Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO

Bogdan Kosowski

Śląski Urząd Wojewódzki w Katowicach

Bezpieczeństwo informacyjne w zarządzaniu firmą

Wstęp

Organizacja systemu przepływu informacji oraz wykorzystanie informacji w bieżącej

i   strategicznej   działalności   firmy,   jest   obecnie   jednym   z   podstawowych   problemów
zarządzania,   który   w   miarę   dokonywanego   postępu   technologicznego   ulega   zasadniczym
zmianom. Do niezbędnego minimum ograniczona zostaje rola intuicji w planowaniu
i   podejmowaniu   decyzji   natomiast   wprowadzane   do   zarządzania   firmą   zbiory  informacji,
umożliwiają   ścisłe,   szybkie   i   optymalne   sposoby  rozwiązywania   nurtujących   problemów.
Informacja stała się istotnym zasobem o znaczeniu gospodarczym, politycznym, itp., ważnym
nie tylko ze względu na jej wartość ale także dostępność i aktualność.
W   wieku   społeczeństwa   informacyjnego,   w   którym   komunikowanie   przy   pomocy
technicznych środków przekazu odbywa się w sposób błyskawiczny, współczesna firma musi
dbać   o   swoje   informacje,   gdyż   są   one   jednym  z   czynników   stanowiących   przewagę   nad
innymi   podmiotami.   Ochrona   informacji   staje   się   działaniem   organizacyjno-technicznym,
którego głównym celem jest kontrolowanie dostępu do danych, polegające na zarządzaniu
informacjami   oraz   zasobami   informatycznymi.   Zarządzanie   to   zwane   jest   często   polityką
bezpieczeństwa informacji [6].

Pojęcie informacji

Jedną z podstawowych idei wniesionych przez cybernetykę jest pogląd, że zamiast

tradycyjnego   obrazu   świata   złożonego   z   energii   i   materii,     pojawia   się   jeszcze   trzeci
składnik jakim jest informacja, albowiem bez informacji nie są do pomyślenia systemy
zorganizowane   [4].   W   literaturze   napotkać   można   wielorakie   określanie   informacji   w
zależności od potrzeb, którym mają one służyć.  Encyklopedia Powszechna  pod hasłem
informacja podaje, że termin ten oznacza w cybernetyce i teorii informacji każdy czynnik,
który ludzie, organizmy żywe lub urządzenia automatyczne mogą wykorzystać do bardziej
celowego działania.  Słownik Języka Polskiego  określa informacje jako powiadomienie o
czym,   zakomunikowanie   czego,   wiadomość,   możność   zakomunikowania,   nauczania.
Natomiast z punktu widzenia zarządzania bezpieczeństwem informacji wyróżnić należy
informację   niejawną,   która   to   wymaga   ochrony   przed   nieuprawnionym   ujawnieniem.
Informacja   stanowi   tajemnicę   państwową   lub   służbową,   niezależnie   od   formy   jej
wyrażania [13]. Wynika więc z tego, że może ona być utrwalona na piśmie, mikrofilmach,
negatywach,   fotografiach,   nośnikach   do   zapisu   w   postaci   cyfrowej,   czy   też   taśmach
elektromagnetycznych i może stanowić:

tajemnicę państwową – informacja niejawna, której nieuprawnione ujawnienie może
spowodować istotne zagrożenie dla podstawowych interesów Państwa, w szczególności
dla niepodległości, nienaruszalności terytorium, interesów obronności, bezpieczeństwa
państwa i obywateli, albo narazić te interesy na co najmniej znaczną szkodę,

tajemnicę służbową – informacja niejawna nie będąca tajemnicą państwową, uzyskana w
związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której

Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO

nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny
lub prawnie chroniony interes obywateli albo jednostki organizacyjnej.

