, jednak nalcży przyjąć nieodwołnlnl} zasadę, że system, w którym wdrażana jcsl polityka bczpicczcllstwa powinien być optymalny pod wzgh:dcm zarządzania, obiegu i przechowywania informacji. Nic powinno siO wprowadzać systemu bczpicczcilslwa w sytuacji, gdy sam system informacyjny źle funkcjonuje, gdyż w rCZ\lltacic może przynieść to wiocej szkód niż J Tworzenie. niejącego. korzyści..

(4) Jan Madej. 3. Źródła I rodzaJe zagrożeń InformacJI Pełna św iadomość istnienia zagrożeń, ich identyfikacja oraz określenie źródła pochodzenia jest punktem wyjś cia do skonstruowania skutecznej polityki bezpieczeństwa i wdrożenia systemu ochrony. Niestety w praktyce często zdarza się, że stworzenie systemu ochrony nie było poprzedzone odpowiednią analizą zagrożell, a system, który powstal,jest "standardowy"". Sama analiza opiera się przede wszystkim na wykryciu źródeł zagrożel\ i opracowaniu metod ich eliminacji. W łatwiejszym zrozumieniu tego mechanizmu pomoże przedstawiona poniżej klasyfikacja. Posluży ona uporządkowaniu i usystematyzowaniu zagrożeń celem ich łatwiejszej identyfikacji. W rzeczywistości jednak często występuje wzajemne "nakladanie się" lub "uzupelnianie" zagrożeń, co nie. pozwala na ich jednoznaczne zaklasyfikowanie'. Dodatkowo tego typu analizy powinny zawsze uwzględniać charakter rozpatrywanego systemu, ponieważ innym zagrożeniom podlegają np. przedsiębiorstwa produkcyjne, a innym np. zajmujące się handlem przez internet. Ze względu na rodzaj, miejsce przechowywania i sposób wykorzystywania informacji, źródłami jej zagrożeli mogą być poszczególne elementy systemu informacyjnego: - sprzęt, - oprogramowanie, -ludzie (użytkownicy systemu , osoby związane z systemem), oraz przyczyny niezależ ne , czyli zdarzenia losowe. Przyczyny zdarzeń losowych można podzielić na: - zewnętrzne - pochodzące od sił przyrody (powódź, wyładowania atmosferyczne, wichura itp.) , - wewnętrzne - pochodzące z otoczenia systemu informatycznego (pożar, zalanie , zmiany napięcia prądu elektrycznego, silne pole elektromagnetyczne itp.) . Zdarzeniom losowym pochodzącym od sił przyrody nie można zapobiec. Jedynym wyjściem jest zastosowanie mechanizmów, które mogą zminimalizować skutki ich wystąpienia. W przypadku zdarzeń, których źródłem są przyczyny wewnętrzne - możliwości ochrony są dużo większe. Zagrożenia pochodzące od sprzętu są efektem złego funkcjonowania lub awarii fizycznych elementów systemu informacyjnego, tj.: - części systemu komputerowego (np. twardego dysku, płyty głównej, karty sieciowej), 4. Przy czym jego "standard" jest, na ogól, wypadkową przeznaczonych na niego funduszy ornz. wiedzy, umi cjQln ości i doświadczenia osób lworz..1cych system , n nic wynika z faktycznych potrzeb, które. narzucają zagrożenia.. 5 Z tego też powodu w analizach ź ródeł sytuacji kryzysowych poszukiwać tylko jednej przyczyny. alc starać sir; określić wszystkie udział.. Pozwoli to wierniej. odwzorować rzeczywistość.. (np.. włamań). nic powinno się. i uw zg lędni ć ich poszczególny.

(5) - urządzeń zapewniających właściwą pracę przeciwzakłóceniowych, klimatyzacji).. systemu (np. zasilania, filtrów. Sprzyja temu przede wszystkim: - niska jakość elementów wchodzących w skład systemu, - zły projekt techniczny systemu lub nieodpowiedni dobór jego komponentów,. - brak umiejętności osób konserwujących i obsługujących sprzęt. Zagrożenia, których źródłem jest oprogramowanie są efektem błędów popełnianych w różnych fazach jego projektowania, tworzenia lub modyfikowania6 . Poza błędami wynikającymi z samego oprogramowania, niektóre błędy mogą być spowodowane niezgodnością z innymi, działającymi programami lub nawet z samym systemem operacyjnym. Jednak za główne źródło zagrożel\ należy uznać ludzi, którzy w sposób pośredni lub bezpośredni, przypadkowo bądź umyślnie mają wpływ na system. Mogą oni spowodować zarówno złe funkcjonowanie sprzętu i oprogramowania, jak również dokonać ingerencji w zbiory danych i inne zasoby systemu. Rodzaj i wielkość ewentualnego zagrożenia zależy od funkcji, jaką dana osoba pełni w przedsiębiorstwie, jej umiejętności oraz oczywiście od tego, czy działa ona przypadkowo czy celowo. Dlatego też zagrożenia pochodzące od ludzi dzieli się ogólnie na nieumyślne i umyślne. Znaczna część zagrożel\ nieumyślnych ma zupełnie przypadkowy charakter i jest efektem nieuwagi, bezmyślności, zaniedbań lub niekompetencji osób uczestniczących w projektowaniu bądź eksploatacji systemu. Rodzajów zagrożeń nieumyślnych jest bardzo dużo, a wiele z nich trudno jest nawet przewidzieć. Ryzyko ich wystąpienia można zmniejszyć poprzez odpowiedni dobór kadry, rozsądne przydzielanie uprawnień, szkolenia oraz zabezpieczenia programowe i sprzętowe. Inaczej wygląda sytuacja w przypadku zagrożeń umyślnych. Mówimy wtedy o atakach na bezpieczeństwo systemu. Ataki mogą pochodzić zarówno od osób projektujących i użytkujących system, jak i od osób z zewnątrz. Najczęściej obiektem ataków są systemy, w których związki pomiędzy dostępem do informacji a korzyściami finansowymi są najbardziej bezpośrednie (banki, towarzystwa ubezpieczeniowe itp.), lecz nigdy nie można wykluczyć ataku ze strony osób, które nie oczekują żadnych korzyści finansowych. Dla nich wyzwaniem może być samo włamanie się do systemu, a motorem postępowania ciekawość lub zemsta. Dlatego w praktyce każdy system informacyjny, choć w różnym stopniu, narażony jest na ataki. Przeciwdziałanie atakom jest bardzo ważne, gdyż stanowią one umyślny przejaw działalności ludzkiej, która niezauważona może wywołać duże i trudne do zidentyfikowania szkody. W lite6 Dobrym przykładem bł((du. w oprogramowaniu, który zapomniany objawił. się. ze. zwiclokrot~. nioną silą po wicIu latach, był tzw. problem Y2K czyli problem roku dwutysięcznego. Chęć zaoszczędzenia przez twórców programów dwóch bajtów w zapisie daty, kosztowała miliony dolarów, które musiały zapłacić przedsiębiorstwa, organizacje i rządy wielu krajów za jego usunięcie..

