Materiały edukacyjneTo my pomagamy w pisaniu

Materiały edukacyjne - Informatyka

Model bezpieczeństwa systemów informatycznych

Budowanie modelu bezpieczeństwa systemu informatycznego wymaga świadomości związanej z zagrożeniami i ryzykami, na jakie narażona jest sama instytucja i przez to również system informatyczny. Konieczne jest również ustalenie w jaki sposób instytucja zamierza zarządzać zagrożeniami i minimalizować ryzyko. Najczęściej model bezpieczeństwa kojarzy się z określeniem zasad i wprowadzeniem ich stosowania w życie.

Należy jednak podkreślić, że taki model w praktyce się nie sprawdza, ponieważ nie może funkcjonować prawidłowo bez trzeciego istotnego elementu, jakim jest kontrola i audyt systemu informatycznego. Przede wszystkim w aspekcie informatyki konieczne jest ustalenie strategii informatyzacji, a z perspektywy bezpieczeństwa konieczne jest określenie co należy chronić, po co i jaki zakres ochrony jest konieczny. Z tych założeń wynika szereg działań, które należy podjąć, związanych z:[1]

• ustaleniem polityki bezpieczeństwa;

• ustaleniem odpowiednich procedur;

• ustaleniem instrukcji;

• ustaleniem reguł postępowania.

Jednocześnie konieczne jest zwrócenie uwagi na bezpieczeństwo systemów informatycznych w aspekcie przychodów lub ich potencjalnej utraty oraz określenie, w jakich miejscach funkcjonowania organizacji konieczne jest wdrożenie mechanizmów, które będą umożliwiały kontrolowanie przepływu informacji i poziomu ryzyka.Takie zasady muszą bazować na strukturze organizacyjnej, a jednocześnie muszą kompleksowo odnosić się do istniejących procesów. Mechanizmy te muszą być w dalszej kolejności wbudowywane w systemy, automatyzowane, możliwie najbardziej prewencyjne, by umożliwiały uzyskanie sytuacji, w której proces jest kontrolowany.

W odniesieniu do działań, zasady, które zostały przygotowane powinny zostać wdrożone w organizacji, ludzie powinni zostać odpowiednio przeszkoleni, a mechanizmy powinny funkcjonować zgodnie z przyjętymi założeniami. Co więcej działające systemy powinny informować o swoim działaniu. Raportowanie jest niezbędnym elementem w odniesieniu do bezpieczeństwa technologicznego, jak i biznesowego. Na podstawie elementów raportowych możliwe jest ocenienie efektywności mechanizmów bezpieczeństwa i mechanizmów kontroli, co stanowi informację do podejmowania decyzji o niezbędnych zmianach lub zmianie konfiguracji środowiska. Kontrola zmierza do określenia zasad, które zostały wprowadzone, w aspekcie ich sensowności, skuteczności wdrażania i stosowania. Jeśli system kontroli charakteryzuje się efektywnością dodatkowo możliwe jest uzyskanie szczególnie istotnej możliwości, jaką jest egzekwowanie zasad, weryfikacja lub wymuszanie zmiany zasad w zależności od zmian w środowisku i wymagań.[2]

---

Tomasz Bejm "Ryzyko informatyczne i model bezpieczeństwa systemów", Warszawa, 2005, Ernst & Young, str. 2.

Tamże, str. 3.

© 2012 Www.edukacja.mazowsze.pl

licznik