Informacje niejawne zakwalifikowane jako stanowiące tajemnicę państwową oznacza się
klauzulą:
-

„ściśle tajne”  – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować
istotne   zagrożenie   dla   niepodległości,   nienaruszalności   terytorium   albo   polityki
zagranicznej, stosunków międzynarodowych, bądź też może  zagrozić nieodwracalnymi
lub dużymi stratami dla interesów obronności, bezpieczeństwa państwa i jego obywateli,

„tajne” – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować
zagrożenie dla międzynarodowej pozycji państwa, interesów obronności, bezpieczeństwa
państwa i obywateli bądź innych istotnych interesów państwa,

natomiast informacje stanowiące tajemnicę służbową mogą posiadać klauzulę:
-

„poufne” – w przypadku, gdy ich nieuprawnione ujawnienie powodowałoby szkodę dla
interesów państwa, interesu publicznego lub prawnie chronionego interesu obywateli,

„zastrzeżone” – w przypadku, gdy ich nieuprawnione ujawnienie mogłoby spowodować
szkodę dla prawnie chronionych interesów obywateli albo jednostki organizacyjnej.

Zasadnicza różnica między tajemnicą państwową a służbową dotyczy przede wszystkim
wykazu rodzajów wiadomości stanowiących tajemnicę państwową, który jest ustalany przez
ten organy administracji dla danego organu oraz wszystkich jednostek organizacyjnych mu
podporządkowanych. Natomiast wykaz rodzajów informacji objętych tajemnicą służbową jest
ustalany przez kierownika danej jednostki organizacyjnej i ma zastosowanie w tej jednostce
organizacyjnej.

Tajemnica firmy, podstawowe zagrożenia

Tajemnica firmy zaczyna funkcjonować z chwilą jej ustanowienia przez przedsiębiorcę.
Sfera tajemnicy może objąć takie informacje, które są znane  poszczególnym osobom lub
grupom ludzkim. Obszar ten nie może więc rozciągając się na informacje powszechnie
znane lub te, o których treści każdy zainteresowany może  się legalnie dowiedzieć [2].
Obowiązek zachowania tajemnicy przedsiębiorstwa nie może być dorozumiany, to znaczy,
że   pracownik   musi   być  o   tym   odpowiednio   wcześniej   uprzedzony.   Na   przedsiębiorcy
spoczywa obowiązek podjęcia odpowiednich działań organizacyjno-technicznych w celu
utrzymania danej informacji w tajemnicy.
Biorąc pod uwagę fakt, iż praktycznie każda firma posługuje się w bieżącej działalności
systemami   komputerowymi,   często   współpracującymi   z   siecią   Internetu,   zagrożenia
bezpieczeństwa posiadanych danych mogą wynikać ze strony zagrożeń software’owych
związanych   z   danymi   lub   oprogramowaniem   oraz   zagrożeń   hardware’wych,   które
obejmują zniszczenia samego sprzętu [1].

W ramach tej klasyfikacji możemy wyróżnić:

zagrożenia zewnętrzne, które wynikają ze szkodliwego wpływu otoczenia zewnętrznego,
typu niedoskonałości systemów zabezpieczeń zewnętrznych (drzwi, zamki, blokady, kody,
itp.) oraz ze strony środowiska naturalnego, w którym przebywa system komputerowy.
Niebezpieczeństwa środowiska naturalnego to przede wszystkim zakłócenia elektryczne,
wibracje, wilgoć, różnica temperatur, kurz, itp.

zagrożenia wewnętrzne, które wynikają ze świadomych lub nieświadomych poczynań
pracowników,

Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO

zagrożenia ze strony internetu i sieci komputerowych, które wynikają z chęci przejęcia
kontroli nad zasobami przez hackerów, przestępców, czy też zwykłych użytkowników.
Zagrożenia te mogą być związane:

 z uzyskaniem dostępu przez osoby nieupoważnione do danych transmitowanych

przez sieć lub przechowywanych na dołączonych do sieci komputerach,

 z uzyskaniem dostępu przez osoby nieupoważnione do innych zasobów, np. moc

obliczeniowa komputerowych,

 z uniemożliwieniem korzystania z niektórych usług,
 z utratą danych na skutek złośliwej ingerencji zewnętrznej,
 z fałszerstwa danych, itp.

