cyberbezpieczeństwo administracji publicznej w polsce

Seediscussions,stats,andauthorprofilesforthispublicationat:https://www.researchgate.net/publication/301204372

CyberbezpieczeństwoadministracjipublicznejwPolsce.Wybranezagadnienia

Book·April2016

READS

8

2authors,including:

MaciejSzmit

Lookingforopportunities

61PUBLICATIONS44CITATIONS

SEEPROFILE

Availablefrom:MaciejSzmit

Retrievedon:12April2016

https://www.researchgate.net/publication/301204372_Cyberbezpieczenstwo_administracji_publicznej_w_Polsce_Wybrane_zagadnienia?enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg%3D%3D&el=1_x_2

https://www.researchgate.net/publication/301204372_Cyberbezpieczenstwo_administracji_publicznej_w_Polsce_Wybrane_zagadnienia?enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg%3D%3D&el=1_x_3

https://www.researchgate.net/?enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg%3D%3D&el=1_x_1

https://www.researchgate.net/profile/Maciej_Szmit?enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg%3D%3D&el=1_x_4



Dominika LISIAK-FELICKA Maciej SZMIT

CYBERBEZPIECZEŃSTWO ADMINISTRACJI PUBLICZNEJ W POLSCE

Wybrane zagadnienia

EUROPEAN ASSOCIATION for SECURITY KRAKÓW 2016

ISBN 978-83-61645-18-4

Praca ta objęta jest licencją Creative Commons Uznanie Autorstwa

3.0 Polska. Aby zapoznać się z kopią licencji, należy odwiedzić stronę https://creativecommons.org/licenses/by/3.0/pl/ lub wysłać e-mail do Creative Commons na adres [email protected].

CC BY 3.0 PL Lisiak-Felicka Dominika, Szmit Maciej 2016

Recenzenci: Prof. Ing. Ladislav Hofreiter, CSc., Žilinská Univerzita v Žiline Dr hab. inż. Leszek F. Korzeniowski, prof. Uniwersytetu Ekonomicznego w Krakowie Assoc. Prof. Mgr. Roman Jašek, Ph.D., Univerzita Tomáše Bati ve Zlíně

Redakcja: Dorota Zygmunt

Projekt okładki: Aleksandra Jaworowska

Wydawca: EUROPEAN ASSOCIATION for SECURITY 31-571 Kraków, al. Jana Pawła II 78 e-mail: [email protected] http://www.eas.info.pl

Druk i oprawa: AMS Grafix 30-731 Kraków ul. płk. Dąbka 16A tel. 691-20-42-43 e-mail: [email protected]

3

SPIS TREŚCI:

Spis treści: ......................................................................................... 3 Wstęp................................................................................................. 7 1 Cyberbezpieczeństwo jako przedmiot badań ....................... 15 1.1 Safety & security..................................................................... 15 1.2 Uwagi o naukach o bezpieczeństwie ........................................ 19 1.3 Informacja i informatyka ......................................................... 25 1.4 Pojęcia „analogowy” i „cyfrowy” ............................................ 30 1.5 Bezpieczeństwo informacji – podstawowe definicje

normatywne ............................................................................ 31 1.6 Naruszanie bezpieczeństwa informacji – podstawowe

definicje normatywne .............................................................. 36 1.7 Anonimowość, pseudoanonimowość, prywatność.................... 39 1.8 Atrybuty bezpieczeństwa a procesy bezpieczeństwa ................ 43 1.9 Przykłady definicji legalnych................................................... 45 1.10 Cybernetyka, cyberprzestrzeń i cyberbezpieczeństwo .............. 48 2 Systemy zarządzania bezpieczeństwem informacji

w administracji publicznej w Polsce ..................................... 55 2.1 Charakterystyka administracji publicznej................................. 55 2.2 Systemy zarządzania bezpieczeństwem informacji................... 62 2.3 Bezpieczeństwo informacji w urzędach administracji

publicznej................................................................................ 68 2.4 Cel i metoda badań.................................................................. 71 3 Wyniki badań ........................................................................ 73 3.1 Systemy zarządzania bezpieczeństwem informacji

w administracji publicznej ....................................................... 73 3.1.1 Urzędy wojewódzkie...................................................... 73 3.1.2 Urzędy marszałkowskie ................................................. 74 3.1.3 Starostwa powiatowe i urzędy miast na prawach

powiatu.......................................................................... 76 3.1.4 Urzędy gmin .................................................................. 78

3.2 Opracowanie i certyfikacja systemu zarządzania bezpieczeństwem informacji.................................................... 80 3.2.1 Urzędy wojewódzkie...................................................... 80 3.2.2 Urzędy marszałkowskie ................................................. 81 3.2.3 Starostwa powiatowe i urzędy miast na prawach


4

3.3 Główne problemy i czynniki sukcesu wdrożenia systemu zarządzana bezpieczeństwem informacji .................................... 85 3.3.1 Urzędy wojewódzkie........................................................ 85 3.3.2 Urzędy marszałkowskie ................................................... 88 3.3.3 Starostwa powiatowe i urzędy miast na prawach

powiatu............................................................................ 92 3.3.4 Urzędy gmin .................................................................... 96

3.4 Dokumentacja bezpieczeństwa informacji ................................100 3.4.1 Urzędy wojewódzkie.......................................................100 3.4.2 Urzędy marszałkowskie ..................................................100 3.4.3 Starostwa powiatowe i urzędy miast na prawach

powiatu...........................................................................100 3.4.4 Urzędy gmin .................................................................. 101

3.5 Metody zabezpieczeń .............................................................. 102 3.5.1 Urzędy wojewódzkie...................................................... 102 3.5.2 Urzędy marszałkowskie ................................................. 103 3.5.3 Starostwa powiatowe i urzędy miast na prawach


3.6 Zarządzanie incydentami związanymi z bezpieczeństwem informacji................................................................................ 108 3.6.1 Urzędy wojewódzkie...................................................... 110 3.6.2 Urzędy marszałkowskie ................................................. 111 3.6.3 Starostwa powiatowe i urzędy miast na prawach


3.7 Szkolenia z zakresu bezpieczeństwa informacji ....................... 120 3.7.1 Urzędy wojewódzkie...................................................... 120 3.7.2 Urzędy marszałkowskie .................................................120 3.7.3 Starostwa powiatowe i urzędy miast na prawach

powiatu..........................................................................121 3.7.4 Urzędy gmin ..................................................................124

3.8 Inne systemy zarządzania ........................................................ 127 3.8.1 Urzędy wojewódzkie...................................................... 127 3.8.2 Urzędy marszałkowskie .................................................127 3.8.3 Starostwa powiatowe i urzędy miast na prawach

powiatu..........................................................................128 3.8.4 Urzędy gmin ..................................................................128

3.9 Samoocena poziomu bezpieczeństwa.......................................129 3.9.1 Urzędy wojewódzkie...................................................... 129 3.9.2 Urzędy marszałkowskie .................................................129

5

3.9.3 Starostwa powiatowe i urzędy miast na prawach powiatu..........................................................................130

3.9.4 Urzędy gmin ..................................................................130 Zakończenie ....................................................................................131 Bibliografia .....................................................................................137 Załączniki........................................................................................151 Załącznik 1 - Kwestionariusz ankiety................................................151 Załącznik 2 - Charakterystyka dokumentacji .................................... 164 Urzędy wojewódzkie ....................................................................... 164 Urzędy marszałkowskie ................................................................... 168 Starostwa powiatowe i urzędy miast na prawach powiatu................. 174 Urzędy gmin .................................................................................... 194 Załącznik 3 - Wykaz skrótów........................................................... 218

WSTĘP Monumentalny Handbook of Information Security wydany w 2005 r.

przez wydawnictwo Willey liczy sobie 3366 stron zebranych w trzech

tomach, przygotowanych i recenzowanych przy udziale ponad tysiąca

ekspertów i – już w chwili swojego wydania – zawierał informacje

nieaktualne, nie wyczerpywał też całości problematyki. Ilość informacji

dotyczących bezpieczeństwa jest zresztą niezwykle duża, szczególnie

w zakresie informacji technicznych: codziennie odkrywane jest

kilkanaście podatności w różnych produktach informatycznych1,

codziennie powstaje też co najmniej kilka tysięcy różnych złośliwych

7

15

1. CYBERBEZPIECZEŃSTWO JAKO

PRZEDMIOT BADAŃ

1.1 SAFETY & SECURITY17

W języku angielskim istnieją dwa słowa określające bezpieczeństwo: safety i security. Pierwsze z nich używane jest często w odniesieniu do bezpieczeństwa osób i zabezpieczenia ich podstawowych potrzeb życiowych, drugie – bezpieczeństwu zasobów (w szczególności w odniesieniu do aspektów ekonomicznych, zarządczych a także technicznych, w tym informatycznych18), przede wszystkim w aspekcie potencjalnych zagrożeń spowodowanych celową działalnością człowieka19. Słowo „safety”, pochodzi od wyrażenia „to be safe”. Samo słowo „safe” ma źródłosłów łaciński – „salvus” (zdrowy, cały), a do angielskiego weszło przez francuskie „sauf”, „sauve” (ocalony, uratowany). W języku polskim od łacińskiego słowa „salvus” pochodzi staropolskie „salwować” (ratować, wybawić, ocalać), używane jeszcze 17 Wykorzystano fragmenty artykułu Szmit A., Szmit M., Bezpieczeństwo, cyberbezpieczeństwo, ryzyko w bezpieczeństwie informacji – próba uporządkowania pojęć [w:] Natura i uwarunkowania ryzyka, pod red. Staniec I., Łódź 2014. 18 Por. np.: Liderman K., O pomiarach bezpieczeństwa teleinformatycznego, „Diagnostyka” Nr 42/006; Korzeniowski L. F., Securitologia. Nauka o bezpieczeństwie człowieka i organizacji społecznych, Kraków 2008 s. 71 i n.; Korzeniowski L. F., Podstawy nauk…, op. cit., s. 75 i n.; Szmit M., O nauczaniu o bezpieczeństwie informacji. Wybrane problemy [w:] Edukacja bez barier, Zaborze 2011. 19 „Safety“ interpretuje się również czasami jako bezpieczeństwo od zagrożeń losowych i naturalnych, a „security“ – od działań intencjonalnych, np. włamań. (zob. np.: Albrechtsen E., Security vs safety, Norwegian University of Science and Technology Department of Industrial Economics and Technology Management, dostępny na: http://www.iot.ntnu.no/users/albrecht/rapporter/notat%20safety%20v%20security.pdf), w obrębie nauk technicznych używa się czasami terminu „inżynieria zabezpieczeń” (ang. security enginnering) – zob. np.: Anderson R., Inżynieria zabezpieczeń, Warszawa 2005, bądź „inżynieria bezpieczeństwa” (ang. safety engineering) – zob. np.: Pihowicz W., Inżynieria bezpieczeństwa technicznego. Problematyka podstawowa, Warszawa 2008. Głębsza dyskusja tych pojęć wykracza poza tematykę tego opracowania, tym bardziej, że język angielski bywa interpretowany różnie w różnych krajach. Dla przykładu oba pojęcia występują w nazwie United Nations Department for Safety and Security. W wielu językach „bezpieczeństwo” jest oddawane przez jedno słowo (np. niemieckie „Sicherheit“, norweskie „sikkerhet“).

16

czasem w archaicznym związku frazeologicznym „salwować się ucieczką” oraz – poprzez „Salvator” („Zbawiciel”) - słowach takich jak „salwatorianie” (członkowie zgromadzenia zakonnego Towarzystwa Boskiego Zbawiciela), „salwator” (osiedle w Krakowie) czy Salwador (Republika Salwadoru – państwo w Ameryce Środkowej), natomiast późniejsze angielskie „safe” – w słowie „sejf” (miejsce bezpiecznego przechowywania kosztowności).

Drugie znaczenie w języku angielskim oddaje słowo „security” pochodzące od łacińskiego „securitas”, które pochodzi od przymiotnika „secura” (bezpieczny)20 będącego zrostem dwóch wyrazów: „se” – oznaczającego oddzielnie, osobno (lub „sine” oznaczającym „bez”) oraz „cura” – troska, staranie, dbałość o coś lub o kogoś, opieka, piecza21 (czeskie „péče”), jak w wyrażeniu sine cura vivere22 – żyć bez troski23 i obawy. 20 W pracy Concept Presentation (16th july 2008, St Michielskerk Leuven) of the article From Homer to Hobbes and Beyond – Aspects of ‘Security’ in European Thought, dostępny na: http://www.afes-press-books.de/pdf/Hexagon_3/Arends_IPRA.pdf, Autor pisze, że „Securitas” (które to słowo w sformułowaniach „Securitas Augusti”, „Securitas Caesaris” pojawiło się na monetach rzymskich za czasów Nerona) w starożytnym Rzymie mogło być pochwałą Cezara Augusta (jako tego, który zapewnił Rzymianom spokój i beztroskę), ewentualnie, że mogło być wyrazem megalomanii Nerona, który uznawał się za równego bogom (a więc wolnego od wszelkich trosk). Jak pisze Autor:

„Kilka pokoleń później historyk Tacyt (ok. 56-115 A.D.) odwoływał się do antagonizmu – brzmiącego znajomo dla uszu współczesnych – pomiędzy starą republikańską ideą wolności (libertas) i nową wartością cesarstwa – Securitas. Dla Rzymian w końcu pierwszego stulecia po Chrystusie «Securitas» stało się kluczowym pojęciem dla opisania Pax Romana rozumianego jako bezpieczeństwo życia publicznego i prywatnego pod opieką cesarzy”.

21 We współczesnej polszczyźnie „piecza” pozostaje w użyciu praktycznie wyłącznie w języku prawnym, np. w ustawie z 25.2.1964 r. Kodeks rodzinny i opiekuńczy (t. jedn.: Dz.U. z 2015 r., poz. 583) art. 95.§ 1.: „Władza rodzicielska obejmuje w szczególności obowiązek i prawo rodziców do wykonywania pieczy nad osobą i majątkiem dziecka oraz do wychowania dziecka, z poszanowaniem jego godności i praw". 22 Stąd słowo „synekura” pierwotnie oznaczające prebendę – beneficjum kościelne niepołączone ze sprawowaniem opieki duszpasterskiej (bez konieczności dbałości o dusze [wiernych] – sine cura animarum). 23 Słowo „troska” ma współcześnie trzy znaczenia:

1. «uczucie niepokoju wywołane trudną sytuacją lub przewidywaniem takiej sytuacji»; 2. «sytuacja, w której doznajemy takiego uczucia»; 3. «dbałość o kogoś, o coś lub zabieganie o coś»

(zob.: sjp.pwn.pl),przy czym pojęcie „beztroska” jest używane raczej w odniesieniu do dwóch pierwszych (brak uczucia niepokoju), a rzadziej – w znaczeniu braku dbałości:

1. «brak trosk, wesoły nastrój», 2. «brak dbałości o coś, nieprzejmowanie się niczym»

(zob.: sjp.pwn.pl).

17

Polskie słowo „bezpieczny”24 (w staropolszczyźnie „przezpieczny”, „przespieczny”25) jest dosłownym tłumaczeniem łacińskiego zrostu „secura”, przy czym słowo to używane było początkowo w znaczeniu odpowiadającemu współczesnemu słowu „beztroski” (wtórnie: nieostro-żny, lekkomyślny, niedbały i pewny siebie, odważny)26. Zakres tego przymiotnika stopniowo się rozszerzał aż do znaczenia współczesnego.

24 Podobnie np. słowackie „bezpečný”. Zob. np.: Škvrnda F.: Vybrané sociologické otázky charakteristiky bezpečnosti v súčasnom svete [w:] Čukan K., Mládež a armada, Bratislava 2005; Hofreiter L., Securitológia, Liptovský Mikuláš: Akadémia ozbrojených síl gen. M.R. Štefánika 2006; Korzeniowski L. F., Securitologia na początku XXI wieku, „Securitologia” Nr 6/2007. Podobny źródłosłów występuje w szeregu języków europejskich (angielskie secure, czeskie bezpečný, portugalskie seguro, baskijskie segurua itd.). 25 Zob. np. piętnastowieczny przekład hymnu „Ave maris stella” [w:] Maciejowski W.A., Piśmiennictwo polskie od czasów najdawniejszych aż do roku 1830, T. 3, Warszawa 1852, s. 142 (zob. np.: staropolska poezja religijna, dostępna na: http://staropolska.pl/sredniowiecze/poezja_religijna/zdrowas_gwiazdo_morska.html) czy również tekst piętnastowiecznej „Rozmowy mistrza Polikarpa ze śmiercią” (zob.: staropolska poezja świecka, dostępna na: http://staropolska.pl/sredniowiecze/poezja_swiecka/dialog_03.html). 26 Za Wyrwas K., http://www.fil.us.edu.pl/ijp/poradnia/baza_archiwum.php?POZYCJA= 100&AKCJA=&TEMAT=Etymologia&NZP=&WYRAZ= Poradnia Językowa Uniwer-sytetu Śląskiego – etymologia słowa „bezpieczny“. Autorka powołuje się na Słownik języka polskiego PWN pod red. W. Doroszewskiego, który odnotowuje – przestarzałe już w XX w. – znaczenie „nie troszczący się o kogo albo o coś spokojny, pewny”, wraz z przykładem z „Potopu” H. Sienkiewicza „O żonę i dziatki będę bezpieczny, bo puszcza najlepsza to w świecie forteca”. Warto zwrócić uwagę, że w języku współczesnym słowo „bezpieczny” brzmi nieco paradoksalnie, kojarzy się bowiem raczej przedmiotowo – z czymś pozostawionym bez opieki (pieczy), a więc pozbawionym ochrony, bezpieczeństwa, niż podmiotowo – z przyjemnym stanem braku konieczności troszczenia się o coś (por. np.: Korzeniowski L. F., Podstawy nauk…, op. cit.). Dodatkową trudność może tu sprawiać w ten właśnie sposób funkcjonująca para antonimów w języku rosyjskim i serbskim: опасный (niebezpieczny)- безопасный (bezpieczny), pochodzących od „опас” (ryzyko, zagrożenie). Współcześnie nie używa się pojęcia „być bezpiecznym" nie z miejscownikiem, ale wyłącznie bądź to przedmiotowo (jakieś zjawisko jest bezpieczne, ktoś jest bezpieczny), ewentualnie z dopełniaczem (jakieś zjawisko jest bezpieczne dla kogoś), w tym sensie „być bezpiecznym” nie oznacza już „nie musieć komuś zapewniać opieki”, ale „być wolnym od zagrożeń”. Stąd nieco paradoksalne brzmienie zdania, że czyjś podopieczny jest bezpieczny (ktoś ma nad nim pieczę, a on nie musi się o nikogo troszczyć).

18

Pojęcie „bezpieczeństwo” współcześnie odnosi się przede wszystkim do bezpieczeństwa człowieka, jego życia, potrzeb, praw, wartości. Wtórnie przymiotnikiem „bezpieczny” określa się taki stan rzeczy, który nie stwarza niebezpieczeństwa bądź przed niebezpieczeństwem chroni. Słownik Języka Polskiego27 podaje dwa znaczenia słowa „bezpieczny”:

1. «taki, któremu nic nie grozi»; 2. «niczym niezagrażający, chroniący przed niebezpieczeństwem».

L. Korzeniowski28 określa zakres znaczeniowy pojęcia „bezpieczeń-stwo” odwołując się do trzech atrybutów: podmiotu, obiektywnego stanu (to jest sytuacji występowania bądź niewystępowania zagrożeń, niezależnie od świadomości podmiotu bądź obserwatora) oraz subie-ktywnego odczucia i, ze względu na rodzaj zagrożonych podmiotów (bezpieczeństwo kogo? czego?) wyróżnia:

• bezpieczeństwo jednostki lub grupy (człowieka, małej grupy, społeczeństwa, ludzkości);

• bezpieczeństwo rzeczy (budynku, mostu itp.); • bezpieczeństwo pieniędzy (kasy, finansów itp.); • bezpieczeństwo informacji (danych, korespondencji, listu itp.).

opatrując to ostatnie komentarzem „Zagadnienie bezpieczeństwa informacji to zagadnienie ich ochrony przed zagrożeniami” 29.

Szersze omówienie pochodzenia wyrazu „bezpieczeństwo” znaleźć można np. w artykułach: Popowska-Taborska H., Dlaczego pol. bezpieczny nie znaczy ‘niebezpieczny’?, „Acta Universitatis Wratislaviensis” No 3578, Savica Wratislaviensis CLIX, Wrocław 2014 i Krótki Z., Polskie leksemy o rdzeniu piecz-/piek- pochodne od piec się, „Poznańskie Studia Polonistyczne“, Seria Językoznawcza vol. 22 (42), Nr 2. Autorki zgodnie wywodzą „bezpieczeństwo” od czasownika piec się ‘palić, martwić się’ i od prasłowiańskiego czasownika pekti i rdzenia *pek-, obecnego w opisach stanów pierwotnie związanych z uczuciem gorąca (pieczenia), a wtórnie – w opisach stanów związanych z emocjami psychicznymi (zapiekły, pieklić się), a także staropolskie „pieczliwy” – zaniepokojony, zatroskany – (z tego samego rdzenia wywodzi się wyraz „piekło”), jakkolwiek zauważają, że już w XVI w. treścią słowa „piecza” była opieka, troska, znacznie rzadziej – uwaga, zapobiegliwość („mieć coś na pieczy”, strzec się). Zrost pochodzący od wyrażenia przyimkowego „bez pieczy” pojawił się – według Krótki Z., Polskie leksemy…, op. cit.– za pośrednictwem przekładów z języka czeskiego, przy czym Autorka słusznie zauważa, że nie odnotowano żadnego tekstu, w którym wyraz ten charakteryzowałby osobę pozostającą bez opieki (zaniedbaną, samotną), natomiast pojawiło się znacznie odpowiadające współczesnej beztrosce (w tym czasownik „bezpiecznieć” – stawać się beztroskim). Jako wyjątek Autorka przywołuje wyraz „bezpiecznik”, który w XVI w. oznaczał osobę zarozumiałą, która nie czując się zagraża jakimkolwiek niebezpieczeństwo, zachowuje się wyniośle. 27 Zob.: sjp.pwn.pl. 28 Korzeniowski L. F., Podstawy nauk…, op. cit. 29 Ibidem, s. 77.