(6) Jan Madej można spotkać różne podziały ataków, które najczęściej bazują na założeniu, że funkcjonowanie systemu informacyjnego polega na przepływie informacji od źródła do miejsca przeznaczenia [porównaj np. StaIJings 1997,. raturze. Stawowski 1998]'. Dotychczas nie wynaleziono jednego, praktycznego sposobu, który chroniłby system przed wszystkimi atakami i zagrożeniami. Dlatego, aby osiągnąć zamierzony cel, należy stosować wiele różnych narzędzi, mechanizmów i rozwiązań organizacyjnych uzupełniających się nawzajem, ogólnie zwanych polityką bezpieczeństwa i systemem ochrony. Jak dotąd jest to jedyna skuteczna metoda zapewnienia bezpieczeństwa systemu.. 4. Polityka bezpieczeństwa I ochrona systemu InformacYlnego W wielu krajach zaprojektowano już dawno różnorodne standardy oceny bezpieczerlstwa systemów informacyjnych, które pozwalają na ich odpowiednią klasyfikację pod względem poziomu zabezpieczeń,jakie oferują'. Sam dobór środków ochrony zależy od wielu czynników (m.in. od sposobu przetwarzania, ważności i ilości przechowywanych i przesyłanych informacji, od poziomu ryzyka, na które są one narażone czy od możliwości finansowych i kadrowych przedsiębiorstwa). Jednak ważne jest, aby zwiększeniem bezpieczeństwa było zainteresowane kierownictwo przedsiębiorstwa, gdyż tylko ono ma możli wość nadania temu problemowi odpowiedniej rangi oraz posiada uprawnienia do stworzenia polityki bezpieczcrlstwa i wdrożenia systemu ochrony. Pod pojęciem polityki bezpieczerlstwa (security policy) rozumiemy wszystkie przedsięwzięcia realizowane przez kierownictwo, administratorów, personel techniczny, użytkowników oraz innych członków organizacji, związane 7 Takie zalożenie pozwala wyróżnić następujące typy ataków: - przerwanie (illterruptiou) - zniszczenie systemu Gcgo części) lub spowodowanie jego nicdostępności (niemożności użycia). Jest to atak na dyspozycyjność systemu (np. fizyczne uszkodzenie komputera, przecięcie kabli sieciowych, uszkodzenie struktury plików i katalogów); - przechwycenie (illferception) - polega na dostępie osoby niepowalanej do zasobów systemu. Jest to atak na poufność (np. podsłuch w ceJu przechwycenia danych w sieci, nielegalne kopiowanie plików); . - modyfikacja (modification) - przejawia się tym, że niepowolana osoba zdobywa dostęp do zasobów i wprowadza w nich zmiany. Jest to atak na nienaruszalność (np. zmiana zawartości plików, modyfikacja komunikatów przesylanych w Sieci); - podrobienie (j'ab/'icatioll) - polega na wprowadzaniu do systemu fałszywych obiektów. Jest to atak na autentyczność (np. wysianie fałszywych komunikatów, wygenerowanie fikcyjnego sprawozdania). 8 Np. Departament Obrony USA w ł 985 r. zdefiniował siedem poziomów bezpieczeństwa systemu i opublikował go w dokumencie TCSEC (Trusted COII/pufer Standa/'ds Evaluatioll Critel'ia) - publikacja ta znana jest potocznie jako Orange Book. Wspólnota Europejska w 1991 r. opracowała swoje kryteria ITSEC (ln/ormation TecJlliology Secllrity Evaluatioll Cl'itel'ia) , które są standardem wykorzystywanym przy ocenie poziomów bezpieczellstwa systemów informatycznych,.