Techniki jakimi można posłużyć się dla osiągnięcia któregoś z wymienionych celów opierają
się przede wszystkim na:
-

wadach protokołów sieciowych,

błędach w oprogramowaniu systemowym,

błędach administratora, użytkownika systemu.

Często w czasie transferu plików zdarza się, iż zawierają one dodatkowe podprogramy,
pozwalające na swobodny dostęp do zasobów komputera lub jego zniszczenie. Do najczęściej
spotykanych zalicza się:
-

robak (worm) – powiela się w komputerach w całej sieci. Niezliczona liczba kopii tego
programu powoduje przepełnienie pamięci, a w efekcie dezorganizację pracy całego
systemu,

wirus – najczęściej jest przenoszony przez różne aplikacje lub pliki. Jest nieszkodliwy,
póki nie zostanie uruchomiony, a kiedy to nastąpi zniekształca całe programy,

koń trojański – stwarza wrażenie użytecznego programu, będąc w rzeczywistości pułapką.
Uruchomiony przez określone słowo służy włamywaczowi do zdobywania informacji,

bomba logiczna – podprogram, który uruchamia się w określonym czasie i atakuje system
dokonując jego zniszczenia,

wrogi applet Javy – program będący podstawowym narzędziem programowania w
internecie, może zawierać w sobie podprogram o działaniu podobnym do konia
trojańskiego.

Mając więc na uwadze powyższe współczesna firma musi dbać o swoje informacje, a
zarządzanie na rzecz bezpieczeństwa informacyjnego musi objąć jak największy wachlarz
czynności, nie tylko zabezpieczeń administracyjnych, fizycznych, ale także technicznych. Jest
to spowodowane przede wszystkim potrzebą zabezpieczania wykorzystywanych w bieżącej
pracy systemów komputerowych, a tym samym ochroną zawartych w nich informacji [5].

Bezpieczeństwo informacji w sieciach teleinformatycznych

Jak już wspominano ze względu na coraz powszechniejsze stosowanie, szczególnej
ochronie podlegają systemy i sieci teleinformatyczne przetwarzające informacje niejawne.
Zobowiązuje to między innymi do opracowania szczegółowych wymagań bezpieczeństwa,
które między innymi powinny uwzględniać [15]:

charakterystykę systemu lub sieci teleinformatycznej,

dane o budowie systemu lub sieci teleinformatycznej,

Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO

określenie środków ochrony zapewniających bezpieczeństwo informacji niejawnych,
przetwarzanych w systemie lub sieci teleinformatycznej, przed możliwością narażenia ich
bezpieczeństwa, a w szczególności nieuprawnionym ujawnieniem,

zadania administratora systemu lub sieci teleinformatycznej i pracownika pionu ochrony.

Bezpieczeństwo teleinformatyczne zapewnia się przez [13]:

ochronę fizyczna,

ochronę elektromagnetyczna,

ochronę kryptograficzną,

bezpieczeństwo transmisji,

kontrolę dostępu do urządzeń systemu lub sieci teleinformatycznych.

Ochrona fizyczna systemu lub sieci teleinformatycznej realizowana jest poprzez:

umieszczenie urządzeń systemu lub sieci teleinformatycznych w strefach bezpieczeństwa
w zależności od:

 klauzuli tajności informacji niejawnych,
 ilości informacji niejawnych,
 zagrożeń w zakresie ujawnienia, utraty, modyfikacji przez osobę nieuprawnioną,

instalację środków zabezpieczających pomieszczenia, w których znajdują się urządzenia
systemu lub sieci teleinformatycznej, w szczególności przed:

 nieuprawnionym dostępem,
 podglądem,
 podsłuchem.

