Firma DMS-Komputery jest producentem oprogramowania specjalizującym się w opracowywaniu rozwiązań informatycznych adresowanych do firm produkcyjnych oraz usługowych, poszukujących narzędzi wspomagających zarządzanie firmą (MRP, ERP, CRM, QMS, DMS) oraz zainteresowanych budową pozytywnych relacji z klientami.
Rok założenia 1991
Tu jesteś: Strona główna DMS-Komputery Oferta ASYSTENT bezpieczne zarządzanie informacją

Bezpieczne zarządzanie informacją

Aspekty organizacyjno - prawne dotyczące bezpieczeństwa informacji.

Jednym z ważniejszych dokumentów określających wymagania dotyczące bezpieczeństwa informacji jest Polska Norma PN-ISO/IEC 27001. Dokument ten zawiera wytyczne odnoszące się do wdrożenia systemu zarządzania bezpieczeństwem informacji - SZBI (ang. information security management system - ISMS), czyli obowiązujących w firmie odpowiednio udokumentowanych reguł, zapewniających bezpieczeństwo informacji. Nawet jeśli firma nie ma wdrożonego i nie zamierza wdrażać systemu zarządzania bezpieczeństwem informacji, warto stosować się do wielu wymagań zawartych w tej normie. Pozwoli to ustrzec firmę przed różnymi problemami natury prawnej oraz finansowej, wynikającymi z naruszenia regulacji dotyczących ochrony informacji. Warto zdawać sobie sprawę, że bezpieczeństwo informacji jest potrzebne do:

  • utrzymania konkurencyjności (czasowe ograniczenie działań firmy spowodowane np. awarią systemu informatycznego i związane z tym trudności w obsłudze klientów mogą sprawić, że część klientów w tym czasie skorzysta z usług konkurencji, a nawet przeniesie na stałe swoje zamówienia do konkurencji),
  • zachowania płynności finansowej firmy (ujawnienie niektórych danych może wiązać się z wypłatą znacznych odszkodowań, zapłatą grzywien lub zapłatą kar umownych),
  • osiągania zysku (utrata np. informacji stanowiących know-how firmy może zachwiać działalnością firmy, a nawet doprowadzić do jej upadku),
  • zgodności działań firmy z przepisami prawa tj. zapobiegania konsekwencjom prawnym związanym z niezgodnym z przepisami prawa gromadzeniem, udostępnianiem i przetwarzaniem informacji,
  • kreowania pozytywnego wizerunku firmy (firma, której np. dane dotyczące klientów, a w szczególności dokumentacji powierzonej przez tych klientów w związku z realizacją zamówień zostaną ujawnione, może utracić wiarygodność w oczach klientów).

Należy więc zarządzać bezpieczeństwem informacji, ponieważ jest ona ważnym aktywem biznesowym. Bezpieczeństwo informacji (ang. information security) polega na zachowaniu dostępności, integralności i poufności informacji. W Polskiej Normie PN-ISO/IEC 27001 pojęcia te są zdefiniowane następująco:

  • dostępność (ang. availability) - właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu,
  • integralność (ang. integrity) - właściwość polegająca na zapewnieniu dokładności i kompletności informacji,
  • poufność (ang. confidentiality) - właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom.

Bezpieczeństwo informacji zapewnia się przy pomocy odpowiednich środków technicznych oraz zasad organizacyjnych wskazanych w adekwatnych dokumentach firmy (politykach, instrukcjach itp.). W praktyce ochrona informacji sprowadza się do ochrony dokumentów firmy, ochrony własności intelektualnej, ochrony dokumentacji powierzonej przez klientów oraz ochrony danych osobowych i prywatności osób. Warto też pamiętać o tym, że brak konieczności zgłoszenia zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), nie oznacza zwolnienia z konieczności opracowania, stosowania i doskonalenia zasad ochrony informacji zawartych w tych zbiorach. Z kolei zgodnie z ustawą o rachunkowości z dnia 29 września 1994 r. ( Dz. U. 1994 Nr 121 poz. 591 art. 71 ust. 1) „...księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, zwane dalej także "zbiorami", należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.” (innymi słowy należy zapewnić dostępność, integralność i poufność tych danych).