(7) Polityka. i system ochro/w ... z utrzymaniem odpowiedniego poziomu bezpieczeństwa systemu. Ogólnie rzecz ujmując, należy rozpatrywać je na płaszczyznach: - systemu operacyjnego, - programów, - systemu zarządzania zbiorami danych, - systemu informatycznego jako całości, - fizycznego otoczenia systemu, - struktury organizacyjno-administracyjnej. Definiowanie polityki bezpieczeństwa polega na określaniu zasad i norm, których należy przestrzegać, aby właściwie zabezpieczyć zasoby systemu. Zasady i normy powinny zostać spisane i mieć postać formałnego, obowiązu jącego dokumentu. Przedsięwzięcia realizowane w ramach tej polityki muszą być wspomagane i uzupełniane przez odpowiednie środki techniczne, Ol'ganizacyjne i prawne, określane jako system ochrony - tym samym system ochrony można traktować jako aparat wykonawczy polityki bezpieczelistwa. Przy czym należy zdawać sobie sprawę, że nie jest celowe (a często także nie jest możliwe) zastosowanie na raz wszystkich dostępnych środków ochrony, gdyż w praktyce absolutne bezpieczeństwo systemu jest i tak nieosiągalne , a funkcjonowanie zbyt rozbudowanych zabezpieczeli zmniejsza efektywność działania i zwiększa koszty eksploatacji. Tym niemniej, przeoczenie bądź zbagatelizowanie realnego zagrożenia może okazać się katastrofalne w skutkach. Należy więc projektować i wdrażać optymalny system ochrony, kierując się odpowiednio zdefiniowaną polityką bezpieczelistwa dobraną do charakteru działalności przedsię biorstwa. System ochrony. W skład systemu ochrony może wchodzić wiele elementów, których obecność załeży od specyfiki określonego rozwiązania. Wyróżni ć tutaj należy':. Środki techniczne (rozwiązania sprzętowe i programowe): - mechanizmy zabezpieczające i monitorujące fizyczny dostęp do systemu i jego elementów (urządzenia antywlamaniowe, ałarmy, kamery, czujniki ruchu, zabezpieczenia kabli sieciowych), - mechanizmy zabezpieczające przed zdarzeniami losowymi (systemy przeciwpożarowe, sejfy i pojemniki ochronne do przechowywania danych, urzą dzenia podtrzymujące zasilanie i filtrujące zakłócenia sieci energetycznej), - programowe i sprzętowe systemy uwierzytelniania użytkowników (hasla zabezpieczające, karty identyfikacyjne, czujniki biometryczne), - mechanizmy kontroli dostępu do sieci, rejestrowania, monitorowania i filtrowania przesyłanych nią informacji (np . systemy typu firewall) ,. 1) Czytelnikom zainteresowanym szerzej proble matyką projeklowania, wdroicniem i eksploatacjq systemu ochrony polecić można np. [Kifncr 1999}. Szczegółowy opis przedstawionych środ ków i mechanizmów ochrony znaleźć można m.in. w publikilcjach: [Garfinkcl, Spafford 1997], [Stawowski 1998J. [Ahllja 19971, [Stallings 1997J. [Wyrzykowski 1999J..

(8) Jall. - mechanizmy szyfrowania danych i narzędzia kryptograficzne (szyfrowanie przechowywanych danych, szyfrowanie transmisji w sieci i poczty elektronicznej, podpisy cyfrowe użytkowników), - programy antywirusowe i narzędziowe (naprawiające błędy w systemie plików, odzyskujące skasowane pliki, defragmentujące dyski itp.), - mechanizmy programowej kontroli wprowadzanych i przetwarzanych danych, - systemy archiwizowania danych i zarządzania archiwami (automatyczne tworzenie kopii zapasowych, odtwarzanie danych z kopii itp.). Środki organizacyjno-administracyjne: - kontrole wewnętrzne, - system przydzielania obowiązków, odpowiedzialności i uprawnień, - szkolenia z zakresu obsługi i ochrony systemu, - procedury postępowania w przypadkach wykrycia ataku na system, - procedury postępowania w sytuacjach nadzwyczajnych (odtwarzanie danych w przypadku zniszczenia lub kradzieży, alternatywne przetwarzanie danych podczas awarii), - procedury postępowania ze starymi wydrukami i zużytymi nośnikami danych, - procedury awaryjne, pożarowe i ewakuacyjne, - kontrole przepustek, - kontrole przeciwpożarowe i BHP. Środki prawne: - ustawy''', rozporządzenia, regulaminy, - system kar dyscyplinarnych, - ubezpieczenia (np. od wypadków losowych). Wydawałoby się, że możliwość zastosowania tak szerokiego zestawu różnych środków pozwala na uzyskanie pełnego bezpieczeństwa systemu. Jednak,jakjuż wspomniełiśmy, stworlenie w praktyce bezwzględnie bezpiecznego systemu nie jest możliwe. Wykorzystanie wszystkich mechanizmów ochrony doprowadziłoby do powstania systemu zbyt restrykcyjnego, a tym samym niezdolnego do prawidłowego funkcjonowania. Dłatego ich dobór musi być uwarunkowany faktycznymi potrzebami bezpieczeństwa, wynikającymi zjego charakteru.. Obecnie wicIe istotnych zngadnicń z zakresu ochrony danych czy odpowiedzialności za tzw. komputerowe regulują odpowiednio Ustawa o ochronie danych osobowych [1997] i Kodeks karny [1997] obowiązujący od 1 wr ześnia 1998 r. Ważna dla przedsiębiorstw kwestia 10. przestępstwa. ochrony danych rachunkowych i księgowych jest określona w Ustawie o rachunkowości {1994]..