Czynności organizacyjne odnoszące się do polityki bezpieczeństwa informacji

Czynności organizacyjne dotyczą właściwego funkcjonowania firmy i systemu

informacyjnego poprzez stosowanie określonych instrukcji, procedur, upoważnień i
dokumentacji. Ważne jest aby kierownictwo oraz pracownicy firmy posiadali wiedzę na temat
unormowań prawnych regulujących ochronę informacji. Na osobą koordynującą działalność w
zakresie przepływu informacji niejawnych można powołać pełnomocnika, do zadań którego
należy przede wszystkim:
-

zapewnienie ochrony informacji niejawnych,

ochrona systemów i sieci teleinformatycznych,

zapewnienie ochrony fizycznej jednostki organizacyjnej,

kontrola ochrony informacji niejawnych oraz kontrola przestrzegania przepisów o
ochronie tych informacji,

okresowa kontrola ewidencji, materiałów i obiegu dokumentów,

opracowanie planu ochrony i nadzorowanie jego realizacji,

szkolenie pracowników w zakresie ochrony informacji.

W działaniach organizacyjnych wykorzystywane są usługi zabezpieczające, takie jak:
-

kontrola dostępu – możliwość ograniczenia i kontrolowania dostępu do informacji drogą
identyfikacji i uwierzytelnienia,

dyspozycyjność – zapewnienie uprawnionym osobom możliwości korzystania z zasobów
w każdej sytuacji,

Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO

uwierzytelnienie – zapewnienie autentyczności informacji i osób, zagwarantowanie, że
informacja pochodzi od takiego źródła, które jest przy niej wymienione lub też osoba jest
tą, za która się podaje,

poufność – jest gwarancją zabezpieczenia danych przesyłanych bądź przechowywanych
przed ich analizą przez osoby nieupoważnione,

nienaruszalność – zapewnienie, że dane przechowywane lub przesyłane nie ulegną
modyfikacji, tzn. tego, że informacja jest odbierana w takiej postaci w jakiej ją zachowano
lub w jakiej została wysłana,

niezaprzeczalność – gwarantuje brak możliwości zaprzeczenia faktowi wysłania lub
odebrania informacji. Za pomocą tej usługi można udowodnić pochodzenie danych.

Zabezpieczenia fizyczne

Jednostki organizacyjne, w których materiały zwierające informacje niejawne są
wytwarzane, przetwarzane, przekazywane lub przechowywane mają obowiązek stosowania
środków ochrony fizycznej w celu uniemożliwienia osobom nieupoważnionym dostępu do
takich informacji. Zakres stosowania środków ochrony fizycznej musi odpowiadać klauzuli
tajności i ilości informacji niejawnych, liczbie oraz poziomowi dostępu do takich
informacji zatrudnionych osób oraz uwzględniać wskazania stosownych służb ochrony. W
celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych, należy
w szczególności [13]:

wydzielić części obiektów, które poddane są szczegółowej kontroli wejść i wyjść oraz
kontroli przebywania (strefy bezpieczeństwa),

wydzielić wokół stref bezpieczeństwa stref administracyjnych służących do kontroli osób i
pojazdów,

wprowadzić   system   przepustek   lub   inny   system   określający   uprawnienia   do   wejścia,
przebywania   i   wyjścia   ze   strefy   bezpieczeństwa,   a   także   przechowywania   kluczy   do
pomieszczeń   chronionych,   szaf   pancernych   i   innych   pojemników   służących   do
przechowywania informacji niejawnych,

zapewnić kontrolę stref bezpieczeństwa i stref administracyjnych przez przeszkolonych
pracowników pionu ochrony,

stosować wyposażenie i urządzenia służące ochronie informacji niejawnych, którym na
podstawie o odrębnych przepisów przyznano certyfikaty lub świadectwa kwalifikacyjne.