19

1.2 UWAGI O NAUKACH O BEZPIECZEŃSTWIE

Zakres pojęciowy słowa „bezpieczeństwo” jest – jak widać z zamieszczonych powyżej rozważań – bardzo szeroki, przynajmniej w znaczeniu potocznym. Powoduje to co najmniej dwa problemy:

• po pierwsze, konieczne jest rozróżnienie subiektywnego poczucia bezpieczeństwa oraz obiektywnego stanu braku realnych zagrożeń;

• po drugie, istnieje wtóre silna tendencja do utożsamiania pojęcia bezpieczeństwa (w szczególności bezpieczeństwa narodowego) z bezpieczeństwem państwa30, a węziej – jego organów, czy

30 Korzeniowski L. F. [w:] Korzeniowski L. F., Securitologia. Nauka o bezpieczeństwie człowieka…, op. cit., s. 50 cytuje (z słusznie krytycznym komentarzem dotyczącym konfliktu wartościowań) komentarz T. Bojarskiego do Kodeksu Karnego z 1997 r.: „Sądzę, że nie powinna być kwestionowana pierwszoplanowa pozycja ochrony Państwa Polskiego w części szczególnej kodeksu. Ochrona tej wartości dotyczy wspólnoty w postaci państwa jako organizacji narodu, społeczeństwa i stanowi logiczne prius w stosunku do ochrony wszystkich pozostałych wartości. Przyznanie tej ochronie pierwszeństwa jest po prostu naturalne. Każdy człowiek rodzi się jako członek ogólnoludzkiej wspólnoty i to daje pierwszeństwo ochronie rodzaju ludzkiego (a więc przestępstwa przeciwko ludzkości). Jednocześnie rodzi się jako członek wspólnoty narodowej, co stawia ochronę państwa (narodu) bezpośrednio na drugim miejscu”, zob.: Bojarski T., Przestępstwa przeciwko państwu. Uwagi na tle kodeksu karnego [w:] Prace ofiarowane Profesor Oktawii Górniok. Katowice 1996 s. 33. Krytykę tę można rozszerzyć: przede wszystkim czym innym jest „rodzaj ludzki” (gatunek homo sapiens) a czym innym ludzkość (zespół wszystkich indywidualnych ludzi), przestępstwa przeciwko ludzkości nie są bynajmniej kategorią obejmującą wyłącznie czyny, w których poszkodowanym są wszyscy ludzie (ani tym bardziej gatunek ludzki), ani nawet pojedyncze narody; można urodzić się jako apatyda, a więc osoba bez przynależności państwowej i wreszcie – choć z prawniczego punktu widzenia rola państwa jest nie do przecenienia – obowiązki człowieka wobec innych ludzi i ich grup są wtórne wobec jego obowiązków względem siebie samego. Jak pisze Bocheński I.: „Od czasów A. Comte’a rozpowszechniony jest zabobon głoszący, że człowiek nie ma prawa dbać w pierwszym rzędzie o samego siebie, że powinien zawsze i wszędzie dawać pierwszeństwo innym, a zwłaszcza ludzkości. […] Zdrowy rozsądek twierdzi, że prawda jest wręcz odwrotna […] Sądzi mianowicie, że człowiek ma także potrzeby społeczne, że powinien zatem dbać także o innych - w pewnych warunkach nawet poświęcić się za nich – ale że jego obowiązki wobec innych opierają się ostatecznie na obowiązkach wobec samego siebie. Spełnienie tych obowiązków nie jest więc nie tylko niczym złym, ale przeciwnie, podstawowym obowiązkiem moralnym. Bo obowiązki wobec innych oparte są na ich częściowej tożsamości z nami. Tak np. największe obowiązki mają rodzice wobec dzieci, bo te są im najbliższe, są częścią ich samych. Kto więc odmawia człowiekowi prawa do zabiegania w pierwszym rzędzie o siebie, podrywa tym samym podstawę wszystkich obowiązków wobec innych.[…]” (zob.: Bocheński I., Sto zabobonów. Krótki filozoficzny słownik zabobonów, Kraków 1994, dostępne na:

20

wreszcie – osób sprawujących władzę i z, mniej lub bardziej ścisłą, kontrolą społeczeństwa, co sprawia, że pojęcie „bezpieczeństwa” nabiera negatywnych, a czasami wręcz zło-wrogich konotacji, szczególnie wśród społeczeństw rządzonych w sposób despotyczny31,

W odniesieniu do pierwszej kwestii można rozpatrywać wszystkie cztery logicznie możliwe sytuacje określające obiektywny stan bezpieczeństwa i subiektywne poczucie jego zaistnienia: 1. bezpieczny w sensie obiektywnym i subiektywnym; 2. bezpieczny obiektywnie, ale subiektywnie nie mający poczucia bezpieczeństwa; 3. obiektywnie znajdujący się w niebezpieczeństwie, ale nie posiadający subiektywnego poczucia tego stanu; 4. obiektywnie znajdujący się w niebezpieczeństwie i odczuwający subiektywne poczucie niebezpieczeństwa32. Oczywiście – z punktu widzenia osoby racjonalnej – pożądane byłyby sytuacje, (1) oraz (4), w których subiektywne poczucie bezpieczeństwa odpowiada stanowi rzeczywistemu (a więc podmiot trafnie rozpoznaje bezpieczeństwo

http://100-zabobonow.blogspot.com). Jak się wydaje dawanie z zasady pierwszeństwa interesowi „społecznemu” czy „narodowemu” nader często jest pretekstem służącym do umotywowania ochrony nie tyle społeczeństwa, co interesów konkretnego władcy, czy jego urzędników, niejednokrotnie wbrew rzeczywistym interesom społecznym. Zagrożenia płynące z preferowania bezpieczeństwa państwa nad bezpieczeństwo indywidualne wskazywali w przeszłości liczni myśliciele, np. S. Staszic w opracowaniu z 1790 r. (Staszic S., Przestrogi dla Polski z teraznieyszych politycznych Europy związkow y z praw natury wypadaiące. Wolne Lektury, dostępne na: http://wolnelektury. pl/media/book/pdf/przestrogi-dla-polski.pdf, s. 12): „Obrona wewnętrzna praw obywatela przeciwko obywatelowi tak być urządzoną powinna, aby nigdy ukazać się nie mogła groźną towarzystwa wolności, a ukazywała się zawsze tak groźną obywatelowi każdemu, aby skrzywdzony za samym ukazaniem wyroku sądu odbierał nadgrodę, swoją własność i pokój […] Taka obrona, która, od mocy całego narodu silniejszą stając się, może być użytą na niewolę tegoż narodu, której utrzymywanie nie cierpi wolności człowieka, odbiera mu koniecznie własność osobistą i niszczy własność gruntową, po których naruszeniu nie ma już czego bronić, — taka, mówię, obrona nie może być czym innym, tylko narzędziem gwałtu, a obroną tyraństwa”. Warto na marginesie zauważyć, że argumentów tych używał Staszic S. w kontekście sprzeciwu wobec projektu powołania silnej armii zaciężnej podległej królowi (w opozycji do – pochwalanych przezeń – tradycyjnych mechanizmów obrony kraju przez jego obywateli). 31 Skrajnym przykładem jest użycie w krajach totalitarnych rozmaitych służb mających „bezpieczeństwo” w nazwie – a więc przynajmniej deklaratywne zajmujących się zapewnianiem bezpieczeństwa – jako narzędzi terroru, jak miało to miejsce w przypadku organizacji takich jak Комитет Государственной Безопасности СССР (Komitet Bezpieczeństwa Państwowego przy Radzie Ministrów ZSRS), czy rumuński Departamentul Securităţii Statului (Departament Bezpieczeństwa Państwowego), a w szczególności Trupele di Securitate (oddziały bezpieczeństwa) znane z krwawego tłumienia demonstracji podczas upadku rządów Nicolae Ceauşescu. 32 Por. Korzeniowski L. F., Podstawy nauk…, op. cit., s. 99.

21

i niebezpieczeństwo), sytuacje (3) – fałszywe poczucie bezpieczeństwa bywa wątpliwa etycznie33, choć może być też celowo wywoływana z mniej lub bardziej szczytnych pobudek, sytuacja (2) – fałszywe poczucie zagrożenia często ma charakter patologiczny34, choć również można się spotkać z jego wywoływaniem w celach „wychowawczych”.

W odniesieniu do drugiego zagadnienia można zaobserwować – również w obrębie nauk o bezpieczeństwie – wyraźnie widoczną tendencję do sprowadzania ich do rozważań o bezpieczeństwie państwa. Tendencję tę można zauważyć już na poziomie definicji bezpieczeństwa proponowanych przez niektórych autorów i instytucje. Dla przykładu Minisłownik Biura Bezpieczeństwa Narodowego podaje następującą definicję bezpieczeństwa:

„Bezpieczeństwo – teoria i praktyka zapewniania możliwości przetrwania (egzystencji) i realizacji własnych interesów przez dany podmiot, w szczególności poprzez wykorzystywanie szans (okoliczności sprzyjających), podejmowanie wyzwań, redukowanie ryzyk oraz przeciwdziałanie (zapobieganie i przeciwstawianie się) wszelkiego rodzaju zagrożeniom dla podmiotu i jego interesów. Współczesne bezpieczeństwo ma charakter zintegrowany (kompleksowy, wielowy-miarowy), w którym – w zależności od przyjętego kryterium – można wyróżnić różne jego rodzaje, dziedziny, sektory, działy i obszary:

• w zależności od rodzaju podmiotu można wyróżnić bezpieczeństwo indywidualne (personalne), grupowe, narodowe (w tym państwowe i terytorialne: wojewódzkie, powiatowe,

33 Warto pamiętać, że fałszywe poczucie bezpieczeństwa u konkretnej osoby bądź osób – traktowanych cokolwiek przedmiotowo – może być czasami skuteczne z punktu widzenia zewnętrznego podmiotu, a nawet przynieść korzyści dla osoby źle poinformowanej. Jako przykłady można wymienić podawanie fałszywych informacji w celu uniknięcia paniki (której skutki są czasami gorsze niż materializacja rzeczywistego zagrożenia), podawanie choremu fałszywych informacji o szansie wyzdrowienia w celu uniknięcia jego psychicznej demobilizacji w walce o zdrowie, czy w celu osiągnięcia „efektu placebo” itd. Granice dopuszczalności tego rodzaju dezinformacji (ang. white lies) są oczywiście poważnym problemem etycznym. Jako przykład można przytoczyć wyniki badań, według których współcześnie niepomijalnie duża część osób odpowiadających na tzw. kwestionariusz Prousta, w odpowiedzi na pytanie „jak chciałbyś umrzeć” wybiera odpowiedzi, z których wynika, że chciałaby nie mieć świadomości faktu rychłej nadchodzącej śmierci (w przeciwieństwie do tradycyjnego podejścia, w którym śmierć nagła a niespodziewana jest ogromnym nieszczęściem). 34 Mowa o stanach chorobowych charakteryzujących się wyolbrzymionym postrzeganiem zagrożeń (bądź postrzeganiem zagrożeń w rzeczywistości nieistniejących), jak również o sytuacjach, w których zewnętrzny podmiot wyolbrzymiając lęki odbiorcy usiłuje manipulować jego zachowaniem (np. nieetyczne praktyki w reklamie, wywołujące chęć zakupu produktu jako rzekomo zabezpieczającego potencjalnego klienta przed śmiercią czy chorobą).

22

gminne), międzynarodowe (regionalne i globalne), w tym między-państwowe (sojusznicze, koalicyjne) i transnarodowe;

• w zależności od przedmiotu (treści) bezpieczeństwa możemy w zasadzie wyróżnić tyle jego rodzajów, dziedzin, sektorów działów, obszarów itd., ile jest możliwych sfer aktywności danego podmiotu (w każdej sferze aktywności występują jakieś elementy bezpieczeństwa).

W ramach zintegrowanego bezpieczeństwa narodowego Polski (bezpieczeństwa państwa) można wyróżnić dwa jego konstytucyjne obszary: bezpieczeństwo zewnętrzne i wewnętrzne, oraz cztery podstawo-we dziedziny: obronność (obrona narodowa, czyli bezpieczeństwo militarne), ochrona (bezpieczeństwo cywilne, niemilitarne) oraz bezpieczeństwo społeczne i bezpieczeństwo gospodarcze (w istocie można też mówić o bezpieczeństwie społeczno-gospodarczym, a w tym o społecznym i gospodarczym wsparciu bezpieczeństwa);

Z kolei w ramach tych dziedzin można wyodrębnić – zgodnie z przyjętą w Polsce strukturą działalności państwowej obejmującą szereg działów administracji publicznej – sektory bezpieczeństwa narodowego, takie jak: dyplomacja na rzecz bezpieczeństwa, wojskowość, wywiad i kontrwywiad, bezpieczeństwo publiczne, ratownictwo, bezpieczeństwo społeczne (w tym np. ochrona dziedzictwa, edukacja na rzecz bezpieczeństwa, media w systemie bezpieczeństwa), bezpieczeństwo gospodarcze (w tym np. energetyczne, finansowe, infrastrukturalne);

• Z istoty bezpieczeństwa zintegrowanego wynika także występo-wanie transsektorowych/transdziałowych obszarów bezpieczeń-stwa, jak np. cyberbezpieczeństwo”35.

35 Jest to zmodyfikowana definicja poprzednio sformułowana przez BBN w „Zbiorze Proponowanych i Dyskutowanych Pojęć Strategicznego Przeglądu Bezpieczeństwa Narodowego”. Pierwotnie definicja zamieszczona tamże brzmiała: „BEZPIECZEŃSTWO – teoria i praktyka zapewniania możliwości przetrwania (egzystencji) i realizacji własnych interesów przez dany podmiot w niebezpiecznym środowisku, w szczególności poprzez wykorzystywanie szans (okoliczności sprzyjających), podejmowanie wyzwań, redukowanie ryzyk oraz przeciwdziałanie (zapobieganie i przeciwstawianie się) wszelkiego rodzaju zagrożeniom dla podmiotu i jego interesów. Współczesne bezpieczeństwo ma charakter zintegrowany (kompleksowy, wielowymiarowy), w którym – w zależności od przyjętego kryterium – można wyróżnić różne jego rodzaje, dziedziny, sektory, działy i obszary: a) w zależności od rodzaju podmiotu można wyróżnić bezpieczeństwo indywidualne (personalne), grupowe, narodowe (w tym państwowe i lokalne: wojewódzkie, powiatowe, gminne), międzynarodowe (regionalne i globalne), w tym międzypaństwowe (sojusznicze, koalicyjne) i transnarodowe

23

Taki – podmiotowy i skoncentrowany na instytucji państwa – sposób rozumienia bezpieczeństwa grozi zdegradowaniem nauk o bezpieczeń-stwie do elementów politologii (bezpieczeństwo wewnętrzne, bezpieczeństwo narodowe36) z pominięciem szeregu zagadnień związa-nych z funkcjonowaniem niemilitarnych systemów bezpieczeństwa, a więc np. nauk policyjnych37, czy wszystkich zagadnień związanych

b) w zależności od przedmiotu (treści) bezpieczeństwa możemy w zasadzie wyróżnić tyle jego rodzajów, dziedzin, sektorów działów, obszarów itd., ile jest możliwych sfer aktywności danego podmiotu (w każdej sferze aktywności występują jakieś elementy bezpieczeństwa).

• i. W ramach zintegrowanego bezpieczeństwa narodowego Polski (bezpieczeństwa państwa) można wyróżnić dwa jego konstytucyjne obszary: bezpieczeństwo zewnętrzne i wewnętrzne oraz trzy podstawowe dziedziny: obronność (obrona narodowa, czyli bezpieczeństwo militarne), ochrona (bezpieczeństwo cywilne, niemilitarne) i bezpieczeństwo ekonomiczno-kulturowe (w tym ekonomiczno-kulturowe wsparcie bezpieczeństwa).

• ii. Z kolei w ramach tych dziedzin można wyodrębnić – zgodnie z przyjętą w Polsce strukturą działalności państwowej obejmującą szereg działów administracji publicznej – sektory bezpieczeństwa narodowego, takie jak: dyplomacja, wojskowość, wywiad i kontrwywiad, bezpieczeństwo publiczne, ratownictwo, bezpieczeństwo społeczne (w tym np. socjalne), bezpieczeństwo gospodarcze (w tym np. energetyczne, finansowe, infrastrukturalne) i bezpieczeństwo kulturowe (dziedzictwo, nauka, edukacja, media itp.).

• iii. Z istoty bezpieczeństwa zintegrowanego wynika także występowanie transsektorowych/transdziałowych obszarów bezpieczeństwa, jak bezpiecze-ństwo informacyjne (w tym cyberbezpieczeństwo), bezpieczeństwo antyterrorystyczne czy też antykorupcyjne”.

36 Pojęcia „bezpieczeństwo narodowe” i „obrona narodowa” mają konotacje historyczne: urząd administracji rządowej zajmujący się sprawami wojskowymi w Polsce nosił historycznie nazwę Ministerstwa Wojny (za czasów Księstwa Warszawskiego, Powstania Listopadowego oraz częściowo Powstania Styczniowego), bądź Wydziału Wojny (1863) oraz Ministerstwa Spraw Wojskowych (w II Rzeczpospolitej do 1942 r.). Od 1942 r. nosi on nazwę Ministerstwa Obrony Narodowej. Pojęcie „obrona” może być w tym kontekście rozumiane jako swojego rodzaju eufemizm (choć obowiązujące w Polsce przepisy, a w szczególności art. 117 ustawy z 6.6.1997 r. Kodeks karny, Dz.U. z 1997 r. Nr 88, poz. 553; dalej jako: KK, zabraniają wszczynania wojny napastniczej, to działania polskich sił zbrojnych – np. udział w operacjach NATO – nie ograniczają się oczywiście do bezpośredniej obrony własnego terytorium czy jego mieszkańców). 37 W niektórych krajach, np. na Słowacji czy w Czechach pojęcie „nauk policyjnych” (ang. Police science) jest formalnie wyodrębnione w systemie nauki (zob. np.: European Police Science and Research Bulletin, dostępny na: http://cepol.europa. eu/index.php?id=science-research-bulletin; Porada V., Holcr K., et al.: Policejní vědy, Vyd. Aleš Čeněk, Plzeň 2011; Meteňko J., Líška K., Riadenie operatívnych činností, Akadémia Policajného Zboru, Bratislava 2003; Uhrín S., Selinger P., Bezpečnostné służby, Žilinská univerzita, Žilina 2003). Niestety w Polsce kryminalistyka nie jest explicite wymieniona w aktualnie obowiązującym wykazie dyscyplin naukowych. Zajęcia w formie studiów podyplomowych z kryminalistyki prowadzą wydziały prawa i administracji niektórych uniwersytetów, jak również szkoły policyjne.

24

z technicznymi aspektami zapewniania bezpieczeństwa (inżynieria bezpieczeństwa)38. Tym cenniejsze jest stanowisko prezentowane przez L.F. Korzeniowskiego, twórcę pojęcia „Securitologia”, który podkreśla substancjalne znaczenie osoby ludzkiej i jej bezpieczeństwa39.

W literaturze można znaleźć oczywiście również szereg innych definicji bezpieczeństwa. Na przykład Słownik terminów z zakresu bezpieczeństwa narodowego wydany przez Akademię Obrony Narodowej40podaje definicję znacznie bardziej ogólną:

„BEZPIECZEŃSTWO (ang. security) – stan, który daje poczucie pewności, i gwarancje jego zachowania oraz szansę na doskonalenie. Jedna z podstawowych potrzeb człowieka. Jest to sytuacja odznaczająca się brakiem ryzyka utraty czegoś co człowiek szczególnie ceni, na przykład: zdrowia, pracy, szacunku, uczuć, dóbr materialnych. Wyróżnia się m. in. bezpieczeństwo globalne regionalne, narodowe; bezpieczeństwo militarne, ekonomiczne, polityczne, publiczne, wewnętrzne, społeczne; bezpieczeństwo fizyczne, psychiczne, socjalne; bezpieczeństwo stru-kturalne i personalne” (w dalszej części tego hasła w słowniku następują obszerne wyjaśnienia na temat etymologii słowa „bezpieczeństwo” oraz roli państwa w jego zapewnianiu).

38 Szczególnie biorąc pod uwagę umiejscowienie nauk o bezpieczeństwie w obszarze nauk społecznych. 39 „Stanowisko realistyczne przejawiające się w analizach reprezentantów securitologii można scharakteryzować w ten sposób, że bytem substancjonalnym są jedynie osoby ludzkie tworzące społeczeństwo, ale społeczności ludzkie także istnieją realnie, są całościami różniącymi się od osób, które je tworzą. Czynnikiem jednoczącym osoby ludzkie w społeczność jest zawsze jakiś wspólny cel – np. podstawowe potrzeby bezpieczeństwa. Jednostki mają więc prawo domagać się zaspokajania ich potrzeb jednostkowych za pośrednictwem dobra wspólnego, ale także społeczności wymagają od jednostek odpowiedniego działania na rzecz dobra wspólnego.” Zob.: Korzeniowski L. F., Securitologia. Nauka o bezpieczeństwie człowieka…, op. cit., s. 52; Korzeniowski L. F., Podstawy nauk…, op. cit., s. 83). 40 Zob.: Słownik terminów z zakresu bezpieczeństwa narodowego, Warszawa 2008, dostępny na: http://mkuliczkowski.pl/static/pdf/slownik.pdf.

25

1.3 INFORMACJA I INFORMATYKA41

Słowo „informacja” ma źródłosłów łaciński zrostu „informare” („in”+”formare”) kształtować, odciskać formę, przedstawiać, wyobrażać, określać. „Informatio” oznaczało (w różnych epokach): wyobrażenie, a także znaczenie pojedynczego wyrazu, proces formowania bądź pouczenia i ich rezultaty42. Z praktycznego punktu widzenia warto wyodrębnić dwa podejścia do pojęcia informacji: podejście „infologiczne”43 (istotne szczególnie z uwagi na jego wpływ, w szczególności dość drobiazgowe i nie zawsze intuicyjnie zrozumiałe rozróżnienie pomiędzy „danymi” a „informacją”, na redakcję przepisów polskiego prawa44), utożsamiające informację z treścią komunikatu45 oraz punkt widzenia reprezentowany przez definicje zawarte w normach ISO.

41 W rozdziale wykorzystano fragmenty artykułu Lisiak-Felicka D., Szmit M., Czy istnieje technologia informacyjna? [w:] Multimedia w biznesie i zarządzaniu, pod red. Kiełtyki L., Warszawa 2009 oraz książek Szmit M. (red.), Baworowski A., Kmieciak A., Krejza P., Niemiec A., Elementy Informatyki Sądowej, dostępne na: https://www. researchgate.net/publication/235925801_Elementy_Informatyki_Sdowej i Szmit M., Wybrane zagadnienia opiniowania sądowo-informatycznego, Warszawa 2014, dostępne na: https://www.researchgate.net/publication/269108722_Wybrane_zagadnienia_opinio wania_sdowo-informatycznego._Wydanie_2_rozszerzone_i_uzupenione. 42 Łacińskie słowo „forma” odpowiada we współczesnej polszczyźnie słowu „treść”. Zob. np.: Kister Ł., Bezpieczeństwo informacyjne infrastruktury krytycznej, „Terroryzm” Nr 1/2010, Warszawa 2010; Szmit M., Wybrane zagadnienia opiniowania…, op. cit., s. 114 i n. 43 Samo pojęcie „infologii” oraz rozróżnienie pomiędzy „datalogicznym” (informacja to treść komunikatu, niezależnie od znaczenia jaki nadaje jej odbiorca komunikatu) a „infologicznym” (informacja to subiektywne znaczenie, jakie treści komunikatu nadaje jego odbiorca)poziomem ujęcia informacji zostało spopularyzowane przez Sundgrena B. w pracy doktorskiej Sundgren B., An Infological Approach to Data Bases, Ph.D. Thesis, dostępny na: https://sites.google.com/site/bosundgren/my-life/AnInfologicalApproachto DataBases.pdf?attredirects=0. Zob. też Lotko A., Źródła różnorodności informacji w marketingu relacyjnym, „Studia i Materiały” Nr 5/2005, dostępny na: http://www.sim.wz.uw.edu.pl/issue5/03.pdf. 44 Zob. np.: Szmit M., Politowska I., Mierniki bezpieczeństwa informatycznego…, op. cit.; Szmit M., Wybrane zagadnienia opiniowania…, op. cit., s. 114 i n. 45 „Relacja definiowana na elementach komunikatu K (…). Jest to treść, czyli desygnat oznaczony jako informacja. Informacja na tym poziomie nazywa się informacją datalogiczną i jest zapisywana jako I(K), dla podkreślenia informacji, jaką dostarcza komunikat K niezależnie od odbiorcy U. Aspekt pragmatyczny informacji wymaga uwzględnienia procesu jej odbioru przez użytkownika. W tym celu stosuje się zapis (…): I (K, U, Q)” Stefanowicz B., Informacja, Warszawa 2004. K oznacza komunikat, U-odbiorcę informacji, zaś Q-kontekst). Por.: Gościński J., Zarys sterowania ekonomicznego, Warszawa 1977.

26

Polska Norma [PN-ISO/IEC 2382-1:1996] definiuje dane i informację, jak poniżej: „Dane – reprezentacja informacji mająca interpretację, właściwa do komunikowania się, interpretacji lub przetwarzania. Uwagi 1. dane mogą być przetwarzane przez człowieka lub za pomocą środków automatycznych 2. patrz rysunek 1” PN-ISO/IEC 2382-1:1996-01.01.02

„Informacja (w przetwarzaniu informacji) – wiedza dotycząca obiektów, takich jak fakty, zdarzenia, przedmioty, procesy lub idee, zawierająca koncepcję, która w określonym kontekście ma określone znaczenie Uwaga – patrz rysunek 1” PN-ISO/IEC 2382-1:1996-01.01.01

definicje te uzupełnione są rysunkiem jak poniżej

Rysunek 1. Wzajemne relacje między informacją a danymi

w normie PN-ISO/IEC 2382:1996 (rysunek 1 z Polskiej Normy).

27

Słowo „informatyka”46 zostało wprowadzone do języka polskiego w 1968 r.47, w wystąpieniu R. Marczyńskiego, opublikowanym następnie w artykule „Maszyny matematyczne”48. Ma ono źródłosłów niemiecki (słowo „Informatik” zostało po raz pierwszy użyte w 1957 r. w artykule K. Steinbucha „Informatik: Automatische Informationsverarbeitung”, do języka polskiego prawdopodobnie trafiło za pośrednictwem francuskiego „informatique”49 po raz pierwszy użytego w 1962 r.50).