(9) 5. Wyniki. badań. Wyniki, które zaprezentujemy są częścią badań przeprowadzanych w ramach projektu badawczego finansowanego przez Komitet Badm\ Naukowych. Sam projekt jest przede wszystkim próbą analizy rynku klienta, dotyczącą problemów i zasad wdrażania systemów informatycznych". Jego odrębna część "Polityka bezpieczeństwa danych" - poświęcona zastal a zagadnieniom polityki bezpieczeństwa i systemom ochrony informacji istniejącym w ankietowanych przedsiębiorstwach. Jej celem jest uzyskanie odpowiedzi na pytania: "Jakie mechanizmy ochrony i w jakim stopniu występują w przedsiębiorstwie?" oraz "Jak postrzegana jest przez pracowników przydatność stosowania danego mechanizmu?". W momencie opracowywania tego artykułu projekt jest jeszcze w trakcie realizacji - zebrane zostało ponad 150 ankiet. Ilość ta jest zbyt mala (docelowo ma być ich około tysiąca), aby móc wyciągnąć szczegółowe wnioski i przeprowadzić dokładne analizy. Jednak już teraz uzyskane wyniki wykazują pewną regularność i są na tyle ciekawe, że warto je tutaj przytoczyć. Badania mają charakter ankietowy - respondenci odpowiadają na pytania zaznaczając wybraną odpowiedź lub określając poziom zastosowania danego mechanizmu oclu'ony, posługując się skalą od Odo 5, gdzie Ooznacza "całkowity brak", a 5 "bardzo wysoki stopień występowania"". Na pytania ankietowani odpowiadają podwójnie: - przedstawiają faktyczną sytuację w przedsiębiorstwie - ,jak jest", - określają jak według nich - "powinno być". W ankiecie, z szerokiego wachlarza środków ochrony informacji (patrz wyżej), po wyselekcjonowaniu, znalazły się następujące kategorie: - mechanizmy kontroli dostępu do zasobów sieci i komputerów lokalnych, - mechanizmy zabezpieczające i monitorujące fizyczny dostęp do systemu i jego elementów, - mechanizmy zabezpieczające przed zdarzeniami losowymi, - mechanizmy szyfrowania danych, uwierzytelniania użytkowników i narzędzia kryptograficzne, - wykorzystywane programy narzędziowe, - systemy archiwizowania danych i zarządzania archiwami, - środki organizacyjno-administracyjne i prawne funkcjonujące w przedsiębiorstwie. Wybór tych właśnie mechanizmów i środków podyktowany byl ich największym znaczeniem dla ogólnego bezpieczellstwa systemu. II Projekt badawczy numer t H02DO0319 - Problemy i zasady efektywnego wdrnżnnia systc~ mów informatycznych w przedsiębiorstwach i instytucjach publicznych (analiza rynku klienta).. Początek. realizacji projektu - wrzesień 2000 r. 12 Na potrzeby wstępnej unalizy przedstawionych wyników skula zostala pod7.iclonn na trzy I)rzcdzialy - "zupełny brak., nicdoslntcczny" - wartości O i l, "dostalccl.ny" - wm10ści 2 i 3, "dobry i bardzo dobry" - wartości 4 i 5, PO<l obnic pod7,jclanc zo s tały odpowiedzi na temat ,Jnk powinno być", wyróżniono stopnic: "nic potrzebny obojętny". "średnio potrzebny" i "bardzo potrzebny". I.

(10) Jan Madej. Badania, do tej pory, objęły ponad 130 przedsiębiorstw - z tego najwięcej produkcyjnych (29%) oraz usługowych i handlowo-usługowych (po 19%) (por. tabela 1). Pod względem wielkości mierzonej ilością zatrudnionych pracowników, przeważały przedsiębiorstwa duże, mające ponad 500 pracowników (tabela 2). Jednak udział małych i średnich przedsiębiorstw był porównywalny - co jest istotne ze względu na reprezentatywność badań. Respondentami ankiety były przede wszystkim osoby należące do szczebla zarządzającego, taktycznego i operacyjnego, które ze względu na zajmowane w przedsiębiorstwie stanowiska, znają dobrze jego bieżącą sytuację, politykę oraz funkcjonowanie systemu informacyjnego. Wśród respondentów (tabela 3) przeważały osoby bezpośrednio odpowiedzialne i nadzorujące system informatyczny (44%) oraz kadra zarządzająca (z czego 22% to osoby z najwyższego szczebla). Wszystkie otrzymane w trakcie badali wyniki są przedstawione w postaci procentowej, którą należy interpretować jako udział odpowiedzi danego typu do ogółu uzyskanych na to pytanie odpowiedzi. Należy jasno zaznaczyć, że pomimo całkowitej anonimowości ankiet i zapewnieJ\, że wyniki będą prezentowane tylko w postaci zagregowanej, w niektórych przedsiębiorstwach część pytm\ przyjmowana była niechętnie i zdarzały się nawet przypadki nieudzielania na nie odpowiedzi". Na szczęście sytuacji takich nie by lo wielebrak odpowiedzi na poszczególne pytania rzadko przekraczał 6% - a respondenci albo przyznawali się wtedy do niewiedzy l4 albo zasłaniali się poufnością danyc1l. Nie byłoby w tym nic dziwnego, gdyby nie pewna wątpliwość. Chodzi mianowicie o to, czy dane te były w przedsiębiorstwie faktycznie poufne, czy może pracownicy sami tak uznali, kierując się obecną "popularnością" ochrony danyc1l. Jednak dokładnej odpowiedzi na to pytanie nie da się zapewne uzyskać".. 13 Jest lo odrębne zagadnienie, którego szczególowe omówienie planowane jest po. zakończe. niu badań. 14 Szczególnie w przypadku pytmi o elementy zwiqzanc z technicznymi aspektami funkcjonowania systemu - np. o filtrowanie danych przesytcmych siecią. IS Częściowo wyjaśni je analiza "wolnych wypowiedzi i komentarzy respondentów" oraz. sprawdzenie zalcżności pomiędzy nicuclzielclliem odpowiedzi, a funkcjonowaniem stosownych rozporządzC11 i regulaminów. Tym niemniej Ilutentycznym zjawiskiem, dającym się obecnie zaobserwować w wielu sytullcjach jest swoista "popularność" ochrony danych, która przejawia się utajnianiem wszystkiego, co jest możliwe. Została onll zapoczątkowana wprowadzeniem Ustawy o ochronie danych osobowych (1997] oraz wywołanych nią dyskusji i kontrowersji. Ta ważna skądinąd llstawajest często źle interpretowana lub nadinterpretowllnll, będąc przez to źródłem czę stych niejasności, problemów i sporów, wyjaśnianych dopiero przez urząd Generalnego Inspektora. Ochrony Danych Osobowych [www.giodo.gov.pl]..