Zabezpieczenia techniczne

Zabezpieczenia tego rodzaju obejmują działalność z wykorzystaniem narzędzi

technicznych   [3]   poza   tzw.   metodą   zagęszczonych   kół   koncentrycznych,  która   polega   na
kompleksowym   wykorzystaniu   w   jednym   układzie   trzech   różnych   metod   ochrony   przed
ingerencja   fizyczną   (ogrodzenie   budynku,   budynek,   ochraniarz   sprawdzający   tożsamość,
identyfikatory,   dostęp   do   pomieszczenia,   gdzie   przechowywane   są   informacje,   logo
użytkownika, hasło dostępu), stosowane są zabezpieczenia takie jak:

firewall (ściana ogniowa, zapora sieciowa) - to zapora pomiędzy siecią wewnętrzną
organizacji a dowolną siecią zewnętrzną. Jej zadaniem jest chronić sieć wewnętrzną przed
dostępem osób niepowołanych z sieci zewnętrznej poprzez filtrowanie przychodzących i
wychodzących danych, zapewnienie dostępu do określonych usług internetowych i
odrzucaniu usług niedopuszczonych przez administratora,

kontrola dostępu – weryfikuje tożsamość i autoryzację użytkowników systemu poprzez
autentyfikację (pozytywna identyfikację użytkownika w sieci), autoryzacje (potwierdzenie

Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO

praw dostępu do poszczególnych zasobów systemu, audyt (zbieranie informacji o dostępie
do zasobów systemu),

szyfrowanie – proces przekształcenia danych czytelnych na postać niezrozumiałą w taki
sposób, aby oryginalne dane można było uzyskać za pomocą procesu deszyfrowania,
posługując się odpowiednim kluczem szyfrowania,

monitoring  – stosowanie specjalnych programów, które czuwają nad bezpieczeństwem
sieci  poprzez  bieżącą analizę  ruchu w sieci i wpisów do logo, wykrywanie wtargnięć
intruzów   oraz   sporządzanie   szczegółowych   raportów   na   temat   bezpieczeństwa
sieciowego. Systemy obsługi incydentów pozwalają na precyzyjny opis prób wtargnięcia
i rekonfigurację sieci dla uniknięcia podobnych sytuacji w przyszłości.

Unormowania prawne regulujące zagadnienie bezpieczeństwa informacji
Ustawowe zabezpieczenia prawne ochrony informacji wywodzą się z przepisów:
-

Konstytucji Rzeczpospolitej Polskiej [7], w której to określone zostało:

 prawo do nieujawniania informacji dotyczących danej osoby,
 ograniczenie władz publicznych w prawie do pozyskiwania, gromadzenia

i udostępniania informacji o obywatelach do zakresu niezbędnego
w demokratycznym państwie prawa,

 prawo każdego do żądania sprostowania oraz usunięcia informacji

nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny
z funkcjonującymi unormowaniami.

Ustawy o ochronie informacji niejawnej [13], która ma zastosowanie do:

 organów władzy publicznej,
 Sił Zbrojnych Rzeczypospolitej Polskiej,
 Narodowego Banku Polskiego i banków państwowych,
 państwowych osób prawnych,
 przedsiębiorców, jednostek naukowych, jednostek naukowo-badawczych.

Ustawy o nieuczciwej konkurencji  [10], w której między innymi określono, że czynem
nieuczciwej   konkurencji   jest   przekazanie,   ujawnienie   lub   wykorzystanie   cudzych
informacji   stanowiących   tajemnice   przedsiębiorstwa   albo   ich   nabycie   od   osoby
nieuprawnionej.   Przez   tajemnicę   przedsiębiorstwa   należy   rozumieć   nie   ujawnione   do
wiadomości   publicznej   informacje   techniczne,   technologiczne,   handlowe   lub
organizacyjne przedsiębiorstwa, co do których przedsiębiorca podjął niezbędne działania
w celu zachowania ich poufności. Informacje te mogą między innymi dotyczyć wielkości
produkcji i sprzedaży, źródła zaopatrzenia i zbytu, itp.

W razie dokonania czynu nieuczciwej konkurencji, przedsiębiorca, którego zostały
naruszone interesy, może żądać:

 zaniechania niedozwolonych działań,
 usunięcia skutków niedozwolonych działań,
 naprawienia wyrządzonej szkody,
 wydanie bezpodstawnie uzyskanych korzyści.