Słownik Języka Polskiego z 1979 r. podawał definicje „dyscyplina naukowa zajmująca się zastosowaniem maszyn matematycznych”51 oraz „dyscyplina naukowa zajmująca się teorią informacji naukowej, technicznej i ekonomicznej”. Drugie ze znaczeń jest zapożyczeniem z języków takich jak rosyjski („информатика” oznacza informację naukowo-techniczną) czy angielski (amerykańskie słowo „informatics”, jak również „information science”, oznacza „gromadzenie, klasyfikację, przechowywanie i rozpowszechnianie zapisanej wiedzy”52). Słownik Wyrazów Obcych PWN z 1997 r. nazywa już informatykę „nauką 46 Sufiks -ika/ -yka jest, z punktu widzenia słowotwórstwa, formantem używanym przeważnie do tworzenia słownictwa erudycyjnego, z dziedziny nauki i techniki, stąd często rozróżnienie na „informacyjny” – w sensie „dotyczący informacji” i „informatyczny” – „dotyczący procesów i technicznych środków przetwarzania informacji”. Zob. np.: Szmit M., Informatyka w Zarządzaniu, Warszawa 2003, s. 10 i n. 47 S. Lem (np. w „Summa technologiae” z 1964 r.) używał na określenie informatyków słowa „informacjoniści”. Współcześnie „informacjonizm” albo „informacjonalizm” jest pojęciem z dziedziny socjologii, związanym z osobą M. Castellsa, który używa tego pojęcia dla określenia zasady działania „kapitalizmu informacyjnego”, który uznaje za następcę „kapitalizmu industrialnego”: „Industrializm jest zorientowany na wzrost gospodarczy, tj. na maksymalizację produkcji; informacjonizm jest zorientowany na rozwój technologiczny, tj. na akumulację wiedzy oraz na wyższy poziom złożoności w przetwarzaniu informacji.” – Castells M., Himanen P., Społeczeństwo informacyjne i państwo dobrobytu, Warszawa 2009. O „informacjonalizmie” mówi się również w kontekście pojęcia „społeczeństwa informacyjnego” czy „społeczeństwa informacjonistycznego”, a nawet epoki społeczno-kulturowej. Zob. np. Radomski A., Dziesięć tez na temat: informacjonalistycznej edukacji, Kultura i Historia, T. 19, Lublin 2011, dostępny na: http://www.kulturaihistoria.umcs.lublin.pl/archives/2514; Radomski A., Wartości Hakerskie jako podstawa kultury Informacjonalizmu, Ogólnopolska Konferencja Aksjologia(e) wobec współczesnych przemian kulturowych, Lublin 2011, dostępne na: http://pl.scribd.com/doc/72485393/Warto%C5%9Bci-Hakerskie-jako-podstawa-kultury-Informacjonalizmu. 48 Marczyński R., Maszyny matematyczne, Nr 1/1969, Warszawa 1969. 49 Akademia Francuska w komunikacie z 6.4.1967 r. zawarła następującą definicję: „Informatyka – nauka o racjonalnym przetwarzaniu, szczególnie przez maszynę automatyczną, informacji traktowanej jako nośnik wiadomości i podstawa komunikowania się w dziedzinach technicznych, ekonomicznych i społecznych”. 50 Zob. http://www.lemonde.fr/cgi-bin/ACHATS/685238.html. 51 Słownik Języka Polskiego, Warszawa, 1979. 52 Webster’s New Collegiate Dictionary. Merriam, Springfield 1980.

28

o tworzeniu i wykorzystywaniu systemów komputerowych”53 i jak się wydaje ta definicja jest już ustaloną i powszechnie przyjętą w krajowym piśmiennictwie, jakkolwiek w odniesieniu do poszczególnych tzw. „informatyk szczegółowych” funkcjonuje jeszcze czasami pomieszanie pojęć informatyki i dyscypliny zwanej do niedawna „informacją naukową”54. Próbę naprawienia tego stanu rzeczy, przynajmniej odnośnie do klasyfikacji dyscyplin naukowych, podjęto we wspomnianym już ROWDN, które wprowadziło w obszarze nauk humanistycznych, w dziedzinie nauk humanistycznych dyscyplinę naukową „bibliologia i informatologia”55. To samo rozporządzenie lokuje informatykę zarówno w obszarze nauk ścisłych w dziedzinie nauk matematycznych, jak i w obszarze nauk technicznych w dziedzinie nauk technicznych, co jak się wydaje odpowiada dwojakiemu: teoretyczno-naukowemu (ang. computer sciences) i naukowo-technicznemu (ang. computer engineering) jej charakterowi.

Podsumowując, w języku polskim funkcjonuje aż pięć, pochodzą-cych od słowa „informacja” rzeczowniki, będących nazwami dyscyplin naukowych, poglądów bądź kierunków badawczych:

• informacjonizm – w latach 60. XX w. neologizm odnoszący się do tego, co współcześnie nazywa się informatyką, współcześnie – pojęcie socjologiczne dotyczące domniemanej zasady działania „kapitalizmu informacyjnego” bądź „społeczeństwa informa-cyjnego;

• informacjonalizm – informacjonalizm (w sensie współcze-snym), socjologiczne określenie hipotetycznej współczesnej epoki społeczno-kulturowej;

• infologia – podejście do badania i analizy informacji za punkt wyjścia przyjmujące jej znaczenie oraz proces komunikacji;

• informatologia – neologizm na określenie „informacji nauko-

53 Zob.: Słownik Wyrazów Obcych PWN, Warszawa 1997. Ta sama definicja jest również powtórzona w internetowym wydaniu (zob.: http://sjp.pwn.pl) Słownika Języka Polskiego (odsyłacz spr. 12.11.2014 r.), jakkolwiek dodane jest drugie znaczenie „szeroko rozumiana działalność informacyjna”. 54 Dotyczy to na przykład tzw. informatyki prawniczej. W pracy Petzel J., Informatyka prawnicza. Zagadnienia teorii i praktyki, Warszawa 1999, s. 27 wymieniono między innymi definicję „informatyki tradycyjnej” wg J. Wróblewskiego: „wszelkie procesy gromadzenia, przechowywania i udostępniania informacji, a także nauka o tych procesach obejmująca zarówno podstawy teoretyczne jak i wiedzę instrumentalną obejmującą urządzenia i instytucje obsługujące te procesy”. 55 Jak się zdaje słowo „informatologia” jest zapożyczeniem z języka chorwackiego, zob. np.: http://hrcak.srce.hr/index.php?show=casopis&id_casopis=129&lang=en. Dla porów-nania np. w języku czeskim funkcjonuje wyrażenie „Informační věda”.

29

wej”, dziedzina wiedzy i subdyscyplina badawcza zajmująca się całokształtem zagadnień teoretycznych i praktycznych związa-nych z działalnością informacyjną;

• Informatyka – nauka o tworzeniu i wykorzystywaniu systemów komputerowych.

Osobną kwestią, wartą poruszenia na marginesie raczej z prakty-cznego punktu widzenia, jest występujący w języku polskim związek frazeologiczny „technologia informacyjna”56 (po części popularny za sprawą działalności Ministerstwa Edukacji Narodowej i programów nauczania przedmiotu o tej nazwie przez nie opracowanych57). Technologia (gr. τέχνη „sztuka; rzemiosło” + λόγος „mówić”) według Słownika Języka Polskiego58 to „metoda przeprowadzania procesu produkcyjnego lub przetwórczego; dziedzina techniki zajmująca się opracowywaniem nowych metod produkcji wyrobów lub przetwarzania surowców”, technika59 (gr. τεχνικός „wykonany zgodnie ze sztuką” od τέχνη „sztuka; rzemiosło”) jest to natomiast „wiedza na temat praktycznego wykorzystania osiągnięć nauki w przemyśle, transporcie, medycynie itp.; też: praktyczne wykorzystanie tej wiedzy; metoda; wyuczona i wyćwiczona umiejętność wykonywania jakichś czynności”. Polskojęzycznym odpowiednikiem angielskiego „technology” jest raczej „technika” niż technologia60, zaś prawidłowe tłumaczenie angloję-zycznego „Information Technology” to „technika informatyczna”61: w procesie przetwarzania informacji trudno mówić o procesach przetwarzania surowców czy wytwarzania dóbr. Informacja jest bowiem nie rzeczą, ale relacją, jakkolwiek może być i jest – zasobem (ang. asset) z punktu widzenia organizacji, która nią dysponuje.

56 Zob.: Lisiak-Felicka D., Szmit M., Czy istnieje technologia…, op. cit. 57 Jakkolwiek nie funkcjonuje tytuł zawodowy „technologa informatyka”, a – poprawny – technika informatyka. 58 Zob.: Słownik Języka Polskiego PWN, wersja elektroniczna, dostępny na: http://sjp.pwn.pl/ (odsyłacz sprawdzony 12.11.2014 r.). 59 Zob.: http://sjp.pwn.pl/slownik/2577685/technika (odsyłacz sprawdzony 12.11.2014 r.). 60 Stąd np. „institute of technology” to po polsku „politechnika” a nie „politechnologia”. 61 Por. np.: Penc J., Leksykon biznesu, Warszawa 1997, s. 447, podobnie w tytułach norm np. PN-ISO/IEC 17799:2007 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji. Z podobnymi problemami można spotkać się w innych językach, np. tytuł czeskiej normy ČSN ISO/IEC 27001:2006 brzmi „Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky” ale tytuł czeskiej normy ČSN ISO/IEC 9545:1996 – „Informační technika. Propojení otevřených systémů. Struktura aplikační vrstvy” (w odpowiadającej Polskiej Normie PN-ISO/IEC 9545:2003 tytuł brzmi „Technika informatyczna – Współdziałanie Systemów Otwartych - Struktura Warstwy Aplikacji“).

30

1.4 POJĘCIA „ANALOGOWY” I „CYFROWY”62

Wyrażenie „analogowy” (z gr. νάλογον – analogon – odpowiednik) w odniesieniu do danych pochodzi od wyrażenia „komputer analogowy”. Komputery analogowe były to urządzenia z pierwszej połowy XX w., których działanie opierało się na analogii modelowanego zjawiska do innego zjawiska fizycznego, funkcjonowały np. komputery hydrauliczne – rozwiązania modelujące przepływy pieniądza na rynku poprzez analogię z przepływami cieczy w zespole naczyń, czy też komputery rozwiązujące równania różniczkowe poprzez pomiary napięcia i natężenia prądu w układach elektronicznych, w których to układach zmiany mierzalnych wielkości elektrycznych dane były równaniami analogicznymi, jak równania opisujące modelowane zjawisko fizyczne. Charakterystyczną cechą tych komputerów było posługiwanie się zmiennymi analogowymi tj. sygnałami zmieniającymi się w sposób ciągły. Zgodnie z definicjami normatywnymi63:

• analogowy dotyczy wielkości fizycznych zmieniających się w sposób ciągły lub dotyczy danych przedstawianych w sposób ciągły, a także procesów i jednostek funkcjonalnych wykorzy-stujących dane tego typu64;

• cyfrowy dotyczy danych składających się z cyfr, a także procesów i jednostek funkcjonalnych wykorzystujących dane tego typu65.

Komplementarne do pojęcia „analogowy” jest – nie jak przyjęło się w mowie potocznej – „cyfrowy” – ale „dyskretny” (dyskretny dotyczący danych składających się z różnych elementów, takich jak znaki lub dotyczy wielkości fizycznych o skończonej liczbie zróżnicowanych rozpoznawalnych wartości, a także procesów i jednostek funkcjonalnych wykorzystujących dane tego typu66).

Dane dyskretne mogą być danymi numerycznymi (składającymi się z liczb) bądź alfanumerycznymi (składającymi się z liter, cyfr bądź innych znaków, np. znaków przestankowych), zaś dane cyfrowe składają 62 Wykorzystano fragment książki Szmit M. (red.), Baworowski A., Kmieciak A., Krejza P., Niemiec A., Elementy Informatyki…, op. cit. 63 Przez „akty normatywne” („definicje normatywne” itd.) będą w pracy rozumiane normy (Polskie Normy, normy ISO itd.), nie zaś (jak to jest w języku prawniczym) akty zawierające normy prawne. 64 [PN-ISO/IEC 2382-1:1996-01.02.06]. 65 [PN-ISO/IEC 2382-1:1996-01.02.04]. 66 [PN-ISO/IEC 2382-1:1996-01.02.02].

31

się z cyfr (a więc pojedynczych znaków reprezentujących nieujemne liczby całkowite). Zatem ze względu na ciągłość danych, bądź jej brak, dane dzielą się na analogowe i dyskretne, zaś z uwagi na sposób zapisu zawartości – na numeryczne (w tym cyfrowe) i alfanumeryczne. W języku potocznym pojęcia „liczba” i „cyfra” są nagminnie mylone (stąd zamiast „numeryczny” używa się często pojęcia „cyfrowy”67), niemniej nie są to pojęcia tożsame68.

1.5 BEZPIECZEŃSTWO INFORMACJI – PODSTAWOWE DEFINICJE NORMATYWNE

Najważniejszymi, z punktu widzenia poruszanej tematyki normami międzynarodowymi ISO jest seria norm oznaczona numerem 27000 i poprzedzające je normy ISO/IEC 17799 oraz BS 7799-1, BS 7799-2 i BS 7799-3. Spośród innych norm ISO należy wymienić normy terminologiczne: PN-ISO/IEC 2382-8:2001 Technika informatyczna Terminologia Bezpieczeństwo i PN-I-02000: 2002 Technika informa-tyczna – Zabezpieczenia w systemach informatycznych – Terminologia.

W odniesieniu do systemów informatycznych zagadnieniom bezpieczeństwa poświęcona była69 seria raportów technicznych ISO/IEC TR 13335-X, tzw. GMITS (ang. Guidelines for Management of IT Security):

• ISO/IEC/TR 13335-1/ PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych

• ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpie-czeństwem systemów informatycznych

• ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych

• ISO/IEC/TR 13335-4: Wybór zabezpieczeń • ISO/IEC/TR 13335-5: Zabezpieczenia dla połączeń z sieciami

zewnętrznymi

67 Efekty procesu dyskretnego (operującego skończoną liczbą zróżnicowanych rozpoznawalnych wartości) zapisuje się zazwyczaj w postaci liczb a te zapisywane są zazwyczaj przy pomocy cyfr. 68 Tym dziwnej brzmi nazwa – utworzonego w 2011 r. Ministerstwa Administracji i Cyfryzacji. 69 Normy ISO/IEC z serii 13335-X pierwotnie miały status raportu technicznego (Technical Report), później pierwsza z serii została przemianowana na ISO/IEC 13335-1:2004. Norma ta została wycofana przez ISO w 2010 r., natomiast jej polski odpowiednik, tj. PN-ISO/IEC 13335-1:1999 w chwili pisania pracy miał status „aktualny”.

32

Bezpieczeństwo informacji definiowane jest w normie PN-ISO/IEC 27000:2014 – 2.33 jako zachowanie poufności, integralności i dostę-pności informacji, dodatkowo można brać pod uwagę inne własności, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność70.

W pracy przyjęto za powołanymi normami definicje podstawowych atrybutów bezpieczeństwa informacji, to jest:

• poufności (ang. confidentiality), czyli własności polegającej na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, przedmiotom lub procesom71;

• integralności (ang. integrity), czyli własności polegającej na zapewnieniu dokładności i kompletności aktywów72;

• dostępności (ang. availability), to jest własności bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu73.

Trzy powyższe atrybuty (zwane CIA – Confidentiality, Integrity, Availability) są najważniejszymi atrybutami bezpieczeństwa informacji. Oprócz nich wyróżnia się między innymi atrybuty:

• autentyczności (ang. authenticity), to jest właściwości zape-wniającej, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana74;

• rozliczalności (ang. accountability) – właściwości zapewniają-cej, że działania jednostki mogą być przypisane w sposób jednoznaczny tylko tej jednostce75;

• niezaprzeczalności (ang. non-repudiation) – właściwości uniemożliwiającej nadawcy zaprzeczenie, że wysłana wiadomość pochodzi od niego76;

70 W literaturze oraz niektórych aktach prawnych (np. ustawa z 5.8.2010 r. o ochronie informacji niejawnych (Dz.U. z 2010 r. Nr 182, poz. 1228 ze zm.), Rozporządzenie Prezesa Rady Ministrów z 20.7.2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. z 2011 r. Nr 159, poz. 948), pojawia się również pojęcie bezpieczeństwa teleinformatycznego, które ma związek z bezpieczeństwem systemów teleinformatycznych, w których przetwarzane są informacje. Bezpieczeństwo informacji jest pojęciem szerszym, obejmuje również informacje przetwarzane poza systemami teleinformatycznymi, w postaci dokumentów papierowych czy w postaci zapamiętanej i wymienianej przez człowieka, zob.: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Warszawa 2006. 71 PN-ISO/IEC 27000:2014 – 2.12. 72 PN-ISO/IEC 27000:2014 – 2.40. 73 PN-ISO/IEC 27000:2014 – 2.9. 74 PN-ISO/IEC 27000:2014 – 2.8. 75 PN-ISO/IEC 2382-8:2001. 76 PN-ISO/IEC 27000:2014 – 2.54.

33

• niezawodności (ang. reliability) – właściwość oznaczająca spójne, zamierzone zachowanie i następstwa77.

Pojęcia: zagrożenia, podatności, zabezpieczeń, ryzyk, zasobów czy wymagań w zakresie ochrony zdefiniowano w normie PN-ISO/IEC 13335-1:1999 (por. rysunek poniżej).

Rysunek 2. Związki pomiędzy podstawowymi pojęciami z zakresu bezpieczeństwa. Źródło: PN-I-13335-1:1999.

Użyte pojęcia powołana norma definiuje jak poniżej. • Podatność – słabość zasobu, lub grupy zasobów, która może być

wykorzystana przez zagrożenie78. • Ryzyko – prawdopodobieństwo, że określone zagrożenie

wykorzysta podatność zasobu lub grupy zasobów, aby spowo-dować straty lub zniszczenie zasobów79.

77 PN-ISO/IEC 27000:2014 – 2.62. 78 PN-I-13335-1:1999 - 3.20. W normie PN-ISO/IEC 17799:2007-2.17 napisano (z powołaniem na normę międzynarodową ISO/IEC 13335-1:2004] „podatność – słabość aktywu lub grupy aktywów, która może być wykorzystana przez co najmniej jedno zagrożenie”. Norma ISO/IEC 27000:2009 powtarzała tę definicję (już bez powołania na wycofaną wcześniej) normę ISO/IEC 13335). W PN-ISO/IEC 27000:2014-2.89 definicja brzmi „podatność – słabość aktywu lub zabezpieczenia, która może być wykorzystana przez jedno lub więcej zagrożeń”. Nota bene użyta forma „aktywu” jest językowo niepoprawna.

34

• Zabezpieczenie – praktyka, procedura lub mechanizm redukujący ryzyko80.

• Zagrożenie – potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji81.

W innych normach pojęcia te zdefiniowane są nieco inaczej. I tak: zagrożenie definiowane jest bądź to jako „potencjalne naruszenie zabezpieczenia“82 bądź to jako z uwagą w postaci rysunku, jak poniżej: „potencjalna możliwość naruszenia bezpieczeństwa systemu informatycznego”83.

Rysunek 3. Poziomy naruszania bezpieczeństwa w normie PN-ISO/IEC 2382-8:2001.

79 PN-I-13335-1:1999 - 3.14. 80 PN-I-13335-1:1999 - 3.17. 81 PN-I-13335-1:1999 - 3.19. 82 PN-T-20000:1994-Z. 83 PN-ISO/IEC 2382-8:2001-08.05.04.

35

Należy tu zwrócić uwagę, że czym innym jest naruszenie bezpieczeństwa, a czym innym naruszenie zabezpieczenia: można naruszyć bezpieczeństwo, a więc w tym kontekście któryś z atrybutów bezpieczeństwa informacji, nie naruszając jego zabezpieczeń, w szczególności jeśli tych nie ma lub jeśli są niekompletne (można je ominąć, to jest wejść w interakcję z systemem w inny niż zabezpieczany sposób). Ponadto, wyrażenie „potencjalna możliwość“ wydaje się być pleonazmem: możliwość jest zawsze potencjalna, jeśli dochodzi do jej realizacji, to można mówić o akcie a nie o możliwości. Zabezpieczenie definiowane jest w PN-ISO/IEC 27000:2014-2.16 jako środek, który modyfikuje ryzyko.

Ryzyko – będące zresztą pojęciem kluczowym, o tyle że zarządzanie bezpieczeństwem informacji jest w normach z serii 27k determinowane przez zarządzanie ryzykiem definiowane jest w szeregu norm w najróżniejszy sposób. I tak PN-ISO/IEC 17799:2007-2.9 definiowała je jako „kombinację prawdopodobieństwa zdarzenia i jego konsekwencji“ (za [ISO/IEC Guide 73:2002]) zaś ISO 31000:2009 jako skutek niepewności w odniesieniu do ustalonych celów (za [ISO Guide 73:2009]), z szeregiem uwag, dotyczących tego, czym jest „skutek” i „niepewność” oraz tego, że ryzyko bywa definiowane w różny sposób. Definicję tę powtarza norma PN-ISO/IEC 27000:2014 (w punkcie 2.68). Normy PN-I-02000:2002-3.1.096 oraz PN-ISO/IEC 2382-8:2001-08.05.09 definiują ryzyko jako „możliwość, że konkretne zagrożenie wykorzysta konkretną podatność system przetwarzania danych”. Niespójności w definicjach ryzyka wynikają po części z różnego zakresu norm: ISO 31000 jest normą najbardziej ogólną, odnoszącą się do zarządzania ryzykiem w ogóle, a więc również w kontekstach innych niż Systemy Zarządzania Bezpieczeństwem Informacji, ISO/IEC 27000 dotyczy właśnie SZBI, zaś normy słownikowe, jak PN-ISO/IEC 2382-X odnoszą się do techniki informatycznej, stąd mówią np. nie o podatnościach w ogóle ale o podatnościach systemu przetwarzania danych.

Pojęcia: zasobów, zdarzenia związanego z bezpieczeństwem infor-macji oraz incydentu związanego z bezpieczeństwem informacji rozumiane są w normach, jak następuje:

• zasoby – to wszystko, co ma wartość dla instytucji84; • incydent związany z bezpieczeństwem informacji pojedyncze

zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają

84 PN-I-13335-1:1999 -3.2.

36

znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji85;

• zdarzenie związane z bezpieczeństwem informacji jest wystą-pieniem określonego stanu86, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem.

1.6 NARUSZANIE BEZPIECZEŃSTWA INFORMACJI – PODSTAWOWE DEFINICJE NORMATYWNE

Zasadniczym problemem słownictwa z zakresu bezpieczeństwa informatycznego jest nie niedobór, ale nadmiar standardów87, metodyk88 i ich propozycji. Dla przykładu U. Lindqvist, E. Jonsson89 dzielą próby

85 PN-ISO/IEC 27000:2014 – 2.36. 86 Polskojęzyczne tłumaczenie norm 27000 mówiło o „stanie”, a więc zawierało błąd (ten sam błąd zawierały tłumaczenia normy ISO/IEC 17799 w swojej części słownikowej), zdarzenie nie jest bowiem stanem, ale co najwyżej jego wystąpieniem. Anglojęzyczna norma ISO/IEC 27000 (punkt 2.20) jest precyzyjna: „information security event – Identified occurrence of a system, service or network state indicating a possible breach of information security (2.19) policy (2.28) or failure of controls (2.10), or a previously unknown situation that may be security relevant”, w tłumaczeniu polskim zabrakło odpowiednika słowa „occurrence”. 87 W artykule Szmit M., Politowska I., Mierniki bezpieczeństwa informatycznego.., op. cit., podano statystyki z ośmiu krajowych zespołów reagowania CERT (ang. Computer Emergency Response Team), z których każdy używał własnej nomenklatury, jak również statystyki policyjne i statystyki skazanych. Niejednokrotnie ten sam rodzaj ataku nosi kilka różnych nazw (np. arp-spoofing i arp cache poisoning). Odrębną nomenklaturą posługują się akty prawne (w interesującym z punktu widzenia tej pracy zakresie, w odniesieniu do tzw. przestępstw komputerowych, są to znamiona czynów zabronionych stypizowanych w KK – nie do końca spójne z nimi – znamiona z Konwencji o Cyberprzestępczości). Jeszcze innym słownictwem operują niektóre metodyki (zob. np.: Microsoft Course 2830A Designing Security for Microsoft Networks, materiały kursowe, Microsoft 2007). 88 Obszerny przegląd metodyk zarządzania bezpieczeństwem informacji można znaleźć w – liczącej ponad pół tysiąca stron – pracy Białas A., Bezpieczeństwo informacji…, op. cit. Z polskich prób tworzenia metodyk warto wymienić na przykład Total Information Security Management autorstwa Byczkowskiego M. i Marciniaka P. (zob.: European Network Security Institute, dostępny na: http://www.ensi.net/), czy SECFrame opracowany w Instytucie Systemów Sterowania (zob.: Instytut Systemów Sterowania, dostępny na: http://www.iss.pl). 89 Lindqvist U., Jonsson E., How to systematically classify computer security intrusions, IEEE symposium on Security and privacy 1999 Proceedings, s. 154–163.

37

naruszenia bezpieczeństwa systemów informatycznych na włamania, naruszenia i ataki, które definiują następująco:

• włamanie – ciąg podejmowanych przez agresora czynności, mający na celu naruszenie bezpieczeństwa zasobów lub nieautoryzowany dostęp do systemu komputerowego;

• naruszenie – próba włamania zakończona sukcesem; • atak – próba włamania zakończona niepowodzeniem.