(11) ochrony .... Tabela I. Rodzaj. dzialalności. badanych przedsiębiorslw Prlcdsit;biorstwa. DziałnIność przedsiębiorstwa. (w%). Produkcyjna. 29 19 19 9. Usługowa Handlowo-usługowa. Prod li kcyj no-hand Iowo-us lu gowa Handlowa. 7. Finansowa. 6. Produkcyjno-usługowa. 4 2. Produkcyjno-handlowa Żr6dlo: opracowanie własne.. Tabela 2. Wielkość badanych. Żr6dło:. przedsiębiorslw. mierzona. ilością. pracowników. Liczba pracowników w przedsiębiorstwie. Przedsiębiorstwa. do 20 21-50 51-200 201-500 ponad 500. 19 14 26. (w %). 10. 31. opracowanie własne.. Tabela 3. Przekrój respondentów ze względu na zajmowane slanowisko Stanowiska zajmowane. Respondenci. przez respondentów. (w%). Pracownicy ściśle zwi'lzani z systemem informacyjnym (główni informatycy, specjaliści ds , inFormatyki, ndministratorzy sieci itp.). 44. Najwyższy szczebel ,,.,rządu (dyrcklorzy.vicedyrektorzy, prezesi, wlaściciel prledsiębiorslw iti>.). 22. Szczebel kierowniczy (kierownicy kierowników itp.). 13. Źródło:. działów . zas(ępcy. opracowanie własne.. Jak już wspomniano, analizowana próba jest zbyt mała, aby móc wyciągać szczegółowe wnioski, jednak już na jej podstawie widać pewną ogólną zależ ność. Praktycznie we wszystkich przypadkach ankietowani uważają, że rzeczywisty poziom występowania danego środka ochrony w ich przedsiębiorstwie jest niższy niż powinien być. Przykładowo "rejestrowanie korzystania z sieci" (por. tabel u 4) jako "bardzo potrzebne" określiło aż 81 % respondentów, ale tylko.

(12) Jan. 48% stwierdziło, że w ich przedsiębiorstwie występuje ono w stopniu "dobrym lub bardzo dobrym". Można to zinterpretować, że ten istotny element nie występuje w ich przedsiębiorstwie w odpowiednim stopniu. Analiza mechanizmó w kontroli dostępu do sieci pozwa la zauważyć, że w ponad 1/3 przedsiębiorstw nie f unkcjonuje w stopniu dostatecznym także monitorowanie pmcy uży tkownik ów w sieci i filtrowanie przesyłanych danych (odpowiednio 32% i 37%), Gdy dodamy do tego występujące w 40% przypadków niedostateczne zabezpieczenie kabli sieciowych (por. tabela 5), to możemy stwierdzić, że sprzyja to atakom na zasoby sieciowe przedsiębiorstwa, które przecież mogą być dokonane nie tylko z zewnątrz, a le także z jego bezpośredniego otoczenia", Tabela 4. Mechanizmy kontroli. Rodzaj mechanizmu. dostę pu. do sieci. Poziom wy:;tępownnia. Opini a respondenta. w przedsiębiorstwie. o mechanizmie. zupełny. brak, nicdosta-. dostateczny. Icezny. dobry, bardzo dobry. niepotrzebny, obojętny. średnio. potrzebny. bardzo potrzebny. Rejestrowanie korzystania z sieci Monitorowanie! pracy. 16. 36. 48. 5. 14. 81. użytkowników. 32. 42. 26. 12. 30. 5B. Filtrowanie danych przesyłanych w sieci. 37. 3B. 24. 15. 18. 67. Źródło; opracowanie własne.. W przypadku mechanizmów zabezpieczających fizyczny dostęp do systemu (tabela 5) największe zdziwienie budzi fakt, że tylko niec n ła połowa ankietowanych (49%) zadeklarowała posiadanie w przedsi ębiors tw ie wystarczająco dobrych urząd zell antywłamaniowych, II ponad 1/4 (27%) brak alarmów. Jest to tym bardziej dziwne, że w ich opinii największe uznanie zdobyły właśnie urządzenia antywlamaniowe i alarmy - odpowiednio tylko 5% i 6% uznał o, że w ich przedsiębiorstwie są one niepotrzebne lub obojętne. Wśród mechani zmów zabezpieczających przed zdarzeniami losowymi (tabela 6) okazalo się, że za niedostateczny prawie 113 ankietowanych (31 %) uważa poziom systemów przeciwpożarowych, a 43% występowanie pojemników ochronnych na nośniki danych. Podobnie wygląda to w przypadku sejfów na dokumenty (29%), Jest to sytuacja niezadowalająca, tym bardziej, że konieczność posiadania wymienionych elementów jest oceniona wysoko, Sytuacja 16 Według IDe (InternatioJl(l1 Data Corporlllion) statystycznie ponad 70% zarejestrowanych wlamall do systemów komputerowych minio miejsce z wnętrza firmy - przez osoby pracujl')ce w sieci lokalnej [cyt. za Slawowski 19981 ..