Wykorzystanie przez pracownika we własnej działalności gospodarczej informacji, co do
których przedsiębiorca nie podjął niezbędnych działań w celu zachowania ich poufności,
traktuje się jako wykorzystanie powszechnej wiedzy, co do której przedsiębiorca nie ma
żadnych ustawowych uprawnień.

Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO

Ustawy o rachunkowości [11], w której to określono, że w obowiązku przedsiębiorcy jest
przechowywanie   w   należyty   sposób   i   chronienie   przed   niedozwolonymi   zmianami,
nieupoważnionym   rozpowszechnianiem,   uszkodzeniem   lub   zniszczeniem   wszelkiej
dokumentacji   rachunkowej.   Ochrona   ksiąg   rachunkowych   przy   użyciu   systemu
komputerowego powinna polegać na:

 stosowanie odpornych na zagrożenie nośników danych,
 doborze odpowiednich środków ochrony zewnętrznej,
 systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na

nośnikach magnetycznych,

 zapewnienie ochrony przed nieupoważnionym dostępem do programów

komputerowych.

Ustawy Kodeks Cywilny [8], w którym ujęto, że odpowiedzialność cywilna wynika ze
szkody wyrządzonej przedsiębiorcy. Jeśli przedsiębiorca podjął decyzję w stosunku do
jakich informacji należy zachować poufność, to w takim przypadku informacja traktowana
jest jako niematerialny składnik przedsiębiorstwa, który służy do realizacji określonych
zadań gospodarczych.

Ustawy   Kodeks   Karny  [12],     gdzie   ochronie   informacji   poświęcony   został   jeden   z
rozdziałów,   w   którym   to   określono   miedzy   innymi,   że   kto   wbrew   przepisom   lub
przyjętego na siebie zobowiązania, ujawnia lub wykorzystuje informacje, z którą zapoznał
się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną,
gospodarczą   lub   naukową   podlega   grzywnie,   karze   ograniczenia   albo   pozbawienia
wolności. Odpowiedzialność taka spoczywa również na osobie, która bez uprawnienia
uzyskuje informację dla niego nieprzeznaczoną lub osoba, która niszczy, uszkadza, usuwa
lub zmienia zapis istotnej informacji  bądź też w inny sposób udaremnia lub znacznie
utrudnia osobie uprawnionej zapoznanie się z informacją.

Ustawy Kodeks Spółek Handlowych [14], gdzie określono, że podlega pozbawieniu
wolności osoba, która biorąc udział w tworzeniu spółki handlowej, będąc członkiem jej
zarządu, rady nadzorczej, komisji rewizyjnej lub też będąc jej likwidatorem, działa na jej
szkodę.

Ustawa Kodeks Pracy [9], z której wynika, że pracownik ponosi odpowiedzialność
materialną, jeśli wskutek niewykonania lub nienależytego wykonania obowiązków
pracowniczych ze swej winy wyrządził pracodawcy szkodę.

Zarządzanie bezpieczeństwem informacyjnym

Jak już  wspominano, obecnie trudno wyobrazić sobie firmę, która nie wykorzystuje w
działalności   sieci komputerowych podłączonych do Internetu. Jednak działalności taka
pociąga za sobą szereg zagrożeń, na które przedsiębiorca musi zwracać uwagę w bieżącym
zarządzaniu firmą.  Co prawda nie ma polityki bezpieczeństwa informacji, która byłaby na
tyle uniwersalna, aby mogła się sprawdzić w każdej firmie. Jednak podejmowanie działań
mających   na   celu     identyfikacje   oraz   zapobieganie   zagrożeniom   informacyjnym,   w
znacznym   stopniu   ułatwia   wybór   stosownych   zabezpieczeń,   przy   których   należy   się
kierować ograniczeniami [6]:

finansowymi – koszt zabezpieczeń nie może przewyższać kosztów chronionego zasobu,

technicznymi – nie w każdym przypadku możliwe jest użycie optymalnych rozwiązań
technicznych,

organizacyjnymi – nie zawsze jest możliwe wdrożenie zabezpieczenia ze względu na
przyjęte struktury organizacyjne oraz brak personelu spełniającego wymagania,

socjologicznymi – rozwiązania optymalne mogą być nieakceptowane przez personel,

Wyższa Szkoła Zarządzania Ochroną Pracy w Katowicach
I Konferencja Naukowa BEZPIECZEŃSTWO PRACY – EDUKACJA - ŚRODOWISKO

środowiskowymi – otocznie zewnętrzne i wewnętrzne może nie zezwolić na zastosowanie
wybranych zabezpieczeń.