Są to definicje wątpliwe i na dodatek sprzeczne z intuicją. Zgoła odmienną próbę standaryzacji nomenklatury z zakresu naruszeń bezpie-czeństwa zawiera dokument [RFC 2828]. Odpowiednie definicje brzmią tamże:

• „attack (..) An assault on system security that derives from an intelligent threat, i.e., an intelligent act that is a deliberate attempt (especially in the sense of a method or technique) to evade security services and violate the security policy of a system(..)”,

• „security violation – An act or event that disobeys or otherwise breaches security policy (..)”.

Pojęcie przełamania (ang. breach) nie jest w ogóle definiowane90, natomiast pojęcie „złamania” (ang. break) jest używane tylko w znacze-niu z zakresu kryptoanalizy szyfrów („złamanie szyfru”).

Inną próbą szczegółowego opisu zdarzeń związanych z bezpie-czeństwem był – wykorzystywany w swoim czasie przez CERT Polska91 – standard Wspólnego Języka (ang. Common Language)92, operujący pojęciami:

• incydentu bezpieczeństwa rozumianego jako zdarzenie związane z próbą naruszenia bezpieczeństwa, opisywanemu poprzez szóstkę: Atakujący (ang. Attacker), Narzędzie (ang. Tool), Podatność (ang. Vunerability), Cel (ang. Target), zamierzony nieautoryzowany rezultat (ang. Unauthorized Result) oraz zamierzony skutek (ang. Objectives);

• ataku rozumianego jako ciąg podejmowanych przez agresora czynności, mających na celu naruszenie bezpieczeństwa opisy-

90 Zob.: Shirey R., Internet Security Glossary, IETF 2000, RFC 2828, dostępne na: https://www.ietf.org/rfc/rfc2828.txt 91 Cert.org statistics history, dostępne na: http://www.cert.org/stats/#vuls. 92 Zdefiniowany w pracy Howard J.D., Longstaff T.A., A Common Language for Computer Security Incidents, dostępny na: http://prod.sandia.gov/techlib/access-control.cgi/1998/988667.pdf. Por. np.: Maj M., Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci, Warszawa 1999, dostępne na: http://www.cert.pl/PDF/SECURE99_referatCP_klasyf.doc.

38

wany poprzez czwórkę: narzędzie, podatność, cel, zamierzony nieautoryzowany rezultat;

• zdarzenia, rozumianego jako konkretny rodzaj akcji podejmo-wanej przeciwko określonemu celowi (np. modyfikacja danych).

W języku norm ISO/IEC, wreszcie, funkcjonują definicje: • atak – próba zniszczenia, ujawnienia, zmiany, uniemożliwienia

dostępu, kradzieży lub uzyskania nieautoryzowanego dostępu albo nieautoryzowanego użycia aktywów93;

• naruszenie – ingerencja naruszająca bezpieczeństwo systemu informatycznego w celu spowodowania tego, aby programy lub dane mogły być modyfikowane, niszczone lub mogły stać się dostępne dla nieuprawnionych podmiotów94;

• włamanie, przełamanie – takie obejście lub zneutralizowanie jakiegoś elementu bezpieczeństwa systemu informatycznego, wykryte lub nie, którego skutkiem może być penetracja systemu przetwarzania danych95.

W zależności więc od przyjętej nomenklatury, atak może być rozumiany jako:

• próba włamania zakończona niepowodzeniem; • próba naruszenia bezpieczeństwa systemu informatycznego

(udana bądź nie); • opis działań podejmowanych przez agresora (narzędzie,

podatność, cel, zamierzony nieautoryzowany rezultat).

W niniejszej monografii jako obowiązującą przyjęto – przynajmniej wszędzie tam, gdzie to było możliwe – nomenklaturę z norm ISO/IEC z serii 27x oraz PN 2382-x, które zawierają stosunkowo najbardziej kompletny punkt widzenia i spójne nazewnictwo96, niemniej warto zwrócić uwagę, że w innych źródłach i opracowaniach literaturowych te same pojęcia mogą być używane w zupełnie innych znaczeniach.

93 PN ISO/IEC 27000:2014-2.3. 94 PN-I-02000:2002 – 3.5.021. 95 PN-ISO/IEC 2382-8:2001 – 08.05.17. 96 Wprawdzie również do języka norm można mieć pewne zastrzeżenia, niemniej w porównaniu z terminologią tworzoną ad hoc jest on zdecydowanie bardziej precyzyjny. W książce Szafrański B. i in.: Interoperacyjność i bezpieczeństwo systemów informatycznych administracji publicznej, Katowice 2006, s. 38 Autorzy piszą: „Podstawy metodologiczne analizowanych aktów normatywnych są poprawniejsze niż aktów prawnych poddanych analizie (..) dlatego też postulujemy wykorzystanie norm zarządzania bezpieczeństwem [systemu] informacyjnego jako platformy integracji regulacji zawartych w ustawach z zakresu bezpieczeństwa teleinformatycznego”.

39

1.7 ANONIMOWOŚĆ, PSEUDOANONIMOWOŚĆ, PRYWATNOŚĆ

Normy ISO/IEC z serii 27k pisane są z punktu widzenia zarządzania organizacją97, stąd też nie zostały w nich poruszone zagadnienia istotne z punktu widzenia bezpieczeństwa pojedynczego użytkownika informa-cji, w szczególności zagadnienia związane z ochroną prywatności. W innych normach pojęcia te zdefiniowano częściowo i nie do końca w tym aspekcie, o którym tutaj mowa. Znaczenia, jakie normy nadają tym pojęciom odpowiadają raczej przedmiotowym uprawnieniom osób bądź procesów w sensie technicznym niż prawnemu czy organiza-cyjnemu aspektowi ochrony informacji. Odpowiednio definicje te brzmią jak poniżej:

• Anonimowość – zasada, z której wynika, że podmiot może wykorzystywać zasób lub usługę bez ujawniania swojej tożsa-mości98.

• Pseudoanonimowość – zasada zgodnie, z którą podmiot może wykorzystywać zasób lub usługę bez ujawniania swojej tożsamości, lecz może nadal być rozliczany za to korzystanie99.

• Prywatność posiada w terminologii znormalizowanej aż trzy definicje: − prawo do kontrolowania lub wpływania na to, aby informacja

ich dotycząca mogła być zbierana i przechowywana oraz na to, kto może to wykonywać i komu można udostępnić tę informację100, przy czym definicja ta jest opatrzona komentarzem „Uwaga – Ponieważ termin jest związany z prawem osób nie może on być precyzyjny. Należy unikać używania tego terminu chyba, że kontekst odnosi się do wymagań zabezpieczania informacji”;

97 Norma PN-ISO/IEC 17799:2007 w rozdziale 1 (Zakres normy) deklarowała: „W niniejszej normie międzynarodowej przedstawiono zalecenia i ogólne zasady dotyczące inicjowania działań, wdrażania, utrzymania i doskonalenia zarządzania bezpieczeństwem informacji w organizacji. […] Niniejsza norma międzynarodowa może służyć jako praktyczny przewodnik do opracowania norm bezpieczeństwa organizacji i skutecznych praktyk zarządzania bezpieczeństwem oraz wspierać tworzenie związków zaufania w relacjach między organizacjami”. 98 PN-I-02000:2002-3.1.002. 99 PN-I-02000:2002-3.4.070. 100 PN-T-20000:1994-P.

40

− nieingerowanie w życie prywatne osoby lub jej sprawy, jeśli ta ingerencja byłaby związana z niewłaściwym lub nielegalnym zbieraniem i wykorzystywaniem danych o tej osobie101;

− prawo do nadzoru lub wpływu na to, jakie dane osobowe mogą być zbierane i przechowywane oraz komu mogą być ujawnione102. przy czym definicja ta jest opatrzona komentarzem „Uwaga – Należy unikać używania tego terminu chyba, że kontekst odnosi się do wymagań zabezpieczania informacji”.

W szerszym znaczeniu prywatność (ang. privacy z łac. privus – pojedynczy, własny) jest jednym z praw człowieka. Normatywnym wyrazem prawa do prywatności w prawie międzynarodowym są na przykład:

• art. 12 Powszechnej Deklaracji Praw Człowieka: „Nie wolno ingerować samowolnie w czyjekolwiek życie prywatne, rodzinne, domowe, ani w jego korespondencję, ani też uwłaczać jego honorowi lub dobremu imieniu. Każdy człowiek ma prawo do ochrony prawnej przeciwko takiej ingerencji lub uwłaczaniu”;

• art. 17 Międzynarodowego Paktu Praw Obywatelskich i Politycznych: „1. Nikt nie może być narażony na samowolną lub bezprawną ingerencję w jego życie prywatne, rodzinne, dom czy korespondencję ani też na bezprawne zamachy na jego cześć i dobre imię. 2. Każdy ma prawo do ochrony prawnej przed tego rodzaju ingerencjami i zamachami.”;

• art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności: „1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju,

101 PN-ISO/IEC 2382-8:2001 08.01.23, PN-I-02000:2002 3.1.088. 102 PN-I-02000:2002 – 3.1.089, PN-T-20000:1994 – P.

41

ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.”;

• ochronę prywatności gwarantuje również Konstytucja RP w art. 47: „Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”

• oraz w art. 49: „Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony.“.

Zagadnienie prywatności zdaje się więc dotyczyć co najmniej dwóch kwestii: ochrony życia prywatnego oraz ochrony korespondencji. Z punktu widzenia niniejszych rozważań znacznie bardziej interesującą jest kwestia ochrony korespondencji (a więc wymiany informacji).

Nie sposób w tym miejscu nie zauważyć kwestii możliwego (i często, pojawiającego się w rzeczywistości) konfliktu wartości, jaki może mieć miejsce pomiędzy prywatnością poszczególnych osób, a – tak czy inaczej rozumianymi – interesami państwa. Prawodawstwo polskie zdecy-dowanie preferuje interes społeczny czy państwowy kosztem interesu osobistego103, stąd też względny charakter prawnej ochrony prywatności budzi liczne wątpliwości (tym bardziej, że zdarzają się sytuacje nadużycia obowiązujących przepisów, które mają ochronę prywatności gwarantować). Tym większe znacznie zyskują techniczne środki umożliwiające zapewnienie prywatności, przynajmniej w kontekście wymiany informacji, a w pierwszym rzędzie możliwość anonimowej104 komunikacji105.

Od strony prawnej nie istnieje pozytywne, stanowione prawo (łac. ius positum) do anonimowości. Z technicznego punktu widzenia prywatność można zapewnić np. poprzez odpowiednie przepisy dotyczące retencji danych (tak jak ma to miejsce w przypadku danych telekomunikacyjnych

103 Jest to jeszcze jedno oblicze konfliktu Securitas/Libertas. 104 Anonimowość, zgodnie z przytoczoną powyżej definicją, staje się więc swoiście rozumianym atrybutem bezpieczeństwa informacji polegającym na tym, że nie ma możliwości identyfikacji podmiotu (w szczególności osoby która wykonuje jakąś czynność, np. przegląda stronę WWW, publikuje jakieś dane, czy osoby, której dotyczą informacje, np. zebrane w czasie badania). Anonimowość w odniesieniu do działań jest więc przeciwieństwem rozliczalności – właściwości zapewniającej, że działania podmiotu mogą być przypisane w sposób jednoznaczny temu podmiotowi. 105 Przez „komunikację” rozumie się zazwyczaj proces wymiany informacji pomiędzy uczestnikami tego procesu.

42

czy danych z monitoringu miejskiego), zasad dostępu do danych chronionych, ich wykorzystywania itd. Praktyka pokazuje jednak, że tego rodzaju ochrona bywa nieszczelna106, stąd mogą się rodzić uzasadnione wątpliwości, czy rzeczywiście środkami prawno-administracyjnymi można w sposób efektywny zrealizować prawo do prywatności. W przeciwieństwie do tego, przy pomocy środków technicznych można skutecznie zapewnić anonimowość107 komunikacji108.

Negatywną konsekwencją skutecznej anonimizacji jest uniemożli-wienie ochrony dóbr naruszonych w procesie komunikacji (np. nie można ustalić sprawcy pomówienia, czy osoby rozpowszechniającej nielegalne treści), co może stanowić problem (szczególnie w krajach, w których obowiązuje restrykcyjne prawo zabraniające pewnych rodzajów wypowiedzi czy dystrybucji określonych treści). Problem konfliktu pomiędzy wolnością wypowiedzi a odpowiedzialnością za słowo budzi czasami skrajne emocje, szczególnie wśród przeciwników prawa do anonimowości109.

106 Można podać mnóstwo nagłaśnianych przez media przypadków związanych z naruszeniem rozmaitego rodzaju tajemnic (śledztwa, lekarskiej, dziennikarskiej itd.). 107 Czasami używa się pojęcia „anonimizacji”, to jest procesu, w którym z danych umożliwiających identyfikację podmiotów otrzymuje się dane nie umożliwiające takiej identyfikacji. Anonimizację stosuje się np. w badaniach statystycznych, w których istotne są prawidłowości dotyczące całej badanej grupy, a nie informacje o poszczególnych jednostkach. Anonimizacją w informatyce nazywa się wykorzystanie odpowiednich rozwiązań informatycznych, np. anonimowego Proxy, sieci TOR (por. np. Szmit M., Routing cebulowy, „Hakin9” Nr 3/2008; Lisiak-Felicka D., Anonimowość w sieci, „Hakin9” Nr 1/2009 (44)) do ukrycia tożsamości osoby korzystającej z serwisów internetowych, zarówno przed tymi serwisami jak i przed ewentualnym podsłuchem ze strony administratorów sieci i hakerów. W sieci TOR możliwe jest również anonimowe publikowanie informacji na anonimowych serwerach (tj. serwerach, których rzeczywista lokalizacja pozostaje ukryta). 108 Oczywiście anonimizacja środkami technicznymi, opartymi o zaawansowane metody kryptograficzne jest skuteczna dopóty, dopóki nie zostanie znaleziona metoda łamania odpowiedniego algorytmu kryptograficznego, bądź inny sposób technicznego przełamania czy obejścia zabezpieczeń (np. poprzez atak na system operacyjny komputera szyfrującego). 109 „Przez anonimowość rodzi się bezpieczeństwo dla diabła, dla tego, co jest złe. Dla demonów i dla możliwości niszczenia.” – M. Boni, Minister administracji i cyfryzacji rządu RP, wypowiedź w wywiadzie telewizyjnym z 22.11.2012 r. („Anonimowość daje bezpieczeństwo”, dostępny na: http://www.tvn24.pl/wiadomosci-z-kraju,3/anonimowosc-daje-bezpieczenstwo-diablu-temu-co-zle,290299.html).

43

1.8 ATRYBUTY BEZPIECZEŃSTWA A PROCESY BEZPIECZEŃSTWA

Mówiąc o problemach semantycznych związanych z bezpieczeń-stwem informacji, należy wspomnieć o konieczności rozróżniania atrybutów bezpieczeństwa informacji od procesów związanych z zapewnianiem tegoż (w szczególności od procesów zachodzących w systemie informatycznym, czy funkcjach realizowanych przez ten system). I tak na przykład – obok wspomnianej wyżej anonimizacji – przy okazji pseudoanonimowości można mówić o pseudonimizacji (z gr. pseudōnymos – fałszywie nazwany), czyli użyciu w miejsce rzeczywistej nazwy procesu bądź osoby, nazwy przybranej tj. pseudonimu110. Pseudonimizacja utrudnia identyfikację (ustalenie danych) działającego podmiotu, natomiast umożliwia przypisanie różnych czynności tej samej osobie (bez znajomości jej danych osobowych). Stosowana jest ona np. do opisu przypadków medycznych, gdzie istotne jest jednoznaczna informacja, który z pacjentów jak reagował na – często wieloetapową – terapię. Oczywiście przykładem pseudonimizacji są też różne tradycyjne sposoby pisania pod pseudonimem.

Procesem prowadzącym do stwierdzenia autentyczności jest uwierzytelnienie (ang. authentication). Oznacza ono działanie weryfiko-wania deklarowanej tożsamości jednostki PN-I-02000:2002 – 3.4.105, PN-ISO/IEC 2382-8:2001 – 08.01.11. Polskojęzyczne „uwierzytelnienie” jest tłumaczeniem kontrowersyjnym o tyle, że zmienia źródłosłów. Zarówno bowiem angielskie „authentication” jak i francuskie „autentification” pochodzą od starogreckiego αυθεντικός (authentikós), czyli „autentyczny”, które z kolei pochodzi od słowa αυθέντης (authéntēs) oznaczajacego „sprawcę” (a nawet „mordercę”), czyli tego, który coś zrobił sam – αὐτός (autos), natomiast „uwierzytelnienie” pochodzi od słowa „wiara”. Słownik Języka Polskiego podaje trzy definicje uwierzytelniania111:

1. «uczynić coś wiarygodnym»; 2. «stwierdzić autentyczność dokumentu lub podpisu, zgodność

z prawem jakiejś czynności prawnej»; 3. «zaopatrzyć kogoś w dokumenty stwierdzające powierzenie mu

funkcji dyplomatycznej»;

110 Zob. np.: Pfitzmann A., Hansen M., Anonymity, Unlinkability, Unobservability, Pseudonymity, and Identity Management – A Consolidated Proposal for Terminology (Version v0.23 Aug. 25, 2005) TU Dresden ULD Kiel, dostępny na: http://freehaven.net/anonbib/cache/terminology.pdf. 111 Zob.: Słownik Języka Polskiego PWN…, op. cit.

44

natomiast w stronie zwrotnej (uwierzytelnić się) – już tylko jedną «okazać się wiarygodnym»112.

Samo „wiara” w języku polskim pochodzi od „wiere”, które jest spolonizowanym łacińskim „vere” (zaprawdę), stąd też Słownik Języka Polskiego w pierwszym znaczeniu podaje, że „wierzyć” to «uznawać coś za prawdę»113. Jako ciekawostkę można wspomnieć, że w staropolszczyźnie funkcjonowało pojęcie rekognicji. Słownik Języka Polskiego PWN podaje dwa znaczenia:

• daw. «uznanie tożsamości jakiejś osoby»; • daw. «stwierdzenie prawdziwości dokumentu».

Współcześnie słowo to dotyczy przede wszystkim procedury stosowanej przy ekshumacji zwłok świętego, bądź kandydata na ołtarze114, ale oczywiście można dokonać rekognicji również osoby żyjącej (takie znaczenie pojawiło się np. w kryminalistyce, gdzie określa się tak – choć rzadko – okazanie w celu rozpoznania). Odpowiedni czasownik odrzeczownikowy to rekognoskować (ma on też drugie znaczenie „badać, rozpoznawać”115.

Z tego samego źródłosłowu pochodzi słowo autoryzacja (ang. authorization), które w bezpieczeństwie informacji oznaczają funkcję, która potwierdza, czy dany podmiot jest uprawniony do korzystania z żądanego zasobu, dotyczą więc procesu kontroli dostępu. Proces kontroli dostępu zazwyczaj składa się z trzech etapów:

• identyfikacji: użytkownik bądź proces podaje swój identyfikator, czyli ciąg znaków lub wzorzec, który jest używany przez system przetwarzania danych do identyfikowania użytkownika116;

112 Zob.: Słownik Języka Polskiego PWN…, op. cit. 113 Zob.: Ibidem. 114 Zob. np.: http://www.nasza-arka.pl/2010/rozdzial.php?numer=10&rozdzial=5, http://www.patrimonium.chrystusowcy.pl/kandydaci-na-oltarze/sluga-bozy-ks-ignacy-posadzy/proces-beatyfikacyjny/rekognicja/#.VSHBLBdHU-8. 115 Zob. np.: Encyklopedia Gutenberga, dostępna na: http://www.gutenberg. czyz.org/word,65489; ; Słownik Języka Polskiego, Wersja Elektroniczna, dostępny na: sjp.pl. 116 PN-ISO/IEC 2382-8:2001 – 08.04.02.

45

• uwierzytelnienia, które może odbywać się na różne sposoby, zazwyczaj według jednego ze schematów: „coś wiedzieć” (np. hasło-odzew), „coś mieć” (np. kartę bankomatową), bądź kimś być (np. poprzez pomiar biometryczny). Dane przesyłane w celu poświadczenia tożsamości noszą nazwę danych uwierzytel-niających117 (ang. credential)118;

• autoryzacji.

1.9 PRZYKŁADY DEFINICJI LEGALNYCH

Podstawowym aktem prawnym, który miał za zadanie uporządko-wanie definicji pojęć informatycznych używanych w polskim prawodawstwie jest ustawa z 4.9.2008 r. o zmianie ustaw w celu ujednolicenia terminologii informatycznej119, która wprowadziła pojęcia „informatyczny nośnik danych”, „dokument elektroniczny”, „system teleinformatyczny” oraz „środki komunikacji elektronicznej” użyte w art. 3 pkt 1–4 ustawy z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne120 do szeregu innych ustaw. Sama UoIDPP została zresztą później, to jest już po uchwaleniu UoZUTI, znowelizowana121 (ustawą z 12.2.2010 r. o zmianie ustawy o infor-matyzacji działalności podmiotów realizujących zadania publiczne oraz niektórych innych ustaw122), w interesującym z punktu widzenia tego rozdziału zakresie (zmieniły się definicje „informatycznego nośnika danych” oraz „systemu teleinformatycznego”). Odpowiednie definicje w momencie uchwalenia ustawy brzmiały:

• „informatyczny nośnik danych – materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej lub analogowej”;

117 Ściśle rzecz biorąc definicja normatywna odnosi się do uwierzytelniania stacji: Dane uwierzytelniające – dane przesłane celu ustalenia poświadczonej tożsamości stacji PN-T-20000:1994 – D. 118 Jako ciekawostkę można podać, że w języku polskim słowa „kredencjał” (nieznanego większości słowników) używa się w odniesieniu do dokumentu pielgrzyma dróg św. Jakuba, pełniącego rolę legitymacji lub paszportu pielgrzymiego. 119 Dz.U. z 2008 r. Nr 171, poz. 1056; dalej jako: UoZUTI. 120 T. jedn.: Dz.U. z 2014 r. poz. 1114; dalej jako: UoIDPP. 121 Była to zresztą jej już trzecia nowelizacja. 122 Dz.U. z 2010 r. Nr 40, poz. 230.

46

• „system teleinformatyczny – system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy z dnia 18.7.2002 r. o świadczeniu usług drogą elektroniczną123”.

Powołana UoSUDE w swoim pierwotnym brzmieniu definiowała system teleinformatyczny jako „system teleinformatyczny — zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozu-mieniu ustawy z 21.7.2000 r. — Prawo telekomunikacyjne124”, w brzmie-niu obecnym natomiast zmianie uległo jedynie odwołanie do PrTelekom2000 (która w międzyczasie również została znowelizowana). Natomiast po nowelizacji UoIDPP definicje, o których mowa brzmią:

• „informatyczny nośnik danych – materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej”;

• „system teleinformatyczny – zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końco-wego w rozumieniu przepisów ustawy z 16.7.2004 r. – Prawo telekomunikacyjne125”.

Definicja dokumentu elektronicznego brzmi: „dokument elektro-niczny – stanowiący odrębną całość znaczeniowa zbiór danych uporządkowanych w określonej strukturze wewnętrznej i zapisany na informatycznym nośniku danych”, natomiast zamiast definicji środków komunikacji elektronicznej UoIDPP zawiera kolejne odesłanie do UoSUDE: „środki komunikacji elektronicznej – środki komunikacji elektronicznej w rozumieniu art. 2 pkt 5 UoSUDE. Ta zaś ustawa zawiera definicję w brzmieniu: „środki komunikacji elektronicznej – rozwią-zania techniczne, w tym urządzenia teleinformatyczne i współpracujące z nimi narzędzia programowe, umożliwiające indywidualne porozumie-wanie się na odległość przy wykorzystaniu transmisji danych między

123 T. jedn.: Dz.U. z 2013 r. poz. 1422; dalej jako: UoSUDE oraz z ustawa z 20.4.2004 r. o zmianie i uchyleniu niektórych ustaw w związku z uzyskaniem przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej (Dz.U, z 2004 r. Nr 96, poz. 959) i Nr 173 poz. 1808 124 Dz.U. z 2000 r. Nr 73, poz. 852.; dalej jako: PrTelekom2000. 125 T. jedn.: Dz.U. z 2014 r. poz. 243.

47

systemami teleinformatycznymi, a w szczególności pocztę elektro-niczną”.