(13) ochrony ... jest natomiast dobra w przypadku urządzeń p od trzymujących zasilanie i filtrów zakłóceń siec i energetycznej - tylko 10% uważa, że poziom ich występowania jest niedostateczny, a prawie wszyscy (odpowiednio 85% i 95%) u znają je za bardzo potrzebne. zabezpieczające. Tabela 5. Mechanizmy i jego elementów. Poziom. i mon itoruj ące fi zyczny. z u pe ł ny. brak,. niedoslntcczny. bardzo. nicpoIrzcbn)' ,. dobry. obojętny. dobry,. doslntcc zny. do systemu. Opin ia respondenta o mechanizmie. wys tępowan i a. w pr zcdsi~b i ors twi c Rodzaj mechanizmu. dostęp. ś re dni o. bardzo. potrzeb ny. potrzebny. Urzłldzenia a n tywhł m aniowe. Alarmy Czujn iki ruchu Kamery. Stmi. za kł adowa Z'lbezpieczenia kabli sieciowych Żródło:. 20 27 47 74 30. 31 16 17 12 24. 49 57 36 14 46. S. 14. 6 22 42 17. II. 28 31 27. 81 83 50 27 57. 40. 36. 23. 13. 32. SS. oprocowanic w ł asne .. Tabela 6. Mechanizmy. zabez pi eczając e. przed zdarzeniami losowymi Opinia respondenta o mechanizmie. Poziom wys tępowan i a w przcdsiobiorslwic Rodzaj mechanizmu. zupelny. dobry,. Il icpo· tr7.cbny,. jlotrLebny. bardzo potrzebny. 8. 23. 69. 35. lO. 26. 65. 19. 72. t. 4. 95. 10. 23. 67. 3. 13. 85. ża rowe. 31. 22. 47. S. 10. 85. Systemy pioruno· chron6w. 19. 22. 59. 10. 15. 75. brak.. niedostnteczny. dostateczny. Sejfy na dokumenty Pojemniki ochronne na nośn i ki danych U rządzeni a podtrzymujące 7..nsilanie Filtry zak1 6ccIl sieci energetycznej Systemy przeciwpo-. 29. 26. 45. 43. 22. 9. Źródlo: opracowanie włas ne .. bardzo dobry. oboję. ny. średni o.

(14) lem. o mechanizmach szyfrow ania c1anych i uwierzytelnianiu u ży tkowników (tabela 7) można powiedzieć ogólnie, że wystęPUjl} one w stopniu niedostatecznym. Powszechny jest brak szyfrowania przechowywanych danych (60%), transmisji w sieci (64%) i kart identyfikacyjnych (71 %). Jedynym wyjątkiem jest posiadanie hasel zab ezpieczających dostęp do zasobów sieciowych, komputerów i programów. Konieczność stosowania haseł zosta ła oceniona zresztą bardzo wysoko - tylko I % uważa, że nie są one potrzebne. Ciekawa sytuacja występuj e natomiast w przypadku czujników biometrycznych. Mechanizmy te są w praktyce rzadkością i wy stępują w systemach, gdzie konieczny jest bardzo wysoki stopień bezp ieczeństw a. Respondenci w 93% potwierdzili , zgodnie z przewidywaniami, brak ich występowan ia, ale "tylko" 64% s twierdziło, że są one niepotrzebne. Pozos tała część uważa jednak, że byłyby one przydatne , z czego aż 10% , że bardzo . Tabela 7. Mechanizmy szyfrowania danych, uwierzytelniania uż ytkowników i narzędzia kryptograficzne Opinin respondenta o mcchnnizmie. Poziom wys lępowanin \V p rzedsi~biorsl\Vie. Rodzaj mechanizmu. zupełny. dobry, bardzo dObry. brak, nicdostaIcczny. dostnteczny. 5. 29. 66. 76. 9. 64 60. nicpo-. potrzebny. bardzo potrzebny. I. 12. 88. 16. 41. 26. 33. 16. 20. 30. 24. 45. 19 14. 21 15. 23. 71. 35. 31 27. 46 38. 93. 4. 3. 64. 26. 10. Hasła zabezpieczające. trzebny, obojętny. ś rednio. Podpisy cyfrowe użytkowników. SzyFrowanie tmnsmisji w sieci e-maili Szyfrowanie przeclwwywanych danych Km1y identyfikacyjne Czujniki biometrycznc (n p. glosu. oka) Żródło:. opracowanie włnsne.. W przypadku stosowanych programów narzędzi owych (tabela 8) na uwagę zasługuje przede wszystkim fakt stosowania programów antywirusowych. Bardzo duża świadomość potrzeby korzysta nia z tego typu narzędzi (93%) i tylko ich 2% brak w przedsiębiorstwach jest bardzo zadowalający". Podobnie optymistycznie wygląda zarz ądzani e archiwami (tabela 9) - tylko 3% ankielowa17 Na pewno nic bez znnczenia są tutaj wydarzenin ostatnich miesięc y - kiedy to wirusy przc~ sylauc pocztą elektroniczną (np. wirus "ILOVEYOU". który z.1ntak"owal \V maju 2000 r.) spowodowały bardzo duże zniszczenia wśród systemów użytkowników. Rozglos.jaki nadały temu media, korzystnie wpłynął na podniesienie poziomu świad omoś ci zag rożeń ze strony wirusów komputc~ rowych i internetu..