Dostęp do informacji jest zazwyczaj czynnikiem decydującym o sukcesie realizowanych przedsięwzięć. Jednocześnie ujawnienie zastrzeżonych lub poufnych informacji może narazić na niepowodzenie realizowane przedsięwzięcia. W przypadku kluczowych danych kilka dni bez dostępu do nich może zadecydować o tym, czy firma przetrwa na rynku, nie wspominając o dotkliwych stratach finansowych i wizerunkowych. Firma, definiując tajemnice przedsiębiorstwa związane z realizacją wyrobów, powinna również wyznaczyć własne standardy ochrony informacji i nadzorowania zmian w tego typu informacji (np. dokumentacji projektowej, rysunkach technicznych, kodach sterowania obrabiarkami numerycznymi itp.). Systemy informatyczne ułatwiają dostęp i przetwarzanie olbrzymich ilości informacji. Stanowią więc naturalne miejsce zagrożenia dla informacji i z tego powodu powinny być odpowiednio zabezpieczone. Dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeśli w sposób ciągły są spełnione łącznie następujące warunki:

  • zapewniona jest jej dostępność wyłącznie dla osób uprawnionych,
  • jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem,
  • są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

Zabezpieczenie dokumentacji prowadzonej w postaci elektronicznej wymaga w szczególności:

  • systematycznego dokonywania analizy zagrożeń,
  • opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania,
  • stosowania środków bezpieczeństwa adekwatnych do zagrożeń i ważności informacji,
  • bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno - informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów.

Oprócz wspomnianej już Polskiej Normy PN-ISO/IEC 27001 (jest rozpowszechniana przez Polski Komitet Normalizacyjny), opracowując dla firmy wymagania związane z bezpieczeństwem informacji, warto zapoznać się również z innymi dokumentami odnoszącymi się do spraw dotyczących ochrony informacji. Są to np.:

  • USTAWA z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883)
  • USTAWA z dnia 22 stycznia 1999r. o ochronie informacji niejawnych (Dz. U. 1999 nr 11 poz. 95)
  • USTAWA z dnia 4 lutego 1994r. o prawie autorskim i prawach pokrewnych (Dz. U. 1994 Nr 24 poz. 83)
  • USTAWA z dnia 29 września 1994 r. o rachunkowości (Dz. U. 1994 nr 121 poz. 591)

Z treścią tych ustaw można zapoznać się w Internetowym Systemie Aktów Prawnych (dodatkowo z Ustawą o rachunkowości można zapoznać się również na stronach Ministerstwa Finansów).

Elementarne działania zwiększające bezpieczeństwo informacji.

Rodzaj stosowanych zabezpieczeń powinien wynikać z analizy i oceny ryzyka. Analiza ryzyka uwzględnia wartość (znaczenie) dla firmy chronionych informacji oraz zidentyfikowane zagrożenia. By identyfikacja zagrożeń była jak najbardziej dokładna, ustalając zagrożenia warto także określić podatności, mające wpływ na zaistnienie różnych zagrożeń (np. dla zagrożenia jakim jest awaria zasilania serwera, podatnością mogą być odczuwalne wahania napięcia zasilania, wynikające z pracy maszyn na hali produkcyjnej). Analiza ryzyka jest jednym z elementów wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI). Bez względu na to, czy firma zamierza wdrożyć system zarządzania bezpieczeństwem informacji, warto pamiętać o elementarnych działaniach zwiększających bezpieczeństwo informacji. Działania te, stosunkowo niewielkim kosztem (szczególnie w odniesieniu do wartości chronionych informacji oraz ewentualnych kosztów poniesionych strat), mogą istotnie zwiększyć poziom bezpieczeństwa.

Do elementarnych działań zwiększających bezpieczeństwo informacji można zaliczyć:

  • udostępnianie systemów informatycznych tylko i wyłącznie uprawnionych osobom (kontrola logowania),
  • systemowe śledzenie czynności operacyjnych wykonywanych przez pracowników,
  • regularne tworzenie oraz bezpieczne przechowywanie kopii zapasowych (archiwizacja danych),
  • okresowe kontrolowanie logów systemowych i przeciwdziałanie incydentom zarejestrowanym w tych logach,
  • stosowanie ochrony antywirusowej oraz firewalli (ochrona przed atakami z sieci),
  • przesyłane danych przy pomocy bezpiecznych połączeń szyfrowanych,
  • segmentowanie sieci firmowej,
  • stosowanie zasady wielokrotnej kontroli.

Zapewnienie odpowiedniego poziomu bezpieczeństwa może wymagać również zastosowania adekwatnych rozwiązań sprzętowych (inwestycyjnych). Najbardziej popularnymi są:

  • system zasilania awaryjnego,
  • system przeciwpożarowy,
  • system kontroli dostępu do wszystkich pomieszczeń,
  • całodobowy monitoring (zewnętrzny oraz pomieszczeń) obiektu.

Na koniec warto zwrócić uwagę na jeszcze jeden aspekt bezpieczeństwa informacji - zapewnienie wysokiej niezawodności i dostępności systemów informatycznych. W zależności od wymaganego poziomu bezpieczeństwa, zabezpieczenia z tej grupy mogą przybierać postać różnych opcji dublowania infrastruktury informatycznej od macierzy poprzez klastrowanie, replikację, redundancję sprzętową, aż w przypadku danych strategicznych, do zabezpieczenia ciągłości działania w centrum zapasowym (za centrum podstawowe przyjmuje się miejsce, gdzie na bieżąco przetwarzane są i przechowywane dane firmy).