Abstrahując od specyfiki języka prawnego, który wybitnie zmniejsza komunikatywność przytoczonych definicji, nie można pominąć faktu, że wprowadzenie w UoZUTI czterech, stosunkowo prostych, definicji zostało osiągnięte poprzez odesłania do dwóch innych ustaw (UoIDPP oraz UoSUDE). Biorąc pod uwagę, że sama UoZUTI wprowadzała zmiany w trzydziestu różnych ustawach wydaje się, iż niewiele większym nakładem pracy byłoby zamieszczenie odpowiednich definicji w jednym akcie prawnym (o charakterze glosariusza) i umieszczenie odwołań do niego również w trzydziestu dwóch ustawach. Niewątpliwie poprawiłoby to klarowność tego fragmentu systemu prawnego i ułatwiło wykładnię przepisów tych ustaw, która obecnie komplikuje się po każdej zmianie którejś z ustaw, do której odwołanie (albo odwołanie do odwołania do której) zawiera UoZUTI 126.

126 Powyższe rozważania mają znaczenie choćby przy okazji art. 268 § 2 KK, w którym po wejściu w życie UoZUTI, na skutek której zwrot „komputerowy nośnik informacji” zamieniony został na „informatyczny nośnik danych”:

„art. 268. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3.”

Informatyczny nośnik danych pierwotnie zdefiniowany był jako „materiał lub urządzenie służące do zapisywania, przechowywania i odczytania danych w postaci cyfrowej lub analogowej” (art. 3 pkt 1 UoIDPP, w ten sposób – gdyby trzymać się rozumienia słownikowego – obejmował więc również np. kartkę papieru zapisaną literami. Sytuacja prawna zmieniła się po nowelizacji w 2010 r. UoIDPP i zawartej w niej definicji informatycznego nośnika danych). Definicja informatycznego nośnika danych przyjęła wówczas postać „informatyczny nośnik danych – materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej” (można więc zastanawiać się, czy za informatyczny nośnik danych można uznać np. kartkę papieru, o ile jest ona zapisana cyframi). Taka zmiana powodować może zmianę kwalifikacji karnej czynu polegającego na zniszczeniu zapisu istotnej informacji, znajdującego się np. na klasycznej (analogowej) taśmie magnetofonowej. Znacznie bardziej czytelne są definicje z Polskich Norm. Powołana wielokrotnie norma [PN-ISO/IEC 2382-1:1996-01.01.51] definiuje po prostu „nośnik danych – przedmiot, w którym lub na którym można zapisać dane oraz z którego dane można odzyskać”. Wprowadzenie dookreślenia „informatyczny” jest zatem z technicznego punktu widzenia wątpliwe, szczególnie, że trudno sobie wyobrazić aby intencją ustawodawcy było zróżnicowanie kar za utrudnianie osobie uprawnionej zapoznania się z informacją zawartą np. na zdjęciu, w zależności od tego, czy było ono wydrukowane na papierze, czy wyświetlone na urządzeniu typu „fotoramka” albo czy do jego zapisu wykorzystano urządzenie kodujące informacje w postaci liczb jedno- czy wielocyfrowych. Należy raczej spodziewać się, że ustawodawca chciał rozróżnić nielegalne operacje wykonywane na danych zapisanych na

48

1.10 CYBERNETYKA, CYBERPRZESTRZEŃ I CYBERBEZPIECZEŃSTWO

Cybernetyka (ang. cybernetics z gr. κυβερνητικός – kybernētikόs „sternik”) jest nauką127 zajmującą się systemami sterowania oraz związanym z tym przetwarzaniem i przekazywaniem informacji. Stosunkowo często cybernetyka jest mylona z informatyką, w szcze-gólności przez osoby zajmujące się innymi dziedzinami wiedzy128. Prefix „cyber-” jest niezwykle popularny w mowie potocznej, z której przeniknął do języka prawnego i prawniczego. Stało się tak np. z pojęciem cyberprzestrzeni (ang. cyberspace). Samo słowo zostało użyte po raz pierwszy w opowiadaniu „Burning Chrome” autorstwa W. Gibsona129, przy czym desygnat tego słowa był pierwotnie nieokreślony. Pojęcie „cyberprzestrzeni”, gdyby rozumieć je zgodnie z jego etymologią, jest z technicznego punktu widzenia co najmniej wątpliwe, po pierwsze z uwagi na – opisane wcześniej – rozróżnienie między cybernetyką a informatyką, po wtóre – z uwagi na to, że trudno

jakimś nośniku od operacji wykonywanych na danych przesyłanych (np. w sieci komputerowej). 127 Na marginesie można zauważyć, że z niewiadomych względów, w powoływanym już ROWDN cybernetyki nie ma, jest za to – w obszarze nauk technicznych, dziedzinie nauk technicznych dyscyplina biocybernetyka i inżynieria biomedyczna. 128 W pracy Kolasińska E., Rot H., Podstawy cybernetyki i informatyki prawniczej, Wrocław 1983 znajduje się następujące rozróżnienie: „Jedyne kryterium rozdzielania zagadnień zaliczanych do cybernetyki prawniczej od zagadnień stanowiących przedmiot badawczy informatyki prawniczej może stanowić stopień ich przydatności do ewentualnego przetwarzania informacji o prawie (..) Należy więc uznać, że im stopień tej przydatności jest większy, tym rozważania są bliższe informatyce prawniczej, a zarazem bardziej techniczne. Przy małym stopniu przydatności mamy do czynienia z cybernetycznymi analizami modelowymi (prowadzonymi z reguły na wyższym stopniu abstrakcji)”. W pracy Petzel J., Informatyka prawnicza…, op. cit., Autor pisze wręcz, że „część autorów stoi na stanowisku, iż cybernetyka i informatyka są jedną dyscypliną naukową (..) Ma to swoje konsekwencje dla określenia wzajemnego stosunku cybernetyki prawniczej i informatyki prawniczej, które są w tym rozumieniu również jedną dyscypliną naukową”. 129 Część źródeł podaje, że miało to miejsce w powieści „Neuromancer” (zob. np.: Dziwisz S., Odpowiedzialność karna za przestępstwa popełnione w cyberprzestrzeni [w:] Podraza A., Potakowski P., Wiak K. (red.), Cyberterroryzm zagrożeniem XXI wieku, Warszawa 2013).

49

mówić o „przestrzeni cybernetycznej” (czy nawet „informatycznej”)130, stąd też trudno byłoby dywagować o potrzebie bezpieczeństwa i możliwościach ochrony takiego hipotetycznego tworu. Akty prawne dotyczące bezpieczeństwa próbują jednak definiować cyberprzestrzeń na podobieństwo przestrzeni powietrznej, morskiej, czy lądowej. I tak ustawa z 30.8.2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw131 definiuje ją jako

• przestrzeń przetwarzania i wymiany informacji tworzoną przez systemy teleinformatyczne, określone w art. 3 pkt 3 UoIDPP,

130 W pracy Liderman K., O zagrożeniach dla skutecznej ochrony informacji, Przetwarzanej w sieciach i systemach teleinformatycznych, powodowanych nowomową, Konferencja „Cyberspace 2009” Autor dość emocjonalnie nazywa podobne określenia „nowomową”: „Oczywiście, ta swoista >>nowomowa<< nie wzięła się znikąd. Przyszła do nas zza Wielkiej Wody od naszego aktualnego Wielkiego Brata jako proste tłumaczenie angielskojęzycznych określeń: cybersecurity, cyberdefense itd. zawartych w dokumentach administracji USA. (…) Przy panującym imperializmie językowym, gdy to, co jest napisane po angielsku jest święte, a to samo sformułowane w innym języku, np. polskim, się nie liczy i jest pogardzane, takie podejście nie dziwi. Przyswajanych jest wiele takich słów-wytrychów (najczęściej bezkrytycznie), bo uważa się powszechnie, że ich używanie świadczy o znajomości najnowszych światowych trendów. (…) Niestety, zapomina się przy tym często, że w języku angielskim głupstwa można wypisywać i wygłaszać równie dobrze jak np. w języku polskim”. Kosiński J. w monografii habilitacyjnej (Kosiński J., Paradygmaty cyberprzestępczości, Warszawa 2015 s. 31) pisze: „»Cyber« jest idealnym prefiksem – większość czytelników i słuchaczy nie ma pojęcia, co znaczy, ale może poprzedzać dowolne słowo, aby całość wydawała się nowa, atrakcyjna i jednocześnie dziwna, straszna lub naukowa (…) określenie »przestępstwa cybernetyczne«, często używane w tłumaczeniach i literaturze wojskowej wydaje się niewłaściwe. Przegląd definicji określeń zaczynających się od członu »cyber-« potwierdza jedynie, że nie ma jednolitych definicji tych określeń w mediach, w dokumentach strategicznych, a nawet w publikacjach naukowych”. Podobnie argumentuje Berdel-Dudzińska M., Pojęcie cyberprzestrzeni we współczesnym polskim porządku prawnym, dostępne na: http://www.ksiegarnia.lexisnexis.pl/gfx/lexisnexis/ userfiles/files/pojecie_cyberprzestrzeni_we_wspolczesnym_polskim_porzadku_prawnym.pdf przytaczając opinię z analizy sejmowej: Mróz M., Informacja nt. pojęcia cyberprzestrzeni oraz bezpieczeństwa i zagrożenia cyberprzestrzeni wprawie międzynarodowym i w ustawodawstwie wybranych państw demokratycznych (w zw. z Drukiem sejmowym nr 4355.), Warszawa 2011 r., Druk sejmowy nr 1757, http://orka.sejm.gov.pl/rexdomk6.nsf/0/B73334CDA51F11A1C12578CC0047C0E2/$file/i1757-11.rtf, mianowicie, że pojęcie „cyberprzestrzeń” w prawie międzynarodowym, prawie Unii Europejskiej i w ustawodawstwie narodowym poszczególnych państw przywoływane jest rzadko, a w tekstach o treści ściśle normatywnej – jedynie sporadycznie. Por.: Szmit M., Cyberbezpieczeństwo jako zagadnienie interdyscyplinarne [w:] Bezpieczeństwo w administracji i biznesie jako czynnik europejskiej integracji i rozwoju, Gdynia 2015 s. 391–413. 131 Dz.U. z 2011 r. Nr 222, poz. 1323.

50

wraz z powiązaniami pomiędzy nimi oraz relacjami z użytko-wnikami”.

Natomiast Rządowy program ochrony cyberprzestrzeni Rzeczy-pospolitej Polskiej na lata 2011–2016 (jak również Polityka ochrony cyberprzestrzeni Rzeczypospolitej Polskiej) jako:

• Cyberprzestrzeń – cyfrowa przestrzeń przetwarzania i wymiany informacji tworzona przez systemy i sieci teleinformatyczne wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami.

• Cyberprzestrzeń RP – cyberprzestrzeń w obrębie terytorium państwa Polskiego i w lokalizacjach poza terytorium, gdzie funkcjonują przedstawiciele RP (placówki dyplomatyczne, kontyngenty wojskowe).

Próba literalnego rozumienia powyższych definicji legalnych prowadziłaby do paradoksów: zdają się one być nazwami pustymi (pozbawionymi desygnatu) o tyle, że systemy informatyczne nie tworzą przestrzeni, choć poszczególne nośniki informacji, urządzenia służące do jej przesyłania czy przetwarzania, czy użytkownicy systemów oczywiście jakąś przestrzeń zajmują, ewentualnie (jeśli za „tworzenie przestrzeni”) przyjąć miejsce zachodzenia owych procesów przetwarzania i wymiany informacji, „cyberprzestrzeń RP” będzie rozciągała się na cały świat, a przynajmniej na tę jego część, w której znajdują się przedstawiciele RP (użytkownicy powiązani relacjami z systemami informatycznymi, bowiem trudno sobie współcześnie wyobrazić jakiegoś przedstawiciela RP, który nie jest użytkownikiem jakichkolwiek systemów informa-tycznych).

Pojęcia cyberprzestrzeni i cyberbezpieczeństwa zostały również zdefiniowane w normie międzynarodowej132 ISO/IEC 270032, w ten sposób, że cyberprzestrzeń133 zdefiniowano jako złożone środowisko będące rezultatem oddziaływań ludzi, oprogramowania i usług w Inter-necie prowadzonych za pomocą urządzeń i sieci przyłączonych do niego, które nie istnieje w formie materialnej.

Można się domyślać, że twórcom tej definicji zależało na podkreśleniu efektów synergicznych134 jakie niesie ze sobą Internet, 132 W chwili pisania niniejszej książki nie było jeszcze odpowiedniej Polskiej Normy, stąd też definicje z normy międzynarodowej przytoczono in extenso w przypisach. 133 „The Cyberspace – the complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form” [ISO/IEC 270032-3.21]. 134 Posługując się pojęciami cybernetycznymi (sensu stricto): synergia jest to zjawisko polegające na tym, że własności danego systemu (rozumianego jako zbiór elementów i relacji pomiędzy nimi – zob. np.: Szmit M., Informatyka…, op. cit., s. 6 i n.) nie da się

51

szczególnie w jego wymiarze społecznym, niemniej definicja mówiąca o oddziaływaniach (interakcjach), a więc zjawiskach nieistniejących w formie fizycznej, musi budzić wątpliwości metodologiczne135. Warto natomiast zwrócić uwagę, że rzeczywiście znacznie lepiej od słowa „przestrzeń” do „cyberprzestrzeni” przystaje słowo „środowisko”.

Definicja normatywna pojęcia cybersecurity136 jest zaadaptowaną

wersją przytoczonej wcześniej normatywnej definicji bezpieczeństwa informacji, precyzującą, że chodzi o bezpieczeństwo informacji w cyberprzestrzeni. Norma definiuje ją jako zachowanie poufności, integralności i dostępności informacji (przy czym mogą być brane także pod uwagę inne atrybuty) w cyberprzestrzeni.

sprowadzić do prostej sumy własności jego składowych. Obrazowo oddaje tę własność systemów parafraza cytatu z „Metafizyki” Arystotelesa mówiąca, że całość to więcej niż suma jej części (zob. np.: Penc J., Leksykon…, op. cit., s. 434). Fakt istnienia relacji pomiędzy składowymi systemu powoduje powstanie szeregu jego własności, których nie mają same te składowe, ani nawet nie miałaby suma tych składowych nie połączonych tymi relacjami. Innym zjawiskiem, które należy uwzględnić mówiąc o systemie jest fakt, że rozpatrywanie go ma zawsze sens jedynie w szerszym kontekście (pewnego meta-systemu) – zależność ta nosi nazwę paradoksu hierarchiczności: system można opisać tylko pod warunkiem, że będziemy go traktować jako element systemu szerszego, z drugiej strony, w jego ramach można zazwyczaj łatwo wydzielić szereg elementów dających się zakwalifikować jako podsystemy (zob. np.: Flakiewicz W., Oleksiński J., Cybernetyka ekonomiczna, Warszawa 1989 s. 21 i n.). W normie ISO/IEC 270032 wyjaśniono, że cyberprzestrzeń może być opisana jako wirtualne złożone środowisko będące wynikiem rozwoju Internetu wraz z osobami, organizacjami, ich działalnością, technologiami, sieciami i urządzeniami podłączonymi do niego, jak się więc wydaje rozumienie pojęcia „Cyberprzestrzeni” jako tak rozumianego metasystemu dla pojęcia „Internet” jest uprawnione. 135 Budowanie definicji przez odwołanie się do atrybutu, którego definiowane pojęcie nie posiada jest praktyką, której należy w miarę możliwości unikać. 136„Cybersecurity, Cyberspace security – preservation of confidentiality, integrity and availability of information in the Cyberspace. NOTE 1 In addition, other properties, such as authenticity, accountability, non-repudiation, and reliability can also be involved. NOTE 2 Adapted from the definition for information security in ISO/IEC 27000:2009.” [ISO/IEC 270032-3.20].

52

Norma zawiera jeszcze definicję pojęcia cybersafety137, na którą

warto zwrócić uwagę w kontekście dyskutowanych wcześniej pojęć safety i security. Przyjęte przez normę znaczenie mówi o byciu chronio-nym i o poczuciu bycia chronionym przed szeregiem zagrożeń najróżniej-szej natury (zdrowotnymi, duchowymi, psychologicznymi etc.). Wzaje-mny stosunek pomiędzy różnymi rodzajami bezpieczeństwa został zilu-strowany w powołanej normie rysunkiem, jak poniżej (zob. Rysunek 4).

Rysunek 4. Relacje pomiędzy różnymi rodzajami bezpieczeństwa informacji.

Warto zwrócić uwagę, że podejście normatywne rozgranicza ochronę infrastruktury krytycznej od cyberbezpieczeństwa (nie mają one na powyższym rysunku części wspólnych). Natomiast na przykład Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej definiuje „bezpieczeństwo cyberprzestrzeni RP” następująco: „część cyberbezpie-czeństwa państwa, obejmująca zespół przedsięwzięć organizacyjno-prawnych, technicznych, fizycznych i edukacyjnych mających na celu zapewnienie niezakłóconego funkcjonowania cyberprzestrzeni RP wraz ze stanowiącą jej komponent publiczną i prywatną teleinformatyczną infrastrukturą krytyczną oraz bezpieczeństwa przetwarzanych w niej

137 „Cybersafety – the condition of being protected against physical, social, spiritual, financial, political, emotional, occupational, psychological, educational or other types or consequences of failure, damage, error, accidents, harm or any other event in the Cyberspace which could be considered non-desirable. NOTE 1 This can take the form of being protected from the event or from exposure to something that causes health or economical losses. It can include protection of people or of assets. NOTE 2 Safety in general is also defined as the state of being certain that adverse effects will not be caused by some agent under defined conditions”. [ISO/IEC 270032-3.19].

53

zasobów informacyjnych”. „Doktryna…” zatem dołącza zagadnienie ochrony – przynajmniej części – infrastruktury krytycznej – do pojęcia cyberbezpieczeństwa. Użyte pojęcie „cyberbezpieczeństwa państwa” pozostaje w powołanym dokumencie niezdefiniowane.

Już zatem nawet pobieżna lektura trzech podstawowych dokumentów: Doktryny Cyberbezpieczeństwa Rzeczypospolitej Polskiej, Rządowego Programu Ochrony Cyberprzestrzeni RP na lata 2011–2016 oraz Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej wzbudza poważne wątpliwości odnośnie do nawet tak elementarnych kwestii jak poprawność użytej terminologii. Tym bardziej wskazane wydawało się podjęcie próby analizy, jak owo „cyberbezpieczeństwo” zostało w praktyce zapewnione w urzędach administracji rządowej i samorządowej.

55

2. SYSTEMY ZARZĄDZANIA

BEZPIECZEŃSTWEM INFORMACJI W ADMINISTRACJI PUBLICZNEJ

W POLSCE

2.1 CHARAKTERYSTYKA ADMINISTRACJI PUBLICZNEJ

Termin „administracja” pochodzi od łacińskiego słowa ministrare, oznaczającego służyć (przedrostek „ad” wzmacnia jego służebny sens)138. Istnieje wiele definicji tego pojęcia. J. Starościak139 definiuje je jako „funkcję organizatorską o cechach takich jak: inicjatorski charakter działalności, rozwiązywanie konkretnych sytuacji, prowadzenie pracy organizatorskiej nie tylko przez tworzenie obowiązujących norm porządku prawnego, szczególne prawem określone formy działalności administracyjnej państwa”. J. Boć140 określa administrację jako „przyjęte przez państwo i realizowane przez jego zawiłe organy, a także przez organy samorządu terytorialnego, zaspokajanie zbiorowych i indywidual-nych potrzeb obywateli, wynikających ze współżycia w społecznościach” Najogólniej, za E. Ochendowskim141, pod tym pojęciem rozumie się wszelką zorganizowaną działalność zmierzającą do osiągania poszcze-gólnych celów.

Administracja publiczna (ang. public administration), określana jest przez Autorów142 jako zespół działań, czynności oraz przedsięwzięć

138 Zob.: Iserzon E., Prawo administracyjne, Wydawnictwo, Warszawa, 1968 s. 19; Ochendowski E.: Prawo administracyjne: część ogólna, Toruń 2002 s. 18; Izdebski H., Kulesza M., Administracja publiczna – zagadnienia ogólne, Warszawa 2004 s. 23 oraz Hausner J., Administracja publiczna, Warszawa 2005. 139Zob.: Starościak J., Prawo administracyjne, Warszawa 1975 s.10. 140 Zob.: Błaś A., Boć J., Jeżewski J., Administracja publiczna, pod red. Boć J., Poznań 2004, s. 16. 141 Zob.: Ochendowski E.: Prawo administracyjne…, op. cit. 142 Definicje tego pojęcia zostały zebrane m.in. w publikacji: Monarcha-Matlak A., Obowiązki administracji w komunikacji elektronicznej, Warszawa 2008 s. 19–20. Definicja administracji publicznej rozpatrywana jest przez Ochendowskiego E. w ujęciu przedmiotowym (materialnym), podmiotowym (organizacyjnym) oraz formalnym.

56

organizatorskich i wykonawczych prowadzonych na rzecz realizacji interesu publicznego przez różne podmioty, organy i instytucje, na podstawie ustawy i w określonych prawem formach. Ma ona wymiar ogólnospołeczny i obejmuje zakres spraw o charakterze publicznym.

Istnieje wiele podziałów administracji publicznej. Niektórzy Autorzy143 prezentują podział na zdecentralizowaną, centralną oraz upoważnione podmioty prawa prywatnego (zob. Rysunek 5). Według tej klasyfikacji zadania wykonywane są:

• w ramach administracji państwowej – przez scentralizowaną i zbudowaną hierarchicznie administrację rządową;

• na zasadach zdecentralizowanych – przez inne podmioty i samodzielne instytucje administracji publicznej;

• jako zadania zlecane różnym organizacjom, instytucjom i innym podmiotom, zwłaszcza spoza sektora publicznego.

Rysunek 5.System podmiotów administracji publicznej według

E. Ochendowskiego. Źródło: opracowanie własne na podstawie: Ochendowski E.:

Prawo administracyjne…, op. cit. s. 213.

Natomiast Izdebski H. i Kulesza M. (Izdebski H., Kulesza M., Administracja publiczna…, op. cit.) wyróżniają również aspekt funkcjonalny administracji. 143 Podział zadań administracji publicznej zaproponowany w pracy Izdebski H., Kulesza M., Administracja publiczna…, op. cit., s. 130–131.

57

Inny podział przedstawia Boć J. (zob. Rysunek 6).

Rysunek 6. Podział administracji państwowej według J. Bocia.

Źródło: opracowanie własne na podstawie: Błaś A., Boć J., Jeżewski J., Administracja publiczna…, op. cit.

Zgodnie z podziałem zaproponowanym przez J. Bocia z całości administracji publicznej wyróżnia się administrację państwową, rządową i samorządową.

Administrację państwową (ang. state administration) można wyodrębnić ze względu na jej stabilność, trwałość i zasięg historyczny. Obecnie w Polsce zalicza się do niej144:

• Prezydenta; • Najwyższą Izbę Kontroli; • Krajową Radę Radiofonii i Telewizji; • Rzecznika Praw Obywatelskich; • Krajową Radę Sądownictwa; • organy Narodowego Banku Polskiego, w tym Radę Polityki

Pieniężnej; • centralne organy administracji podległe Sejmowi; • ambasadorów i konsulów Rzeczpospolitej Polskiej jako organy

administracji państwowej funkcjonujące za granicami państwa.

Administrację rządową (ang. government administration) można podzielić ze względu na zakres jej działania na:

• centralną – obsługującą rząd, pełniącą funkcję rządzenia krajem i kierującą całością administracji rządowej, obejmującą obok

144 Zob.: Błaś A., Boć J., Jeżewski J., Administracja publiczna…, op. cit., s. 48 oraz Ochendowski E.: Prawo administracyjne…, op. cit., s. 214–223.

58

premiera, czyli Prezesa Rady Ministrów, również ministrów kierujących określonymi działami administracji rządowej oraz ministrów wykonujących zadania wyznaczone im przez Prezesa Rady Ministrów;

• terenową145, dla której można wyróżnić jeszcze dodatkowy podział na zespoloną i niezespoloną.

Zgodnie z ustawą z 5.6.1998 r. o administracji rządowej146 w województwach utworzono wojewódzką administrację zespoloną, którą poza wojewodą stanowią kierownicy zespolonych służb, inspekcji i straży. Powiatowe służby, inspekcje i straże działają pod zwierzchni-ctwem starosty. Ustanowienie organów administracji niezespolonej może następować wyłącznie w drodze ustawy, jeśli jest to uzasadnione ogólnopaństwowym charakterem wykonywanych zadań lub terytor-ialnym zasięgiem działania przekraczającym obszar jednego woje-wództwa. Z załączonego do powoływanej ustawy wykazu wynika, że organy administracji niezespolonej występują w następujących działach administracji rządowej: wojskowa, skarbowa, górnicza, miar, probiercza, gospodarki wodnej, celna i inspekcja celna, morska, statystyki publicznej, żeglugi śródlądowej i straży granicznej147. W 2009 r. wprowadzono nową ustawę o wojewodzie i administracji rządowej w województwie148 uchylającą UoAR. Określa ona zakres działania oraz zasady funkcjo-nowania wojewody, tryb jego powoływania i odwoływania oraz organizację rządowej administracji zespolonej i niezespolonej. Zgodnie z ustawą zadania administracji rządowej w województwie wykonują:

1) wojewoda; 2) organy rządowej administracji zespolonej w województwie,

w tym kierownicy zespolonych służb, inspekcji i straży; 3) organy niezespolonej administracji rządowej; 4) jednostki samorządu terytorialnego i ich związki, jeżeli wykony-

wanie przez nie zadań administracji rządowej wynika z odrę-bnych ustaw lub z zawartego porozumienia;

5) starosta, jeżeli wykonywanie przez niego zadań administracji rządowej wynika z odrębnych ustaw;

6) inne podmioty, jeżeli wykonywanie przez nie zadań administracji rządowej wynika z odrębnych ustaw.