(15) Polityka bezpiecZe/istwa i system. nych stwierdza, że poziom tworzenia kopii zapasowych jest niedostateczny (przy bardzo dużej świadomości - 90%, że należy je robić). Nieco zastanawiająca jest niechęć do niszczenia zużytych nośników danych - co prawda 60% zdecydowanie uważa, że należy je niszczyć, ale w 32% przedsiębiorstw nie stosuje się tego w ogóle'". Tabela 8. Wykorzystywane programy narzędziowe Poziom występowania w przedsiębiorstwie Rodzaj mechanizmu. zupełny. brak,. niedasla-. dostateczny. tcczny. Antywin1sowe. Opinia respondenta o mechanizmie. dobry,. niepo-. bardzo dobry. trzcbny, obojętny. średnio. potrzebny. bardzo potrzebny. 2. 23. 75. 3. 4. 93. II. 36 26. 52 59. 3. 13 23. 84 71. Naprawiające błędy. systemu plików Dcf1'agmcntującc. Źródło:. 15. dyski. 6. opracowanie własne.. Tabela 9, Wykorzystywane systemy archiwizowania danych i zarzqdzania archiwami Poziom występowania w przedsiębiorstwie Rodzaj mechanizmu. zupełny. brak, nicdosla~. doslate-czlly. teczny Tworzenia kopii zapasowych Odtwarzania danych z kopii Niszczenia zużytych nośników danych Żródło:. Opinia respondenta o mechanizmie. dobry,. nicpo-. bardzo dobry. lrzebny, obojętny. potrzebny. bardzo potrzebny. średnio. 3. 24. 73. 3. 7. 90. II. 30. 59. 3. 14. 83. 32. 33. 35. II. 29. 60. opracowanie własne.. Na pytanie o stosowane w przedsiębiorstwie środki organizacyjne, administracyjne i prawne odpowiedzi ograniczały się clo określenia, czy dany środek występuje czy nie. Wyniki (tabela 10) w niektórych przypadkach są zastanawiające i zarazem zatrważające. Wynika z nich przykładowo, że w blisko połowie przedsiębiorstw nie ma aktualnych rozporząclzel\ i regulaminów, w ponad 30% 18 Fakt jest o tyle zastanawiający, że w ostatnim okresie media często nagłaśniały np. sprawy wyrzuconych wydruków z wyciągami bankowymi lub teczek z aktami. Sytuacje te nie tylko bul~ wersowały opinię publiczną. ale były także źródłem uochodzC11 prokuratury..

(16) Jali Madej. nie odbywają się kontrole przeciwpożarowe, BHP i kontrole wewnętrzne, a ponad 3/4 przedsiębiorstw nie ma ubezpieczonych danych. Wydawaloby się, że korzystnie wyglądają statystyki odnośnie polityki bezpieczelistwa, gdyż prawie 1/3 przedsiębiorstw posiada powolaną w tym celu oddzielną komórkę organizacyjną, a w polowie odbywają się szkolenia z zakresu ochrony i bezpieczeń stwa systemu, niestety ponad 2/3 nie ma zdefiniowanych procedur z zakresu postępowania w przypadkach wykrycia ataku na system i postępowania w sytuacjach nadzwyczajnych. Jednak wiążąca ocena tego rodzaju zjawisk możliwa będzie dopiero po zebraniu większej liczby ankiet - wtedy to należy przeanalizować wyniki np. pod kątem ich wy stępowania w przedsiębiors twach różnej wielkości i określić występujące między nimi zależności. Tabela 10. Środki organizacyjną-administracyjne i prawne funkcjonujące w przedsiębiorstwie Zastosowane środki. Prtcdsiębiorstwa. (w%). Ogólnie znane zasady polityki bczpicczclistwa systemu Analizy poziomu bezpieczeństwa systemu Istnienie komórki organizacyjnej odpowiedzialnej za politykę bczpicczclistwa Szkolenia z zakresu obs ługi, ochrony i bezpieczeństw" systemu Procedury postępowa nia w przypadkach wykrycia atakl1 na system Procedury postępowania w sytuacjach nadzwyczajnych (zniszczenia,. 69 28. krad z ieży). 30. Procedury postępowlll1in ze starymi wydrukami i zużytymi noś nikami danych . Ogólnie znany system przydzielania obowiązków. odpowie· d z ialności. i uprawnień. Aktualne rozporządzenia i regulaminy. Ubezpieczenia danych (np. od wypadków losowych, kradzieży) Kontrole przeciwpożarowe. Kontrole BHP Kontrole przepustek Kontrole wewnętrzne Procedury pożarowe i ewakuacyjne. Systemy kar dyscyplinarnych. 29 53 25. 40 72. 53 24 58 59 27 56 42 30. Źródlo: oprneowanie własne .. Na ZakOliczenie tej części należy stwierdzić, że otrzymane wyniki nie dobrze o poziomie bezpieczeristwa i jakości systemów ochrony w polskich przedsiębiorstwach, choć występują także pozytywne wyjątki. Na plus poczytać należy także, wspomniane jnż, ogólne postrzeganie poziomu. świadc z ą.