Jak system ASYSTENT wspomaga działania związane z bezpieczeństwem informacji?

W systemie ASYSTENT zostały zaimplementowane różne funkcjonalności ułatwiające spełnienie organizacyjnych reguł dotyczących bezpieczeństwa informacji. Funkcjonalności te umożliwiają:

  • selektywny dostęp użytkowników do systemu ASYSTENT, na podstawie odpowiednich mechanizmów uwierzytelniania za pomocą hasła i loginu;
  • selektywnywykaz uprawnień użytkownika dostęp użytkowników do funkcji systemu ASYSTENT, w oparciu o wykaz uprawnień opisujący dokumentację i funkcjonalności, do których dany użytkownik ma przydzielony dostęp - wykaz uprawnień umożliwia definiowanie dostępu użytkowników do operacji np. edycji, anulowania lub drukowania dokumentów, analizowania dokumentacji itd. przy czym, uprawnienia można ustalać oddzielnie dla każdego rodzaju dokumentacji;
  • oznaczanie (stemplowanie) każdego zapisu bazy danych informacją o użytkowniku, który jako ostatni zmieniał treść zapisu oraz dacie i czasie przeprowadzenia tej zmiany;
  • dołączanie do każdego zapisu bazy danych liczby kontrolnej, umożliwiającej weryfikację autentyczności zapisu;
  • ewidencjonowanie sesji, podczas których użytkownicy korzystali z systemu ASYSTENT;
  • ewidencjonowanie operacji, jakie w systemie ASYSTENT wykonywał każdy z użytkowników;
  • ewidencjonowanie zdarzeń krytycznych (błędy obsługi, błędy techniczne, błędy systemu) jakie zaistniały podczas pracy danego użytkownika w systemie ASYSTENT;
  • monitorowanie komunikacji z serwerem SQL;
  • monitorowanie zmian w zbiorach informacji (proces monitorowania zmian można określić jako nadzorowanie integralności informacji) - monitorowanie zmian w zbiorach informacji umożliwia odtworzenie historii zmian zapisu (ustalenie kto, kiedy i jaką informację zmienił w danym zapisie lub kto, kiedy i jaki zapis usunął);
  • automatyczne archiwizowanie bazy danych na koniec dnia, po zakończeniu pracy ostatniego użytkownika.

Stosowanie zabezpieczeń dotyczących ewidencjonowania: sesji, operacji oraz zdarzeń krytycznych; monitorowania: komunikacji z serwerem SQL oraz zmian w zbiorach informacji lub automatycznego archiwizowania bazy danych na koniec dnia, nie jest w systemie ASYSTENT obligatoryjne i może być ustalone w parametrach pracy programu, po zalogowaniu się do systemu ASYSTENT jako „Administrator”. Z tego powodu hasło dotyczące loginu „Administrator” powinno być szczególnie chronione. Ponadto warto z loginu „Administrator” korzystać tylko podczas definiowania parametrów pracy systemu ASYSTENT i do zdefiniowania loginu, hasła i uprawnień identycznych jak te dla loginu „Administrator” ale z wyłączeniem praw do zmiany parametrów pracy systemu ASYSTENT, wpływających na bezpieczeństwo informacji. W przyszłości w trakcie uwierzytelniania jako administrator, należy posługiwać się tak utworzonym loginem.


Należy pamiętać, że zapewnienie bezpieczeństwa informacjom udostępnianym przez system ASYSTENT nie ogranicza się tylko do korzystania z odpowiednich funkcjonalności zaimplementowanych w programie, ale wykracza poza sferę systemu ASYSTENT. System ASYSTENT jest tylko narzędziem, pozwalającym na dostęp do danych, które są gromadzone i przetwarzane przez serwer bazodanowy (np. serwer SQL) oraz przesyłane w sieci lokalnej. Dlatego konieczne jest odpowiednie zabezpieczenie fizyczne i logiczne samego serwera oraz sieci lokalnej (zobacz: Elementarne działania zwiększające bezpieczeństwo informacji.), jak również opracowanie odpowiednich reguł ochrony informacji, zapewniających stosowanie wszystkich wprowadzonych fizycznych zabezpieczeń (zobacz: Aspekty organizacyjno - prawne dotyczące bezpieczeństwa informacji).

zobacz też:atuty modułu FINANSE,
atuty modułu PŁACE,
atuty modułu PRODUKCJA I USŁUGI,
atuty modułu ZAOPATRZENIE I DYSTRYBUCJA,
korzyści z używania systemu ASYSTENT
 

O firmie | Aktualności | Oferta | Pytania i odpowiedzi | Współpraca
Strona główna | Mapa serwisu | Kontakt

Copyright © 2005.. DMS-Komputery: Elektronika i Informatyka. Wszelkie prawa zastrzeżone.