Planując politykę bezpieczeństwa informacji należy przede wszystkim uwzględniać:

wartość i ilość posiadanych zasobów informacji podlegających ochronie,

źródło agresji,

możliwości techniczne, organizacyjne i finansowe agresora,

liczbę uprawnionych osób do dostępu do informacji,

wskazania stosownych służb.

Bardzo istotne znaczenie mają również nakłady poniesione na zapewnienie
bezpieczeństwa. Należy je porównać z ewentualnymi stratami będącymi skutkiem utraty
informacji, kierując się zasadami, do których można zaliczyć:

zabezpieczenia niepełnego, które powoduje poniesienie większych kosztów, a najsłabszy
element systemu decyduje o poziomie bezpieczeństwa,

zabezpieczenia dostosowanego do warunków danej firmy, które jednak może być droższe
od zabezpieczeń standardowych,

zapewnienie kompatybilności ochrony technicznej, fizycznej i organizacyjnej,

wyszkolenie personelu w zakresie probezpiecznych zachowań jako element niezbędny do
poprawnego funkcjonowania przyjętego systemu zabezpieczeń,

zabezpieczenia pełne, które zwiększają utrudnienia, jednak i tak   nie dają całkowitego
bezpieczeństwa.   Zawsze   należy   rozważyć   rezygnację   z   jakiegoś   elementu   systemu,
podejmując ryzyko osiągnięcia zysku ale i poniesienia strat. Ograniczenia są możliwe
poprzez   zarządzanie   ryzykiem,   definiowane   często   jako   identyfikacja,   mierzenie,
sterowanie   i   kontrolowanie   w   celu   maksymalnego   ograniczenia     skutków   zdarzeń
niepożądanych. Większa ilość ważnych i użytecznych informacji zmniejsza nasze ryzyko,
dając nam możliwość osiągnięcia lepszych wyników, ale jest to już temat do odrębnej
dyskusji.

Literatura

1. Ahuja V.: Bezpieczeństwo w sieciach, wydawnictwo Mikom, Warszawa 1997.
2. Bogdański T.: Tajemnica przedsiębiorstwa – zagadnienia konstruktywne, Magazyn

Prawniczy, 1977/6/228.

3. Kutyłowski M., Strothmann W.: Teoria i praktyka zabezpieczenia systemów

komputerowych, Wydawnictwo Read Me, Warszawa 1998.

4. O’Shaughnessy J.: Organizacja i zarządzanie w przedsiębiorstwie (tłum. z języka

angielskiego ), PWN Warszawa 1972.

5. Stallings W.: Ochrona danych w sieci i internecie, Wydawnictwo Naukowo-

Techniczne, Warszawa 1997.

6. Tyrała P.: Zarządzanie kryzysowe. Ryzyko-Bezpieczeństwo-Obronność,

Wydawnictwo Adam Marszałek, Toruń 2001.

Akty prawne

7. Konstytucja Rzeczpospolitej Polskiej z dnia 2.04.1997r. (Dz. U. nr 78, poz. 483).
8. Ustawa z dnia 23.04.1964r. Kodeks cywilny (Dz. U. nr 16, poz. 93).
9. Ustawa z dnia 26.06.1974r. Kodeks Pracy (Dz. U. nr 24, poz. 141).
10. Ustawa z dnia 16.04.1993r. o zwalczaniu nieuczciwej konkurencji (Dz. U. nr 47, poz.

211).