(17) Polityka. bezpieczeństwa. i system. wykorzystywanych mechanizmów za zbyt niski. Oznacza to, że ankietowani mają świadomość "niedostatku" w tym zakresie. W tej sytuacji rodzi się pytanie, dlaczego w takim razie respondenci nie starają się, żeby było lepiej? Przecież z uzyskanych danych (por. tabela 3) wynika, że ponad 1/3 z nich (35%) to przedstawiciele wysokiego szczebla zarządu (dyrektorzy, kierownicy, właści ciele), a 44% to osoby bezpośrednio związane i mające wypływ na technologię informatyczną (główni informatycy, administratorzy). Pytanie to pozostanie na razie bez odpowiedzi. Przypuszczać tylko można, że z pewnością w niektórych przypadkach nie bez znaczenia są tutaj aspekty finansowe - wiele mechanizmów i środków nie może być zrealizowana bez odpowiednich nakładów, ale przecież większość z nich zależy tylko od odpowiedniej organizacji, zarządzania, regulaminów i szkoleń.. 6.. Zakończenie. W opracowaniu przedstawiono podstawowe zagadnienia związane z tworzeniem polityki bezpieczeństwa i wdrażaniem systemu ochrony. Wskazano najczęstsze źródła zagrożel\ informacji oraz omówiono mechanizmy i środki ich ograniczania. Zaprezentowano także wstępne wyniki badań poświęcone właśnie mechanizmom i środkom ochrony danych stosowanym w polskich przedsiębiorstwach. Wyniki te przyniosły szereg pytml, na które, na obecnym etapie badań, nie można udzielić jednoznacznej odpowiedzi. Zmuszają one jednak do zastanowienia się i spojrzenia pod innym kątem na analizowane zagadnienie. Tytułem zakończenia, warto przypomnieć jeszcze o kilku bezsprzecznych zasadach, które muszą być przestrzegane, aby można było mówić o bezpieczelistwie systemu". Pomimo tego, że są one oczywiste, to często ulegają przeoczeniu, a twórcy, administratorzy i kierownicy nie zdają sobie nawet sprawy z ich zaniedbywania: l. System ochrony powinien być odpowiednio i kompleksowo przemyślany, zaprojektowany i wdrożony'". 2. Jeśli posiadamy system niezabezpieczony, musimy także mieć świado mość tego faktu". 3. Każdy system jest tak mocny, jak mocny jest jego najslabszy element. 19 Wiele cennych, a przede wszystkim, praktycznych zasad i zaleceń m.in.. IV. może znaleźć. czytelnik. [Garrinkcl. Spafford 1997], [Klander 1998).. 20 Przykładowo, nic warto ponosić kosztów wyrafinowanych metod zabezpieczania transmisji danych w sicci,jcżcli serwery znajdują silf w otwarlych pomieszczeniach, do których mają dostęp nicpowalane osoby. 21 Niestety w praklyce użytkownicy cz<;:sto nic s~l odpowiednio uświadomieni i pracują w prze· konaniu, że ich działanie w żaden sposób nic może zaszkodzić funkcjonowaniu systemu. Przcz co nie zachowuj'l oni odpowiedniej ostrożności, co nic rzadko pociąga za sobą bardzo groźnc kOllse· kwcncje..

(18) Jall. A ponieważ najsłabszym elementem każdego systemu informatycznego jest człowiek, dlatego ważne jest ciągłe podnoszenie jego kwalifikacji i umiejętności oraz zwracanie uwagi na rolę, jaką pełni w funkcjonowaniu systemu. Literatura Adamski A. [1998], Prawo do bezpiecznej sieci, Computerworld Raport - Bezpieczeństwo Sieci, IDO Poland S.A., Warszawa, Ahuja V. [1997], Bezpieczelistwo \V sieciach, Zakład Nauczania Informatyki "Mikom", Warszawa. Garfinkei S., Spafford G. [1997], BezpieczelistlVo IV Unixie i Internecie, Wydawnictwo RM, Warszawa. Kifner T. [1999], Polityka bezpieczelistwa i ochrony inforll/lIcji, Wydawnictwo Helion, Gliwice. Klander L. [1998]. Hacker Prool czyli jak bronić się przed ill1ruza11li, Zakład Nauczania Informatyki "Mikom", Warszawa. Kodeks karny - Ustawa z dnia 6 czerwca 1997 r., Dz.U. z r. 1997, nr 88, poz. 553. Piotrowski J., Szymaczek M, [1997J, Projektowanie skutecZIIych systemów ochrony illfor~ macji, "Informatyka" 7-8. RobIing Denning D.E. [1993], Kryptografia i ocllwlla dallych, WNT, Warszawa. Sekul D. [1999], PR 2000 - NieZlVykle kosztowIla puszka Paudory? , "Informatyka" 5. Stallings W. [1997), Ochrona dallyclllV sieci i intersieci, WNT, Warszawa. Stawowski M. [1998}. Ochrona informacji w sieciach komputerowych, Wydawnictwo ArsKom, Warszawa. Stawowski M. [1999], Badanie zabezpieczeli sieci komputerowych - Testy pelletrac)1ne, Symulacja IVlammi, Analiza zabezpieczell, Wydawnictwo ArsKol11, Warszawa. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r., Dziennik Ustaw z roku 1997, nr 133, pozycja 883. Ustawa o rachunkowości zdn. 29 września 1994 r., Dz.U. z 1'.1994, nr 121, poz. 591. Wyrzykowski A. [1999], Systemy kOlltroli dostępu - Cyfrowy StraŻllik, "PC Kurier", nr 245 13, Warszawa. [wiruspc.gold.pl], Polskie Centrum AlllylVirusowe -magazy" inte1'llelowy, http://wil.llspc.gold.pll [www.giodo.gov.pl] , Generalny Inspektor Oc/Trony Danych Osobowych - serwis if1temeto\vy, http://www.giodo.gov.pl/. Security Policy and Informatlon Proteclion System in an Enterprise The paper is devoted to security policy and to infarmation protection systems in enterprises. The first part discllsses the meaning af information in company activity. Ncxt, the classification ar threats sources, the information is subjected to, has been shawn. In this context, the issues connected with the planning of seclll'ity policy and with the implementation of a protcction system have becn cansidered. Finally, the preliminary results of apinion survey concerning the protection af the information in Polish enterprises have been presented..

(19)