145 Zob.: Izdebski H., Kulesza M., Administracja publiczna…, op. cit., s. 131–135. 146 Dz.U. 1998 Nr 91, poz. 577 ze zm.; dalej jako: UoAR. 147 Zob.: Ochendowski E.: Prawo administracyjne…, op. cit., s. 291 i 292. 148 Zob.: ustawa z 23.1.2009 r. o wojewodzie i administracji rządowej w województwie (t. jedn.: Dz.U. z 2015 r. poz. 525.

59

Administracja samorządowa (ang. local government administration) w Polsce na podstawie ustawy z 24.7.1998 r. o wprowadzeniu zasa-dniczego trójstopniowego podziału terytorialnego państwa149, została ukształtowana na trzech szczeblach. Podział został wprowadzony z dniem 1.1.1999 r. Jednostkami zasadniczego podziału terytorialnego są:

• gminy; • powiaty; • województwa150.

Zgodnie z art. 164 ust. 1 Konstytucji Rzeczpospolitej Polskiej podstawową jednostką samorządu terytorialnego jest gmina151. Przez pojęcie gminy należy rozumieć „lokalną wspólnotę samorządową oraz odpowiednie terytorium”152. Przez określenie „powiat” należy rozumieć „lokalną wspólnotę samorządową oraz odpowiednie terytorium”153. Z dniem 1.1.1999 r. zostały utworzone (ponownie) powiaty (obecnie 314 powiatów) i miasta na prawach powiatu – 66 gmin miejskich wyłączono z powiatów, z uwagi na przyznanie im prawa powiatu (miasta na prawach powiatu, powiaty grodzkie). Są to miasta powyżej 100 000 mieszkańców, kilka mniejszych, ze względu na ich położenie geograficzne oraz byłe miasta wojewódzkie, z wyjątkiem tych, które zrezygnowały z tego prawa154. Natomiast przez „województwo lub samorząd województwa” należy rozumieć „regionalną wspólnotę samorządową oraz odpowiednie terytorium”155. Na mocy UoWZTPT, utworzonych zostało z dniem 1.1.1999 r. 16 województw. Ustawa określiła ich nazwy, siedziby wojewodów i sejmików województwa. Nazwy województw tylko w trzech przypadkach (w województwach: lubelskim, łódzkim i opolskim) pochodzą od nazwy stolicy województwa, w pozostałych przypadkach od nazw ziem czy regionów156.

149 Dz.U. z 1998 r. Nr 96, poz. 603; dalej jako: UoWZTPT. 150 Ochendowski E.: Prawo administracyjne…, op. cit., s. 291 i 292, UoWZTPT. 151 Konstytucja Rzeczpospolitej Polskiej z 2.4.1997 r. (Dz.U. z 16.7.1997 r. Nr 78, poz. 483 z późn. zm.). 152 Zob.: art. 1 ust. 2 ustawy z 8.3.1990 r. o samorządzie gminnym (t. jedn.: Dz.U. z 2015 r. poz. 1515; dalej jako: UoSG). 153 Zob.: art. 1 ust. 2 ustawy z 5.6.1998 r. o samorządzie powiatowym (t. jedn.: Dz.U. z 2015 r. poz. 1445; dalej jako: UoSP). 154 Zob.: Izdebski H., Kulesza M., Administracja publiczna…, op. cit., s. 250 oraz zasady tworzenia powiatów w UoSP. 155 Zob.: art. 1 ust. 2 ustawy z 5.6.1998 r. o samorządzie województwa (t. jedn.: Dz. U. z 2015 r. poz. 1392; dalej jako: UoSW). 156 Zob.: Ochendowski E.: Prawo administracyjne…, op. cit., s. 284 oraz art. 2 UoWZTPTP.

60

Wśród wykonywanych przez jednostki samorządu terytorialnego wyróżnia się zadania własne i zadania zlecone:

• zadaniami własnymi jednostek samorządu terytorialnego są zadania publiczne służące zaspokajaniu potrzeb wspólnoty samorządowej;

• zadaniami zleconymi są inne zadania publiczne, których wyko-nywanie ustawa zleca jednostkom samorządu terytorialnego, gdy to wynika z uzasadnionych potrzeb państwa157.

Konstytucja Rzeczypospolitej Polskiej określa w art. 169 ust. 1158, że samorząd wykonuje swoje zadania za pośrednictwem organów stanowiących i wykonawczych. Na stopniu gminy organem stanowiącym jest rada gminy, zaś organem wykonawczym wójt (burmistrz, prezydent). W przypadku powiatu, organem stanowiącym jest rada powiatu, natomiast organami wykonawczymi są starosta i zarząd powiatu. W przypadku województwa organem stanowiącym jest sejmik woje-wództwa, a organem wykonawczym zarząd województwa. W strukturach gminnych wójt (burmistrz, prezydent miasta) jest wybierany bezpo-średnio przez uprawnionych obywateli w gminie159 (zob. Rysunek 7).

Rysunek 7 Organy oraz urzędy administracji samorządowej. Źródło: opracowanie własne na podstawie UoSG, UoSP i UoSW.

157 Zob.: Ochendowski E.: Prawo administracyjne…, op. cit., s. 316. 158 Zgodnie z KRP. 159 Zob.: Błaś A., Boć J., Jeżewski J., Administracja publiczna…, op. cit., s. 60 oraz ustawy: UoSG, UoSP, UoSW.

61

W niniejszej monografii przedmiotem badań będą: • urzędy wojewódzkie; • urzędy marszałkowskie; • starostwa powiatowe i urzędy miast na prawach powiatu; • urzędy gmin.

Przedmiotem działalności urzędów gmin jest świadczenie pomocy wójtowi, burmistrzowi, prezydentowi miasta w zakresie realizacji uchwał rady miasta i zadań miasta określonych przepisami prawa państwowego. Starostwo powiatowe jest jednostką pomocniczą, powołaną w celu wykonywania zadań powiatu. W miastach na prawie powiatu funkcję starostwa powiatowego pełni urząd miasta. Urzędy marszałkowskie są wojewódzkimi jednostkami organizacyjnymi i organami pomocniczymi marszałka województwa. W zakresie administracji rządowej na szczeblu wojewódzkim urząd wojewódzki jest jednostką pomocniczą wojewody oraz organów rządowej administracji zespolonej (zob. Rysunek 8).

Rysunek 8. Administracja rządowa i samorządowa.

Źródło: https://mac.gov.pl/files/administracja_prezentacja.pdf.

62

2.2 SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Przez „system zarządzania bezpieczeństwem informacji” (SZBI, ang. Information Security Management System, ISIM) rozumie się (według definicji zawartych w normach ISO/IEC z serii 27000), część systemu zarządzania, opierającą się na koncepcji zarządzania ryzykiem bizne-sowym, odpowiedzialną za ustanowienie, wdrożenie, funkcjonowanie, monitorowanie, przeglądy, utrzymanie i doskonalenie bezpieczeństwa informacji160, przy czym sam system zarządzania jest rozumiany jako zbiór wytycznych, polityk, procedur, procesów i związanych z nimi zasobów (a więc zarówno zasobów materialnych, takich jak komputery czy maszyny, zasobów ludzkich – jak pracownicy wraz z ich umie-jętnościami i doświadczeniem, jak i zasobów niematerialnych – jak programy komputerowe czy kultura organizacyjna) mających na celu zapewnienie organizacji spełnienia swoich zadań161. Na podkreślenie zasługują przynajmniej dwa elementy definicji normatywnych:

• podejście systemowe, w szczególności związane z tym, że system zarządzania bezpieczeństwem informacji tworzą nie tylko same „papierowe” zapisy (procedury, normy, zarządzenia itd.), ale i wszelkie zasoby mające związek z bezpieczeństwem informacji oraz

• oparcie bezpieczeństwa informacji na koncepcji zarządzania ryzykiem biznesowym162. Zgodnie z tym podejściem, elementami zarządzania ryzkiem163 są: jego oszacowanie oraz zaplanowanie odpowiedniego postępowania z nim (a więc podjęcie decyzji o jego uniknięciu, akceptacji, przeniesieniu itp.). Podejście biznesowe prowadzi do wniosku, że wartość środków ponie-sionych na wybrany sposób postąpienia z danym ryzykiem nie

160 ISO/IEC 27000:2014 Information technology – Security techniques – Information security management systems – Overview and vocabulary. 161 Zob.: Gillies A., Improving the quality of information security management systems with ISO27000, „TQM Journal”, Vol. 23, Issue 4, 2011, s. 367–376; Humphreys E., Implementing the ISO/IEC 27001 Information Security Management System Standard, Artech House, Norwood 2007, s. 11–44. 162 PN-ISO/IEC 31000:2012 – Zarządzanie ryzykiem – Zasady i wytyczne. 163 Rozumianym w ogólności jako skutek niepewności, a w szczególności – w odniesieniu do ryzyka zagrożeń – jako kombinacja prawdopodobieństwa zmaterializowania się potencjalnego zagrożenia i jego skutków, a więc jako wartość oczekiwana potencjalnych strat wynikających ze zrealizowania się potencjalnego zagrożenia.

63

może przekraczać spodziewanej wartości strat wynikłych z konsekwencji ewentualnego zmaterializowania się zagrożeń164.

Ten ostatni element może budzić wątpliwość w odniesieniu do zarządzania bezpieczeństwem informacji w organizacjach niebizne-sowych, w tym w urzędach administracji państwowej i samorządowej. O ile bowiem dla organizacji gospodarczej stosunkowo łatwo (przyna-jmniej co do zasady) jest oszacować ekonomiczną wartość naruszenia bezpieczeństwa poszczególnych informacji165, o tyle administracja państwowa, rządowa czy samorządowa nie kieruje się zasadą maksyma-lizacji zysku. Jednostki samorządu terytorialnego, finansowane są z budżetu państwa (w postaci dotacji celowej i subwencji ogólnej) oraz z dochodów własnych166, przy czym dochody własne stanowią zdecy-dowanie mniejszą część wpływów. Dlatego też, kategoria ryzyka biznesowego, w przypadku tych jednostek, może nie być najlepszą dla szacowania potencjalnych skutków naruszenia bezpieczeństwa. Niemniej jednak podejście opisane w normach z serii ISO/IEC 27k stosuje się również (zresztą zgodnie z określonym w nich zakresem) we wszystkich typach organizacji, a więc w szczególności również w urzędach.

Zgodnie z § 20 ust 1. Rozporządzenia Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych167 podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak: autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Przy czym wymagania w zakresie systemu zarządzania bezpieczeństwem informacji w RozpKRI uznaje się za spełnione, jeżeli system ten „został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:

164 Zob.: Staniec I., Zawiła-Niedźwiecki J., Zarządzanie ryzykiem operacyjnym, Warszawa 2008, s. 201–228. 165 Zob. np.: McCandless D., World’s Biggest Data Breaches & Hacks, dostępny na: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/. 166 Ustawa z 13.11.2003 r. o dochodach jednostek samorządu terytorialnego (t. jedn.: Dz.U. z 2015 r. poz. 513); Jastrzębska M., Finanse jednostek samorządu terytorialnego, Warszawa 2012, s. 106–130. 167 T. jedn.: Dz.U. z 2016 r. poz. 113; dalej jako: RozpKRI.

64

1. PN-ISO/IEC 17799168 – w odniesieniu do ustanawiania zabezpieczeń;

2. PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem; 3. PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki

informatycznej po katastrofie w ramach zarządzania ciągłością działania”.

W zakresie systemu zarządzania bezpieczeństwem informacji najważniejsze normy to:

• PN-ISO/IEC 27001:2014-12 – Technika informatyczna – Tech-niki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania, określa wymagania dotyczące ustano-wienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do organizacji. Obejmuje również wymagania dotyczące szacowania i postępowania z ryzykiem dotyczącym bezpieczeństwa infor-macji. Dokument składa się z następujących rozdziałów: Wprowadzenie, Zakres normy, Powołania normatywne, Terminy i definicje, Kontekst organizacji, Przywództwo, Planowanie, Wsparcie, Działania operacyjne, Ocena wyników, Doskonalenie. Normatywny załącznik A określa zabezpieczenia, które należy stosować. Wykaz tych zabezpieczeń jest bezpośrednio związany z normą 27002: • A.5 Polityki bezpieczeństwa informacji, • A.6 Organizacja bezpieczeństwa informacji, • A.7 Bezpieczeństwo zasobów ludzkich, • A.8 Zarządzanie aktywami, • A.9 Kontrola dostępu, • A.10 Kryptografia, • A.11 Bezpieczeństwo fizyczne i środowiskowe, • A.12 Bezpieczna eksploatacja, • A.13 Bezpieczeństwo komunikacji, • A.14 Pozyskiwanie, rozwój i utrzymanie systemów, • A.15 Relacje z dostawcami, • A.16 Zarządzanie incydentami związanymi

z bezpieczeństwem informacji, • A.17 Aspekty bezpieczeństwa informacji w zarządzaniu

ciągłością działania, • A.18 Zgodność.

168 Obecnie obowiązuje norma PN-ISO/IEC 27002:2014. Rozporządzenie nie zostało jeszcze zmienione.

65

• PN-ISO/IEC 27002:2014-12 – Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji, zawiera zalecenia dotyczące standardów bezpie-czeństwa informacji w organizacjach i praktyki zarządzania bezpieczeństwem informacji, w tym wyboru, wdrażania i zarządzania zabezpieczeniami, z uwzględnieniem środowiska (środowisk) w którym (których) w organizacji występuje (-ą) ryzyko w bezpieczeństwie informacji. Rozdziały normy od 5 do 18 odnoszą się do wymienionych w załączniku A normy 27001 zabezpieczeń.

Powyższe normy PN-ISO/IEC 27001:2014 i PN-ISO/IEC 27002:2014 są polskimi odpowiednikami norm ISO/IEC 27001 i ISO/IEC 27002, które to wywodzą się z brytyjskiego standardu BS 7799. Ewolucja tego standardu została przedstawiona na rysunku (Rysunek 9).

Rysunek 9. Ewolucja standardu BS 7799.

Źródło: opracowanie własne na podstawie Molski M., Łacheta M., Przewodnik audytora systemów informatycznych, Gliwice 2007, s. 201.

66

Sama rodzina norm ISO/IEX 27x obejmuje szereg norm poświę-conych różnym aspektom bezpieczeństwa informacji i bardzo inten-sywnie się rozwija. Poniżej wymienione zostały międzynarodowe normy z serii 27k z obszaru „information technology – security techniques”:

• ISO/IEC 27000, Information security management systems – Overview and vocabulary,

• ISO/IEC 27001, Information security management systems – Requirements,

• ISO/IEC 27002, Code of practice for information security controls,

• ISO/IEC 27003, Information security management system implementation guidance,

• ISO/IEC 27004, Information security management – Measurement,

• ISO/IEC 27005, Information security risk management, • ISO/IEC 27006, Requirements for bodies providing audit and

certification of information security management systems, • ISO/IEC 27007, Guidelines for information security management

systems auditing, • ISO/IEC TR 27008, Guidelines for auditors on information

security controls, • ISO/IEC 27010, Information security management for inter-

sector and inter-organizational communications, • ISO/IEC 27011, Information security management guidelines for

telecommunications organizations based on ISO/IEC 27002, • ISO/IEC 27013, Guidance on the integrated implementation of

ISO/IEC 27001 and ISO/IEC 20000-1, • ISO/IEC 27014, Governance of information security, • ISO/IEC TR 27015, Information security management guidelines

for financial services, • ISO/IEC TR 27016, Information security management –

Organizational economics, • ISO/IEC 27017:2015, Code of practice for information security

controls based on ISO/IEC 27002 for cloud services, • ISO/IEC 27018:2014, Code of practice for protection of

personally identifiable information (PII) in public clouds acting as PII processors,

• ISO/IEC TR 27019:2013, Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry,

67

• ISO/IEC TR 27023:2015, Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002,

• ISO/IEC 27031:2011, Guidelines for information and communication technology readiness for business continuity,

• ISO/IEC 27032:2012, Guidelines for cybersecurity, • ISO/IEC 27033-1:2015, Network security – Part 1: Overview and

concepts, • ISO/IEC 27033-2:2012, Network security – Part 2: Guidelines

for the design and implementation of network security, • ISO/IEC 27033-3:2010, Network security – Part 3: Reference

networking scenarios - Threats, design techniques and control issues,

• ISO/IEC 27033-4:2014, Network security - Part 4: Securing communications between networks using security gateways,

• ISO/IEC 27033-5:2013, Network security – Part 5: Securing communications across networks using Virtual Private Networks (VPNs),

• ISO/IEC 27034-1:2011, Application security – Part 1: Overview and concepts,

• ISO/IEC 27034-2:2015, Application security – Part 2: Organization normative framework,

• ISO/IEC 27035:2011, Information security incident management, • ISO/IEC 27036-1:2014, Information security for supplier

relationships – Part 1: Overview and concepts, • ISO/IEC 27036-2:2014, Information security for supplier

relationships – Part 2: Requirements, • ISO/IEC 27036-3:2013, Information security for supplier

relationships – Part 3: Guidelines for information and communication technology supply chain security,

• ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition and preservation of digital evidence,

• ISO/IEC 27038:2014, Specification for digital redaction, • ISO/IEC 27039:2015, Selection, deployment and operations of

intrusion detection systems (IDPS), • ISO/IEC 27040:2015, Storage security, • ISO/IEC 27041:2015, Guidance on assuring suitability and

adequacy of incident investigative method, • ISO/IEC 27042:2015, Guidelines for the analysis and

interpretation of digital evidence, • ISO/IEC 27043:2015, Incident investigation principles and

processes.

68

2.3 BEZPIECZEŃSTWO INFORMACJI W URZĘDACH ADMINISTRACJI PUBLICZNEJ

Zagadnienia zarządzania bezpieczeństwem informacji w urzędach jest interesujące z szeregu powodów:

• bezpieczeństwo informacyjne urzędów ma bezpośredni związek z bezpieczeństwem obywateli. O ile każdy samodzielnie decyduje czy zostać użytkownikiem takiego, czy innego systemu komercyjnego informatycznego, czy powierzyć swoje dane organizacji gospodarczej, w jaki sposób przechowywać i prze-twarzać informacje w swoim gospodarstwie domowym, o tyle kontakt obywateli z urzędami i przetwarzanie przez nie danych dotyczących poszczególnych osób i podmiotów są obowiązkowe z mocy prawa;

• urzędy mają ściśle zdefiniowany zakres swoich zadań i kom-petencji, stosunkowo łatwe jest więc przeprowadzenie analizy porównawczej dotyczącej zarządzania bezpieczeństwem infor-macji w różnych urzędach; rola bowiem „specyfiki przedsię-biorstwa” tak ważna w organizacjach komercyjnych jest w przypadku urzędów minimalna169;

• urzędy, z uwagi na zasadę jawności i możliwość dostępu do informacji publicznej stanowią szczególnie wygodny materiał badawczy i choć praktyka pokazuje, że tendencja do ukrywania informacji jest wśród pracowników urzędów obecna, to jednak responsywność badań jednostek organizacyjnych administracji publicznej jest zdecydowanie wyższa niż w przypadku orga-nizacji komercyjnych;

• zarządzanie bezpieczeństwem informacji170 jest wielkim wyzwa-niem dla współczesnych organizacji i instytucji. Urzędy

169 Zob.: Calder A., Nine Steps to Success: an ISO 27001 Implementation Overview, IT Governance Publishing, UK, 2005, s. 107–112; Kister Ł., Significance of information security in a company [w:] Riešenie krízových situácií v špecifickom prostredí, Žilinska univerzita, Žilina 2009 s. 329–334; Robinson N., IT excellence starts with governance, „Journal of Investment Compliance”, Vol. 6 Issue: 3, 2005, s. 45–49. 170 Zob.: Ilvonen I., Information security culture or information safety culture - What do words convey?, 10th European Conference on Information Warfare and Security 2011, ECIW, Tallinn 2011 s. 148–154; Jašek R., The information security of enterprises and citizens' security context, „Komunikacie”, Vol. 7, Issue 3, 2005 s. 45–48; Korzeniowski L., Securitology – The concept of safety, „Komunikacie”, Vol. 7, Issue 3, 2005, s. 20–23; Stoll M., Breu R., Information security measurement roles and responsibilities, 6th International Joint Conference on Computer, Information and Systems Sciences and Engineering, „Lecture Notes in Electrical Engineering”, Vol. 151/2013, s. 11–23.

69

administracji publicznej nie stanowią w tym względzie wyjątku, wystarczy wspomnieć o licznych wyciekach informacji i włama-niach do różnych organizacji państwowych i samorządowych;

• istnieją akty prawne, które zwracają szczególną uwagę na wymóg odpowiedniego zarządzania bezpieczeństwem informacji. Jed-nym z nich jest RozpKRI171. Zgodnie z § 20 tego rozporządzenia „podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie określo-nych działań wymienionych w rozporządzeniu polegających na:

• zapewnieniu aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;

• utrzymywaniu aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

• przeprowadzaniu okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowaniu działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

• podejmowaniu działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posia-dają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

• bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób zaangażowanych w proces przetwarzania informacji;

• zapewnieniu szkoleń osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnie-niem takich zagadnień, jak: zagrożenia bezpieczeństwa informacji, skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, stosowanie

171 Zob.: RozpKRI.

70

środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;

• zapewnieniu ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodze-niami lub zakłóceniami, przez: monitorowanie dostępu do informacji, czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarza-niem informacji, zapewnienie środków uniemożliwiają-cych nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

• ustanowieniu podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

• zabezpieczeniu informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

• zawieraniu w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

• ustaleniu zasad postępowania z informacjami, zapewnia-jących minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

• zapewnieniu odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: dbałości o aktualizację oprogramo-wania, minimalizowaniu ryzyka utraty informacji w wyniku awarii, ochronie przed błędami, utratą, nieuprawnioną modyfikacją, stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, zapewnieniu bezpieczeństwa plików systemowych, redukcji ryzyk wynikających z wykorzystania opublikowanych podatności techni-cznych systemów teleinformatycznych, niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i polity-kami bezpieczeństwa;

• bezzwłocznego zgłaszania incydentów naruszenia bez-pieczeństwa informacji w określony i z góry ustalony

71

sposób, umożliwiający szybkie podjęcie działań korygu-jących;

• zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

2.4 CEL I METODA BADAŃ

Celem badania było zidentyfikowanie, w których urzędach wojewódzkich, urzędach marszałkowskich, starostwach powiatowych i urzędach gmin wdrożone są systemy zarządzania bezpieczeństwem informacji, według jakich norm są one opracowane i certyfikowane oraz zebranie informacji m.in. o:

• czynnikach ułatwiających wdrożenie systemu zarządzania bezpieczeństwem informacji;

• problemach przy wdrażaniu systemu; • czynnościach dotyczących funkcjonowania systemu, z którymi

urzędnicy mają najwięcej problemów; • szkoleniach z zakresu bezpieczeństwa informacji; • przeprowadzanych przeglądach bezpieczeństwa; • zarządzaniu incydentami bezpieczeństwa informacji; • dokumentacji dotyczącej bezpieczeństwa informacji.

W ramach prac badawczych przeprowadzono badania CAWI (ang. Computer-assisted web interviewing). Wiadomość z prośbą o wzięcie udziału w badaniu została wysłana do wszystkich 16 urzędów woje-wódzkich i 16 urzędów marszałkowskich, 314 starostw powiatowych i 66 urzędów miast na prawach powiatu oraz do 800 losowo wybranych urzędów gmin.

Kwestionariusz ankiety stanowi załącznik nr 1 do niniejszej monografii.

Badania były przeprowadzone w okresie 12.2012–12.2015.

73

3. WYNIKI BADAŃ

3.1 SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI W ADMINISTRACJI PUBLICZNEJ

3.1.1 URZĘDY WOJEWÓDZKIE

Z 16 urzędów, do których wysłano wiadomości z prośbą o wzięcie udziału w badaniu, otrzymano 11 pozytywnych odpowiedzi. Kujawsko-Pomorski Urząd Wojewódzki w Bydgoszczy nie udzielił odpowiedzi na pytania zawarte w przesłanej ankiecie ze względu na dużą techniczną szczegółowość pytań. Urzędnicy stwierdzili, że udzielając odpowiedzi na pytania zawarte w ankiecie Kujawsko-Pomorski Urząd Wojewódzki w Bydgoszczy przekazałby wrażliwe informacje dotyczące bezpieczeń-stwa danych teleinformatycznych. Obawa urzędników nie jest uzasadnio-na, ponieważ informacje, które były zbierane w kwestionariuszu ankiety, nie są opatrzone klauzulą tajności. Cztery urzędy wojewódzkie (województwa: małopolskie, pomorskie, warmińsko-mazurskie, śląskie) pomimo podejmowanych prób ponownego kontaktu nie przesłały żadnej odpowiedzi. Wynikać to może z braku zainteresowania zagadnieniami związanymi z bezpieczeństwem informacji, bądź niechęci do udzielania informacji na ten temat.

Spośród 11 badanych urzędów wojewódzkich tylko w czterech (Łódzki Urząd Wojewódzki, Zachodniopomorski Urząd Wojewódzki, Opolski Urząd Wojewódzki oraz Podlaski Urząd Wojewódzki) wdrożono systemy zarządzania bezpieczeństwem informacji. Mazowiecki Urząd Wojewódzki i Podkarpacki Urząd Wojewódzki w przeszłości wdrażały taki system. W pozostałych pięciu taki system nie funkcjonuje i w prze-szłości nie były podejmowane próby jego wdrożenia (zob. Rysunek 10). Mazowiecki Urząd Wojewódzki w trackie badania był na etapie wdrażania systemu zarządzania bezpieczeństwem informacji.

74

Rysunek 10. Stan wdrożenia systemów zarządzania bezpieczeństwem informacji

w urzędach wojewódzkich. Źródło: opracowanie własne na podstawie wyników badań.

Powody dla których urzędnicy nie podjęli działań związanych z wdrożeniem systemu zarządzania bezpieczeństwem informacji to przede wszystkim brak odpowiednich środków finansowych (3 wskazania), brak czasu (2 wskazania) oraz brak wystarczającej wiedzy w tym zakresie (1 wskazanie). Urzędnicy z Wielkopolskiego Urzędu Wojewódzkiego twierdzili, że „na obecnym etapie zarządzania bezpie-czeństwem informacji, zasady zawarte w normach są zbyt wymagające” oraz, iż „trwają analizy zmierzające do podjęcia decyzji o ewentualnym wdrożeniu”. Z kolei urzędnicy z Małopolskiego Urzędu Wojewódzkiego twierdzili, że nie wdrażali systemu, bo w Urzędzie funkcjonuje polityka bezpieczeństwa informacji w zakresie ochrony danych osobowych i informacji niejawnych.

3.1.2 URZĘDY MARSZAŁKOWSKIE

Kwestionariusz ankiety wypełnili przedstawiciele 13 urzędów. Urząd Marszałkowski Województwa Podlaskiego przesłał pisemną informację o braku zainteresowania udziałem w badaniu ankietowym, natomiast dwa urzędy (Urząd Marszałkowski Województwa Dolnośląskiego i Urząd Marszałkowski Województwa Kujawsko-Pomorskiego), pomimo licznych kontaktów telefonicznych i mailowych ze strony ankietującego, nie przesłały żadnych odpowiedzi. Brak chęci wzięcia udziału w badaniu

75

może wskazywać na małe zainteresowanie tematem bezpieczeństwa informacji w administracji publicznej, niechęcią do udzielenia informacji, bądź ich ukrywaniem.

Wśród 13 urzędów marszałkowskich w 9 jest wdrożony system zarządzania bezpieczeństwem informacji. W 4 urzędach (województwa: lubelskie, łódzkie, śląskie, świętokrzyskie), taki system nie funkcjonuje i w przeszłości nie były podejmowane próby jego wdrożenia (zob. Rysunek 11). Jedynie w trzech urzędach marszałkowskich (województwa: lubuskie, małopolskie, mazowieckie) podjęto decyzję o certyfikacji systemu zarządzania bezpieczeństwem informacji według normy PN-ISO/IEC 27001.

Rysunek 11. Stan wdrożenia systemów zarządzania bezpieczeństwem informacji

w urzędach marszałkowskich. Źródło: opracowanie własne na podstawie wyników badań.

Powody, dla których urzędnicy nie podjęli takich działań, to: brak środków finansowych (3 wskazania), brak czasu (1 wskazanie) oraz brak wystarczającej wiedzy (1 wskazanie). Przyczyną, dla której w Urzędzie Marszałkowskim Województwa Śląskiego nie wdrożono SZBI było wdrożenie częściowych rozwiązań z zakresu zarządzania bezpie-czeństwem, które według opinii urzędników są obecnie wystarczające ze względu na charakter funkcjonowania Urzędu.

76

3.1.3 STAROSTWA POWIATOWE I URZĘDY MIAST NA PRAWACH POWIATU

Wiadomości z prośbą o wzięcie udziału w badaniu zostały wysłane do wszystkich 314 starostw powiatowych i 66 urzędów miast na prawach powiatu. Otrzymano 93 odpowiedzi, w tym 73 ze starostw powiatowych i 20 z urzędów miast na prawach powiatu. Z badanych urzędów 51 ma wdrożony system zarządzania bezpieczeństwem informacji (odpowiednio w 36 starostwach powiatowych (SP) i 15 urzędach miast na prawach powiatu (MNP). Graficznie wyniki zostały zaprezentowane na rysunku (zob. Rysunek 12).

Rysunek 12. Liczby starostw powiatowych i urzędów miast na prawach powiatu,

które mają wdrożone systemy zarządzania bezpieczeństwem informacji oraz liczby urzędów, które nie posiadają wdrożonego systemu.

Źródło: opracowanie własne na podstawie wyników badań.

77

Terytorialnie, według województw, wyniki zostały zaprezentowane na rysunku (zob. Rysunek 13).

Rysunek 13. Liczby starostw powiatowych i urzędów miast na prawach powiatu,

które mają wdrożone systemy zarządzania bezpieczeństwem informacji oraz liczby urzędów, które nie posiadają wdrożonego systemu według województw.

Mapa nie uwzględnia 9 jednostek, które nie podały nazwy miejscowości. Źródło: opracowanie własne na podstawie wyników badań.

Z pozostałych 42 jednostek, tylko w przypadku 5 urzędów (2-SP, 3-MNP) podejmowano wcześniej próbę wdrożenia takiego systemu. Pozostałe 37 jednostek deklarowało następujące powody nie podejmowania takich działań: brak środków finansowych (28 wskazań), brak wystarczającej wiedzy (13 wskazań), brak czasu (11 wskazań). Czterech respondentów uznało, że wdrożenie systemu zarządzania bezpieczeństwem informacji nie jest potrzebne. Inne powody to: rozmieszczenie urzędu w 3 różnych lokalizacjach oraz kilkakrotna zmiana osób na stanowiskach odpowiedzialnych za bezpieczeństwo informacji, w tym przetwarzanych danych osobowych oraz inne zmiany organizacyjne.

78

3.1.4 URZĘDY GMIN

Spośród 800 losowo wybranych gmin uzyskano 146 odpowiedzi, w tym 40 z gmin miejskich, 43 z gmin miejsko-wiejskich i 63 z gmin wiejskich. Z badanych urzędów 51 ma wdrożony system zarządzania bezpieczeństwem informacji [odpowiednio 18 w gminach miejskich (GM), 11 w gminach miejsko-wiejskich (GMW), 22 w gminach wiejskich (GW)]. Graficznie wyniki zostały zaprezentowane na rysunku (zob. Rysunek 14).

Rysunek 14. Liczby urzędów gmin, które mają wdrożone systemy zarządzania

bezpieczeństwem informacji oraz liczby urzędów gmin, które nie posiadają wdrożonego systemu.


79

Terytorialnie, według województw, wyniki zostały zaprezentowane na rysunku (zob. Rysunek 15).

Rysunek 15. Liczby urzędów gmin, które mają wdrożone systemy zarządzania

bezpieczeństwem informacji oraz liczby urzędów gmin, które nie posiadają wdrożonego systemu – według województw.


Z pozostałych 95 jednostek, które nie mają wdrożonego systemu zarządzania bezpieczeństwem informacji, tylko 5 w przeszłości wdrażało taki system. Pozostałe 90 jednostek deklarowało następujące powody nie podejmowania takich działań: brak środków finansowych (71 wskazań), brak wystarczającej wiedzy (31 wskazań), brak czasu (30 wskazań).

80

3.2 OPRACOWANIE I CERTYFIKACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI


Wszystkie cztery urzędy wojewódzkie, które wdrożyły system zarządzania bezpieczeństwem informacji, opracowały go na podstawie norm. Szczegółowe informacje zamieszczone zostały w tabeli (zob. Tabela 1).

Tabela 1. Opracowanie systemów zarządzania bezpieczeństwem informacji

według zaleceń norm w urzędach wojewódzkich.

Urząd System opracowany w oparciu o zalecenia normy:

Łódzki Urząd Wojewódzki PN-ISO/IEC 27001

PN-ISO/IEC 17799172 PN-ISO/IEC 27005

Opolski Urząd Wojewódzki PN-ISO/IEC 17799 Podlaski Urząd Wojewódzki PN-ISO/IEC 17799 Zachodniopomorski Urząd

Wojewódzki PN-ISO/IEC 17799


W analizowanych czterech urzędach wojewódzkich nie zdecydowano się na certyfikację wdrożonego systemu na zgodność z wymaganiami normy PN ISO/IEC 27001, z uwagi na fakt, że jest to przedsięwzięcie kosztowne (3 wskazania), czasochłonne (2 wskazania) oraz nie wpływa na jakość zarządzania bezpieczeństwem informacji (3 wskazania). Jeden z respondentów podkreślił, że certyfikacja systemu nie była wymagana przepisami prawa do momentu wejścia w życie przepisów o krajowych ramach interoperacyjności (RozpKRI).

Urzędnicy zostali poproszeni o podanie czasu wdrożenia systemu zarządzania bezpieczeństwem informacji. Wyniki zostały przedstawione na rysunku (zob. Rysunek 16).

172 W 2013 r., w którym było prowadzone badanie, nie była jeszcze dostępna polska edycja normy ISO/IEC 27002, która pojawiła się dopiero w 2014 r.

81

Rysunek 16. Czas wdrożenia systemów zarządzania bezpieczeństwem informacji

w urzędach wojewódzkich. Źródło: opracowanie własne na podstawie wyników badań.


Spośród 9 wdrożonych systemów zarządzania bezpieczeństwem informacji w urzędach marszałkowskich, 7 z nich było opracowanych według zaleceń norm, w tym 5 urzędów korzystało z normy PN-ISO/IEC 17799, a dwa urzędy z ISO/IEC 27002. Szczegółowe odpowiedzi na pytania ankiety z tego zakresu zostały przedstawione w tabeli (zob. Tabela 2).


według zaleceń norm w urzędach marszałkowskich.

Województwo, w którym znajduje się urząd marszałkowski

System opracowany w oparciu o zalecenia normy:

lubuskie ISO/IEC 27002 małopolskie ISO/IEC 27002 mazowieckie PN-ISO/IEC 17799 opolskie PN-ISO/IEC 17799 pomorskie PN-ISO/IEC 17799 warmińsko-mazurskie PN-ISO/IEC 17799 zachodniopomorskie PN-ISO/IEC 17799 Źródło: opracowanie własne na podstawie wyników badań.

Jedynie w trzech urzędach marszałkowskich (w województwach: lubuskim, małopolskim i mazowieckim) zdecydowano się na certyfikację systemu zarządzania bezpieczeństwem informacji w oparciu o zalecenia normy PN-ISO/IEC 27001.

Podobnie jak powyżej, urzędy które nie zdecydowały się na certyfikację systemu zarządzania bezpieczeństwem informacji zostały poproszone o podanie powodów. Według respondentów certyfikacja nie wpływa na jakość zarządzania bezpieczeństwem informacji (3 wskazania), jest czasochłonnym (2 wskazania) i kosztownym przedsięwzięciem (2 wskazania).

82

Urzędnicy zostali poproszeni również o określenie czasu wdrożenia systemu zarządzania bezpieczeństwem informacji. Wyniki zostały przedstawione na rysunku (zob. Rysunek 17).


w urzędach marszałkowskich. Źródło: opracowanie własne na podstawie wyników badań.


Spośród 51 urzędów, które wdrożyły system zarządzania bezpie-czeństwem informacji, 26 opracowało je według norm zgodnie z zesta-wieniem zaprezentowanym w tabeli (zob. Tabela 3)


według zaleceń norm w starostwach powiatowych i miastach na prawach powiatu.

Norma Liczba urzędów

ISO/IEC 27002 2 PN-ISO/IEC 17799 6 PN-ISO/IEC 27002 8

PN-ISO/IEC 27001 3 ISO/IEC 27001 5

PN-ISO/IEC 17799 PN-ISO/IEC 27001 1

wskazane przez respondentów:

Inne (bez podania nazwy normy) 1 Razem 26


83

Z 26 urzędów, 11 certyfikowało wdrożony system zarządzania bezpieczeństwem informacji w oparciu o zalecenia normy ISO/IEC 27001, w tym 10 jednostek w oparciu o polską normę PN-ISO/IEC 27001.

W innych jednostkach nie podjęto decyzji o certyfikowaniu systemu, ponieważ według opinii urzędników certyfikacja: jest kosztownym przedsięwzięciem (17 wskazań), jest czasochłonnym przedsięwzięciem (10 wskazań), nie wpływa ona na jakość zarządzania bezpieczeństwem informacji (6 wskazań), jest niepotrzebna (3 wskazania).



w starostwach powiatowych i w urzędach miast na prawach powiatu. Źródło: opracowanie własne na podstawie wyników badań.

3.2.4 URZĘDY GMIN

Spośród 51 urzędów gmin, w których wdrożone są systemy zarządzania bezpieczeństwem informacji, tylko 17 opracowało je według norm zgodnie z zestawieniem zaprezentowanym w tabeli (zob. Tabela 4).

84

Tabela 4. Opracowanie systemów zarządzania bezpieczeństwem informacji według zaleceń norm w urzędach gmin.

Norma Liczba urzędów

BS 07799-1 2 ISO/IEC 27002 5

PN-ISO/IEC 17799 4 PN-I-07799-2 1

PN-EN ISO 9001 1 ISO/IEC 27001 1

PN-ISO/IEC 27001 1

wskazane przez respondentów:

Inne (bez podania nazwy normy) 2 Razem 17


Tylko 3 urzędy certyfikowały system zarządzania bezpieczeństwem informacji w oparciu o zalecenia normy PN-ISO/IEC 27001. W innych jednostkach nie podjęto decyzji o certyfikowaniu systemu ponieważ według opinii urzędników certyfikacja: jest kosztownym przedsię-wzięciem (14 wskazań), nie wpływa ona na jakość zarządzania bezpie-czeństwem informacji (5 wskazań), jest czasochłonnym przedsięwzię-ciem (4 wskazania), jest niepotrzebna (2 wskazania).



w urzędach gmin. Źródło: opracowanie własne na podstawie wyników badań.

85

3.3 GŁÓWNE PROBLEMY I CZYNNIKI SUKCESU WDROŻENIA SYSTEMU ZARZĄDZANA BEZPIECZEŃSTWEM INFORMACJI


Urzędnicy zostali poproszeni również o wskazanie problemów przy wdrażaniu systemu zarządzania bezpieczeństwem informacji. Wyniki zostały przedstawione na rysunku (zob. Rysunek 20).

Rysunek 20. Wskazane przez urzędników problemy przy wdrażaniu systemu

zarządzania bezpieczeństwem informacji. Źródło: opracowanie własne na podstawie wyników badań.

Tylko jeden z urzędów (Zachodniopomorski Urząd Wojewódzki) mógł liczyć na wsparcie ze strony innych organów administracji publicznej na etapie monitorowania i przeglądu systemu zarządzania bezpieczeństwem informacji.

W kolejnym pytaniu urzędnicy wskazali, które z wymienionych czynników ułatwiają wdrożenie systemu zarządzania bezpieczeństwem informacji. Oceny czynników zostały przedstawione na rysunku (zob. Rysunek 21).

86

Rysunek 21. Ocena czynników ułatwiających wdrożenie systemu zarządzania

bezpieczeństwem informacji. Źródło: opracowanie własne na podstawie wyników badań.

W opinii urzędników wdrożenie systemu zarządzania bezpieczeń-stwem informacji ma pozytywny wpływ na jednostkę. Przede wszystkim umożliwia podniesienie poziomu bezpieczeństwa informacji, podnosi świadomość zarządzania bezpieczeństwem informacji wśród praco-wników oraz jest potrzebne i korzystne. Dwóch respondentów wskazało również, że jest to kosztowne i czasochłonne przedsięwzięcie (zob. Rysunek 22).

Rysunek 22. Opinia o wdrożeniu systemu zarządzania bezpieczeństwem

informacji. Źródło: opracowanie własne na podstawie wyników badań.

87

Urzędnicy wskazali też czynności dotyczące funkcjonowania systemu zarządzania bezpieczeństwem informacji, z którymi mają najwięcej problemów. Wyniki zostały przedstawione na rysunku (zob. Rysunek 23).

Rysunek 23. Czynności dotyczące funkcjonowania systemu zarządzania

bezpieczeństwem informacji, z którymi urzędnicy mają najwięcej problemów. Źródło: opracowanie własne na podstawie wyników badań.

Przeglądy bezpieczeństwa realizowane są we wszystkich 11 jednostkach. Częstotliwość prowadzenia tych przeglądów została zaprezentowana na rysunku (zob. Rysunek 24).

Rysunek 24. Częstotliwość prowadzenia przeglądów bezpieczeństwa.


88


Urzędnicy zostali poproszeni również o wskazanie problemów przy wdrażaniu systemu zarządzania bezpieczeństwem informacji. Wyniki zostały przedstawione na rysunku (zob. Rysunek 25).



Urzędnicy wymienili również inne problemy, m.in.: „opór praco-wników podczas wdrażania systemu”, „trudności implikowane rozrzutem terytorialnym Urzędu”, „częste zmiany przepisów w zakresie ochrony informacji niejawnych, danych osobowych i innych przepisów z zakresu bezpieczeństwa informacji”, „niespójność przepisów wykonawczych, najczęściej w okresach zmiany ustaw i zwlekanie z wydaniem wszystkich rozporządzeń potrzebnych dla szybkiego wypracowania regulacji wewnętrznych”, czy „zmiany metodyki opracowania dokumentów”.

Zatem duży wpływ na proces wdrożenia systemu zarządzania bezpieczeństwem informacji mają również problemy natury organi-zacyjnej i prawnej.

Tylko 3 urzędy, spośród 9 wdrażających systemy zarządzania bez-pieczeństwem informacji, mogły liczyć na wsparcie ze strony organów administracji państwowej, odpowiednio na etapach: ustanowienia (2 wskazania), wdrożenia i eksploatacji (1 wskazanie), monitorowania i przeglądu (2 wskazania), utrzymania i doskonalenia (1 wskazanie) systemu zarządzania bezpieczeństwem informacji.

Tylko jeden z respondentów wykazał na czym ta pomoc polega: • „zarówno ABW jak i GIODO wspiera pracowników jednostek

administracji publicznej w ustanawianiu systemów zarządzania bezpieczeństwem informacji;

89

• szkolenia własne, udział oficerów i pracowników w szkoleniach i konferencjach organizowanych przez inne podmioty;

• doradztwo i pomoc bieżąca; • portale internetowe z programami wspierającymi pracę osób

zajmujących się bezpieczeństwem, poradnikami, wyjaśnieniami, a przede wszystkim z bazą aktualnych aktów prawnych i wytycznych;

• wizyty, kontrole, sprawdzenia, akredytacje, certyfikacje, itp.”

W kolejnym pytaniu urzędnicy wskazali, które z wymienionych czynników ułatwiają wdrożenie systemu zarządzania bezpieczeństwem informacji. Oceny czynników zostały przedstawione na rysunku (zob. Rysunek 26).



Wysoka ocena czynników: świadomość pracowników o konieczności zapewnienia bezpieczeństwa informacji oraz zaangażowanie najwyż-szego kierownictwa jednostki zostało podkreślone przez komentarz jednego z respondentów: „Zaangażowanie i świadomość kadry w zakresie wymogów bezpieczeństwa informacji jest decydująca dla właściwego funkcjonowania całego systemu. Uzyskuje się to poprzez, m.in. realizowanie odpowiednio zaplanowanego cyklu szkoleń wewnę-trznych i zewnętrznych, kontrole wewnętrzne, itp.”.

W opinii respondentów wdrożenie systemu zarządzania bezpieczeń-stwem informacji ma pozytywny wpływ na jednostkę, przede wszystkim umożliwia podniesienie poziomu bezpieczeństwa informacji, podnosi

90

świadomość zarządzania bezpieczeństwem informacji wśród pracowni-ków oraz jest potrzebne i korzystne. Trzech respondentów wskazało również, że jest to kosztowne przedsięwzięcie (zob. Rysunek 27).

Rysunek 27. Opinia o wdrożeniu systemu zarządzania





91

Jeden z respondentów wskazał również problem dotyczący „zbyt częstych zmian przepisów i zmian organizacyjno-kadrowych (jest to jednak nieuniknione i należy brać je stale pod uwagę)”. Komentarz ten powinien być jednak zawarty pod pytaniem dotyczącym problemów z wdrożeniem systemu.

Również we wszystkich 13 jednostkach prowadzone są przeglądy bezpieczeństwa. Częstotliwość tych przeglądów została przedstawiona na rysunku (zob. Rysunek 29). Przeglądy mogą być przeprowadzane co kilka miesięcy lub w przypadku konieczności, ale nie jest ani możliwe, ani celowe dokonanie przeglądu systemu zarządzania bezpieczeństwem informacji (którego dokumentacja w poszczególnych urzędach ma przecież, jak wynika z badania, co najmniej kilkadziesiąt stron) co tydzień lub nawet codziennie. Tymczasem aż cztery urzędy podały właśnie taką częstotliwość.



92


Urzędnicy wskazali również problemy przy wdrażaniu systemu zarządzania bezpieczeństwem informacji. Wyniki zostały zaprezen-towane na rysunku (zob. Rysunek 30).



Inne problemy wskazane przez respondentów to: „brak czasu względem innych obowiązków osoby wdrażającej, konieczność wdrożenia wymagań nowych dla urzędu, np. analiza ryzyka dla bezpieczeństwa informacji, brak należytej współpracy ze strony pracowników spowodowany brakiem czasu ze względu na ogrom zadań własnych, niska świadomość potrzeb i korzyści związanych z ochroną informacji, brak współpracy pomiędzy komórkami jednostki wynikający z tego, iż wprowadzenie zabezpieczeń oznacza więcej pracy i koszty, niedostosowanie realiów pracy jednostek samorządu terytorialnego do wymagań wynikających z norm, za mała ilość osób wdrażających procedury”.

Spośród 51 jednostek, które wdrożyły system zarządzania bezpieczeństwem informacji, tylko 13 mogło liczyć na wsparcie ze strony innych organów administracji publicznej na etapach: ustanowienia (7 wskazań), wdrożenia i eksploatacji (3 wskazań), monitorowania i przeglądu (2 wskazania), utrzymania i doskonalenia (7 wskazania) systemu zarządzania bezpieczeństwem informacji.

W kolejnym pytaniu urzędnicy wskazali jakie czynniki ułatwiają wdrożenie systemu zarządzania bezpieczeństwem informacji. Wyniki zostały przedstawione na rysunku (zob. Rysunek 31).

93



Inne czynniki sukcesu wdrożenia systemu zarządzania bezpieczeń-stwem informacji, wskazane przez urzędników to: „szkolenia, odpo-wiednie zasoby ludzkie i czas na opracowanie dokumentacji i analiz, nowoczesna infrastruktura i oprogramowanie spełniające wymagania określone przez normy bezpieczeństwa”.

W opinii większości urzędników wdrożenie systemu zarządzania bezpieczeństwem informacji jest potrzebne i korzystne, umożliwia podniesienie poziomu bezpieczeństwa informacji i podnosi świadomość zarządzania bezpieczeństwem informacji wśród pracowników, ale jest kosztownym i czasochłonnym przedsięwzięciem. Dwóch respondentów wskazało, że jest to przedsięwzięcie niepotrzebne, a jeden z respon-dentów, iż jest obojętne (zob. Rysunek 32).

94

Rysunek 32. Opinia o wdrożeniu systemu zarządzania



95

Rysunek 33. Czynności dotyczące funkcjonowania systemu zarządzania bezpieczeństwem informacji, z którymi urzędnicy mają najwięcej problemów.


Przeglądy bezpieczeństwa realizowane są we wszystkich 93 jed-nostkach. Częstotliwość prowadzenia tych przeglądów została zaprezen-towana na rysunku (zob. Rysunek 34). Również w przypadku starostw powiatowych respondenci wskazali niemożliwe do zrealizowania częstości prowadzenia przeglądów.

96



3.3.4 URZĘDY GMIN

Urzędnicy zostali poproszeni o wskazanie problemów przy wdrażaniu systemu zarządzania bezpieczeństwem informacji. Wyniki zostały zaprezentowane na rysunku (zob. Rysunek 35).



Inne problemy wskazane przez urzędników to: braki kadrowe, opór pracowników działu IT, duża pracochłonność.

Spośród 51 jednostek, które wdrożyły system zarządzania bezpieczeństwem informacji, tylko 10 mogło liczyć na wsparcie ze strony innych organów administracji publicznej na etapach: ustanowienia (5 wskazań), wdrożenia i eksploatacji (5 wskazań), monitorowania

97

i przeglądu (1 wskazanie), utrzymania i doskonalenia (3 wskazania) systemu zarządzania bezpieczeństwem informacji.

W kolejnym pytaniu urzędnicy wskazali jakie czynniki ułatwiają wdrożenie systemu zarządzania bezpieczeństwem informacji. Wyniki zostały przedstawione na rysunku (zob. Rysunek 36).



Inne czynniki sukcesu wdrożenia systemu zarządzania bezpieczeń-stwem informacji, wskazane przez urzędników to: wsparcie działu IT oraz zatrudnienie pracowników działu IT w liczbie osób adekwatnej do wielkości organizacji i liczby stanowisk komputerowych oraz wdrożenie innych certyfikowanych systemów, np. zarządzania jakością ISO 9001.

W opinii urzędników wdrożenie systemu zarządzania bezpieczeń-stwem informacji ma pozytywny wpływ na jednostkę, przede wszystkim podnosi świadomość zarządzania bezpieczeństwem informacji wśród pracowników jest czasochłonnym przedsięwzięciem, ale jest potrzebne i korzystne, umożliwia podniesienie poziomu bezpieczeństwa informacji. Osiemnastu urzędników wskazało również, że jest to przedsięwzięcie kosztowne (zob. Rysunek 37).

98

Rysunek 37. Opinia o wdrożeniu systemu zarządzania bezpieczeństwem

informacji. Źródło: opracowanie własne na podstawie wyników badań.




99

Przeglądy bezpieczeństwa realizowane są we wszystkich 141 jednostkach. Częstotliwość prowadzenia tych przeglądów została zaprezentowana na rysunku (zob. Rysunek 39). Tutaj również, podobnie jak w przypadku urzędów marszałkowskich, 2 urzędy wskazały, że przeglądy prowadzą codziennie, a 5 urzędów wskazało, iż co tydzień. Nie jest możliwe prowadzenie przeglądów z taką częstotliwością.



100

3.4 DOKUMENTACJA BEZPIECZEŃSTWA INFORMACJI


Wśród 11 badanych urzędów wojewódzkich, 9 posiada politykę bezpieczeństwa informacji zawierającą politykę ochrony danych osobowych. Dwa urzędy wojewódzkie (województwo podkarpackie i mazowieckie) posiadają tylko politykę ochrony danych osobowych.

We wszystkich jedenastu urzędach wojewódzkich powołano administratora bezpieczeństwa informacji oraz przeprowadzono szkolenie z zakresu wdrożonej polityki bezpieczeństwa informacji/polityki ochrony danych osobowych.


Spośród 13 badanych urzędów, 12 ma opracowaną i wdrożoną politykę bezpieczeństwa informacji zawierającą politykę ochrony danych osobowych zgodną z wymaganiami ustawy z 29.8.1997 r. o ochronie danych osobowych173, a jeden z urzędów (Urząd Marszałkowski Województwa Podkarpackiego) posiada tylko politykę ochrony danych osobowych zgodną z wymaganiami UoODO.

We wszystkich 13 urzędach został powołany Administrator Bezpieczeństwa Informacji i zostało przeprowadzone szkolenie dla pracowników urzędów z zakresu wdrożonej polityki bezpieczeństwa informacji/polityki ochrony danych osobowych.


Spośród 93 badanych urzędów, w 78 opracowano i wdrożono politykę bezpieczeństwa informacji zawierająca politykę ochrony danych osobowych zgodną z wymaganiami UoODO, a w 15 tylko politykę bezpieczeństwa informacji zawierającą politykę ochrony danych osobowych zgodną z wymaganiami UoODO (zob. Tabela 5).

173 T. jedn.: Dz.U. z 2015 r. poz. 2135; dalej jako: UoODO.

101

Tabela 5. Charakterystyka dokumentacji bezpieczeństwa informacji w bada-nych starostwach powiatowych i urzędach miast na prawach powiatu.

Rodzaj dokumentu MNP SP Suma polityka bezpieczeństwa informacji zawie-rająca politykę ochrony danych osobowych zgodną z wymaganiami UoODO 16 62 78 tylko polityka ochrony danych osobowych zgodna z wymaganiami UoODO 4 11 15 Suma 20 73 93


W 16 urzędach nie powołano Administratora Bezpieczeństwa Informacji, a w 7 nie przeprowadzono szkolenia z zakresu wdrożonej polityki bezpieczeństwa informacji/ochrony danych osobowych. Jeden z respondentów nie udzielił odpowiedzi na te dwa pytania.

3.4.4 URZĘDY GMIN

W badanych 146 urzędach gmin, w 113 opracowano i wdrożono politykę bezpieczeństwa informacji zawierająca politykę ochrony danych osobowych zgodną z wymaganiami UoODO, w 28 funkcjonuje tylko polityka ochrony danych osobowych zgodna z wymaganiami UoODO. W 5 jednostkach nie opracowano tych dokumentów (zob. Tabela 6).

Tabela 6. Charakterystyka dokumentacji bezpieczeństwa informacji w

badanych urzędach gmin.

Rodzaj dokumentu GM GMW GW Suma polityka bezpieczeństwa informacji zawierająca politykę ochrony danych osobowych zgodną z wymaganiami UoODO 31 35 47 113 tylko polityka ochrony danych osobowych zgodna z wymaganiami UoODO 7 8 13 28 wyżej wymienione dokumenty nie zostały opracowane 2 0 3 5 Suma 40 43 63 146


W 15 jednostkach nie powołano Administratora Bezpieczeństwa Informacji, w 25 nie przeprowadzono szkolenia z zakresu wdrożonej polityki bezpieczeństwa informacji/ochrony danych osobowych.

102

Załącznik 2 zawiera szczegółową charakterystykę dokumentów dla wszystkich badanych urzędów.

3.5 METODY ZABEZPIECZEŃ


Urzędnicy zostali poproszeni o wskazanie fizycznych zabezpieczeń dostępu do informacji. Odpowiedzi zostały przedstawione na rysunku (zob. Rysunek 40).

Rysunek 40. Fizyczne zabezpieczenia dostępu do informacji w urzędach

wojewódzkich. Źródło: opracowanie własne na podstawie wyników badań.

Urzędnicy wskazali również inne formy zabezpieczeń: systemy kontroli dostępu, żaluzje antywłamaniowe, czujniki dymu, czujniki ruchu, referentki, całodobowa ochrona fizyczna, elektroniczna kontrola dostępu.

Wśród wdrożonych zabezpieczeń systemów informatycznych najbardziej popularne są programy antywirusowe, sieci VPN i firewalle korporacyjne. Szczegółowe zestawienie wskazanych przez urzędników zabezpieczeń zostało przedstawione na rysunku (zob. Rysunek 41).

Rysunek 41. Zabezpieczenia systemów informatycznych w urzędach

wojewódzkich.

103


Urzędy stosują również antyspamowe platformy sprzętowe i własne firewalle.



Rysunek 42.Fizyczne zabezpieczenia dostępu do informacji w urzędach

marszałkowskich. Źródło: opracowanie własne na podstawie wyników badań.

Urzędnicy wskazali również dodatkowe, stosowane w ich urzędach zabezpieczenia: agencja ochrony, służby ochrony obiektów, system kontroli dostępu do pomieszczeń, plombowane wejścia do pomieszczeń.

Wśród wdrożonych zabezpieczeń systemów informatycznych najbardziej popularne są programy antywirusowe i firewalle korpo-racyjne. Szczegółowe zestawienie wskazanych przez urzędników zabe-zpieczeń zostało przedstawione na rysunku (zob. Rysunek 43).

Rysunek 43. Zabezpieczenia systemów informatycznych w urzędach


104

Dodatkowe zabezpieczenia wymieniane przez urzędników to między innymi:

• Systemy Check Point; • segmentacja fizyczna i logiczna LAN, UPS, generator prądu,

redundancja połączeń i zasilania oraz urządzeń.



Rysunek 44.Fizyczne zabezpieczenia dostępu do informacji w starostwach

powiatowych i miastach na prawach powiatu. Źródło: opracowanie własne na podstawie wyników badań.

Pozostałe zabezpieczenia to między innymi: • drzwi drewniane, drzwi metalowe, drzwi antywłamaniowe, drzwi

ognioodporne, drzwi pomieszczeń zamykane na klucz, kraty w oknach, rolety antywłamaniowe, folia antywłamaniowa, czujniki zarysowania i zbicia szyby, czujniki dymu;

• szafy, szafy metalowe, sejfy, biurka zamykane na klucz, zamki szyfrowe, mechaniczne, elektroniczne;

• ochrona budynku przez pracowników firmy ochrony osób i mienia, portierzy, ochrona całodobowa przez strażnika Straży Miejskiej, oprogramowanie monitorujące;

• elektroniczna kontrola wejścia-wyjścia w wydzielonych strefach, dozór fizyczny po godzinach pracy, wydawanie kluczy przez firmę ochroniarską świadczącą dozór;

• system kontroli dostępu do pomieszczeń, obiektu, segmentów obiektu, ograniczony dostęp do pomieszczeń tylko wybranym pracownikom, dostęp do serwerowni mają wyłącznie informatyk oraz ABI;

• system dostępu do pomieszczeń na kartę, strefy chronione, klucze kryptograficzne, karty magnetyczne umożliwiające wejście do

105

wydzielonych stref, agregat prądotwórczy gwarantujący ciągłą pracę m.in. systemów nadzoru;

• stosowanie podtrzymania zasilania w postaci zasilaczy awaryj-nych UPS;

• monitoring warunków klimatycznych serwerowni wraz z syste-mem powiadamiania, zasilanie awaryjne serwerowni;

• aktualizacja oprogramowania aplikacji oraz oprogramowania antywirusowego na serwerach i stacjach roboczych, system antywirusowy, zabezpieczenia baz danych hasłem, kontrola dostępu do stanowisk komputerowych i serwerów poprzez wprowadzenie systemu logowania, zabezpieczenie wewnętrznej sieci informatycznej przed nieuprawnionym dostępem z zewnątrz wysokiej klasy urządzeniem dostępowym UTM, automatyczne wygaszacze ekranu, zasada czystego biurka.

Przy czym, ostatni podpunkt to zabezpieczenia informatyczne i organizacyjne (zasada czystego biurka), a nie fizyczne. Należy podkreślić, że wielu urzędników nie chciało udzielić odpowiedzi na to pytanie ze względów bezpieczeństwa.

Wśród wdrożonych zabezpieczeń systemów informatycznych najbar-dziej popularne są programy antywirusowe i firewalle korporacyjne. Szczegółowe zestawienie wskazanych przez urzędników zabezpieczeń zostało przedstawione na rysunku (zob. Rysunek 45).

Rysunek 45. Zabezpieczenia systemów informatycznych w starostwach

powiatowych i miastach na prawach powiatu. Źródło: opracowanie własne na podstawie wyników badań.

Inne rodzaje zabezpieczeń systemów informatycznych wdrożone w badanych jednostkach to:

• logowanie do komputerów/zasobów sieciowych; • wirtualizacja środowiska serwerowego; • serwer backupu; • monitoring infrastructure IT; • Active Directory, WSUS (Windows Server Update Services);

106

• Proxy; • FortiNet.

3.5.4 URZĘDY GMIN


Rysunek 46.Fizyczne zabezpieczenia dostępu do informacji w urzędach gmin.


Pozostałe zabezpieczenia to między innymi: • zamki wielozastawkowe, zamykane szafy oraz szuflady,

zamykane pomieszczenia; • strefy bezpieczeństwa; • kraty w oknach, rolety wewnętrzne; • ewidencja osób kodujących i rozkodowujących system alar-

mowy; • okna i drzwi antywłamaniowe; • czujniki ruchu; • czujniki rozbicia szyb; • dozór obiektu po godzinach pracy, ochrona przez 24 godziny,

dozorcy; • elektroniczny system kontroli dostępu; • sejf ognioodporny do przechowywania kopii awaryjnych; • system haseł; • ochrona serwerów, oddzielenie lokalnej sieci komputerowej od

szkieletu sieci – podłączenia danego użytkownika do sieci dokonuje administrator bezpieczeństwa sieci i systemów Informatycznych (powołany), zastosowanie podwójnej autory-zacji użytkownika, wymuszanie zmiany hasła dostępu, regla-mentowany dostęp do pomieszczeń, sieci i systemów, upoważnienia indywidualne;

• zabezpieczenia komputerów hasłami,

107

przy czym, dwie ostatnie odpowiedzi to zabezpieczenia informatyczne, a nie fizyczne. Należy podkreślić, że wielu urzędników nie chciało udzielić odpowiedzi na to pytanie ze względów bezpieczeństwa.

Wśród wdrożonych zabezpieczeń systemów informatycznych najbar-dziej popularne są programy antywirusowe i firewalle korporacyjne. Szczegółowe zestawienie wskazanych przez urzędników zabezpieczeń zostało przedstawione na rysunku (zob. Rysunek 47).

Rysunek 47. Zabezpieczenia systemów informatycznych w urzędach gmin.


Inne rodzaje zabezpieczeń systemów informatycznych wdrożone w urzędach gmin to:

• system haseł, unikatowe, indywidualne identyfikatory i hasła w systemach informatycznych, zmiana haseł co najmniej raz na 30 dni;

• reglamentowany dostęp do sieci i systemów, indywidualne upoważnienia i nadawane hasła dostępu, reglamentowany dostęp do serwerów, FortiGate;

• automatyczne włączane wygaszacze ekranu w przypadku braku pracy powyżej 10 min.;

• zablokowana możliwość podpięcia komputerów z „zewnątrz”; • uprawnienia dostępu do danych osobowych nadawana są

z zależności od zakresu obowiązków; • firewall sprzętowy; • odrębne zasilanie, zastosowanie zasilaczy awaryjnych, UPS

(Uninterruptible Power Supply); • kopie zapasowe, macierze dyskowe.

108

3.6 ZARZĄDZANIE INCYDENTAMI ZWIĄZANYMI Z BEZPIECZEŃSTWEM INFORMACJI

Incydent związany z bezpieczeństwem informacji został zdefi-niowany w normie ISO/IEC 27000:2014 (2.36)174 jako pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. Takie incydenty zdarzają się we wszystkich organizacjach, również w jednostkach administracji publicznej. Istnieje kilka aktów prawnych, które zwracają szczególną uwagę na wymóg odpowiedniego zarządzania bezpieczeństwem informacji, w tym zarządzania incydentami związanymi z bezpieczeństwem informacji. Jednym z nich jest RozpKRI. Zgodnie z § 20 RozpKRI, zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie określonych działań wymienionych w rozporządzeniu. W zakresie incydentów związanych z bezpieczeństwem informacji powinny być podjęte działania m.in. poprzez bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.

Pojęcie incydentów związanych z bezpieczeństwem informacji pojawia się również w obowiązującej od 2013 r. „Polityce ochrony cyberprzestrzeni RP”175, opracowanej przez Ministerstwo Administracji i Cyfryzacji oraz Agencję bezpieczeństwa Wewnętrznego.

Informacji o liczbach incydentów związanych z bezpieczeństwem informacji w administracji publicznej dostarczają Raporty Rządowego Zespołu Reagowania na Incydenty Komputerowe (CERT.GOV.PL). Zespół ten został powołany w celu zapewniania i rozwijania zdolności jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagrożeniami. Głównym zadaniem

174 ISO/IEC 27000:2014 Information technology – Security techniques – Information security management systems – Overview and vocabulary, Ludwiszewski M., Monitoring stanu bezpieczeństwa teleinformatycznego państwa [w:] Bezpieczeństwo Teleinformatyczne Państwa, pod red. Madej M., Polski Instytut Spraw Międzynarodowych, Warszawa 2009, s. 123–142; Maj M., Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci, Warszawa 1999, dostępna na: http://www.cert.pl/PDF/SECURE99_referatCP_klasyf.doc]. 175 Zob.: Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, dostępna na: http://www.cert.gov.pl/cer/publikacje/polityka-ochrony-cyber/639,Polityka-Ochrony-Cyberprzestrzeni-Rzeczypospolitej-Polskiej.html.

109

CERT.GOV.PL jest koordynacja procesu obsługi incydentów komputerowych w Cyberprzestrzeni RP (CRP).

Liczba incydentów związanych z bezpieczeństwem informacji w administracji publicznej z roku na rok wzrasta. Według „Raportu o stanie bezpieczeństwa cyberprzestrzeni RP” w 2014 r. Rządowy Zespół Reagowania na Incydenty Komputerowe (CERT.GOV.PL) zarejestrował 12017 zgłoszeń, z których 7498 zostało zakwalifikowanych jako faktyczne incydenty. Dla porównania, w 2013 r. zarejestrowanych było 8817 zgłoszeń, z których 5670 uznano za rzeczywiste incydenty176. Na rysunku (zob. Rysunek 48) przedstawiono liczby zgłoszeń oraz faktycznych incydentów zarejestrowanych przez CERT.GOV.PL w latach 2011–2014.

Rysunek 48. Liczba zgłoszeń oraz faktycznych incydentów zarejestrowanych

przez CERT.GOV.PL. Źródło: opracowanie własne na podstawie CERT.GOV.PL.

176 Zob.: Raporty Rządowego Zespołu Reagowania Na Incydenty Komputerowe: Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2014 r., Warszawa 2015, dostępny na: http://www.cert.gov.pl/cer/publikacje/raporty-o-stanie-bezpi/738,Raport-o-stanie-bezpieczenstwa-cyberprzestrzeni-RP-w-2014-roku.html; Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2013 r.… op. cit.; Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2012 r., Warszawa 2013, dostępny na: http://www.cert.gov.pl/portal/ cer/57/605/Raport_o_stanie_bezpieczenstwa_cyberprzestrzeni_RP_w_2012_roku.html (data dostępu: 16.10.2015 r.).

110


Spośród 11 badanych urzędów wojewódzkich w 7 zdarzały się incydenty związane z bezpieczeństwem informacji, ale tylko w 5 urzędach były rejestrowane. W tabeli (zob. Tabela 7) przedstawiono liczby incydentów w latach 2012 i 2013, natomiast w tabeli (zob. Tabela 8) sposoby zarządzania incydentami w urzędach wojewódzkich.

Tabela 7. Liczby incydentów w urzędach wojewódzkich w latach 2012 i 2013.

Województwo, w którym znajduje się urząd wojewódzki 2012 2013

łódzkie 0 0 małopolskie 1 6

opolskie 2 4 świętokrzyskie 0 1 wielkopolskie 0 3


Tabela 8. Sposoby zarządzania incydentami w urzędach wojewódzkich.

Województwo, w którym znajduje

się urząd wojewódzki

Opis sposobu zarządzania incydentami bezpieczeństwa

lubelski Wykrycie=>neutralizacja=>zgłoszenie=>

analiza=>implementacja zmian zapobiegających powtórzeniu się incydentu

małopolskie

1) Identyfikacja incydentu. 2) Ocena i poprawa zabezpieczeń. 3) Szacowanie ryzyka wystąpienia incydentu. 4) Szkolenia personelu.

opolskie

Zarządzanie incydentami ma na celu: • rozpoznanie przyczyny powstania incydentu; • ograniczenie rozmiaru incydentu; • szybkie przywrócenie normalnego działania

usługi; • zminimalizowanie powstałych strat; • wyciągnięcie wniosków; • poprawienie stanu zabezpieczeń.

świętokrzyskie Ujawniony incydent jest zgłaszany do cert.gov.pl i jeśli to konieczne, na policję.

wielkopolskie Szczegółowe postępowanie określa procedura zawarta w Polityce bezpieczeństwa.


111

Urzędy wojewódzkie (w województwach: świętokrzyskim, wielko-polskim, łódzkim, opolskim, podkarpackim i lubelskim) zgłaszały incydenty bezpieczeństwa do: cert.pl, cert.gov.pl, policji, Agencji Bezpieczeństwa Wewnętrznego.

Pięć urzędów zadeklarowało, że mogło liczyć na wsparcie innych organów administracji publicznej w zakresie zarządzania incydentami związanymi z bezpieczeństwem informacji. Pomoc ta polegała na:

• przekazaniu wytycznych z Agencji Bezpieczeństwa Wewnę-trznego;

• bieżącej współpracy z CERT.GOV.PL; • weryfikacji logów, kontroli zabezpieczeń WWW, wyty-

cznych dla providera strony poprawiających bezpieczeństwo; • informowaniu o incydentach w innych instytucjach

i sugerowaniu rozwiązań zapobiegających; • włączeniu się CERT.GOV.PL w śledztwo.


Spośród 13 badanych urzędów marszałkowskich jedynie 7 podało informację, że incydenty bezpieczeństwa zdarzały się i były rejestrowane. Liczby incydentów oraz opis sposobu zarządzania nimi w poszczególnych urzędach zostały przedstawione w tabelach (zob. Tabela 9 i Tabela 10).

Tabela 9. Liczba incydentów w urzędach marszałkowskich w latach 2010-2012.

Województwo, w którym znajduje się urząd marszałkowski 2010 2011 2012

małopolskie 20 15 7 mazowieckie 9 5 6

pomorskie 1 1 0 śląskie 3 2 4

warmińsko-mazurskie 1 0 0 wielkopolskie brak rejestru kilka 6

zachodniopomorskie Urząd nie chce ujawnić informacji Źródło: opracowanie własne na podstawie wyników badań.

112

Tabela 10. Sposoby zarządzania incydentami w urzędach marszałkowskich.


się urząd marszałkowski

Opis sposobu zarządzania incydentami bezpieczeństwa

małopolskie

Dokonuje się kwartalnego przeglądu zaistniałych incydentów naruszenia bezpieczeństwa informacji. W odniesieniu do każdego incydentu podejmuje się działania korygujące i naprawcze.

mazowieckie Wszystkie kwestie związane z zarządzaniem incydentami zostały opisane w procesie zintegrowanego systemu zarządzania.

pomorskie Analiza incydentu, rozliczenie osób odpowiedzialnych, wdrożenie procedur PBI.

śląskie

1. Stwierdzenie/zgłoszenie incydentu. 2. Podjęcie działań proceduralnych przez osoby odpowiedzialne za wymagane decyzje oraz osoby odpowiedzialne za wykonanie czynności technicznych. 3. Przeprowadzanie działań naprawczo-korygujących oraz, jeśli jest to wymagane, jednoczesne udokumentowanie opisu zdarzenia i podjętych działań. 4. Omówienie incydentu i w razie potrzeby sformu-łowanie wniosków z proponowanymi modyfikacjami lub nowymi rozwiązaniami do wdrożenia.

warmińsko-mazurskie

1. Ustalenie charakteru incydentu. 2. Jak najszybsze działanie w celu minimalizacji skutków. 3. Zgłoszenie do odpowiednich organów.

wielkopolskie

Zgłaszanie incydentów odbywa się do helpdesku i do ABI, gdzie są rejestrowane. W przypadkach gdy helpdesk stwierdzi naruszenie PBI zgłaszane jest to do ABI. Następnie na spotkaniach Zespołu incydenty są omawiane oraz podejmowana jest decyzja o wdrożeniu niezbędnych rozwiązań organizacyjnych czy technicznych.

zachodniopomorskie

Identyfikacja incydentu – wszczęcie postępowania wyjaśniającego – prowadzenie czynności wyjaśniających – określenie potrzeby poinformowania właściwych służb – podjęcie działań naprawczych i zapobiegawczych (wdrożenie) – kontrola - zamknięcie postępowania.


113

Jedynie w przypadku Urzędu Marszałkowskiego Województwa Mazowieckiego i Urzędu Marszałkowskiego Województwa Warmińsko-Mazurskiego incydenty bezpieczeństwa były zgłaszane policji. Urząd Marszałkowski Województwa Wielkopolskiego zgłosił do tej pory jeden incydent do tej instytucji, wyjaśnił również, że „nie wszystkie incydenty kwalifikowały się do zgłoszenia do cert.gov.pl czy też prokuratury. Procedury obejmują postępowanie, że w przypadku kradzieży urządzeń ma być to zgłoszone policji. Cert.gov.pl zgłosiło również do nas szereg błędów, które zostały zminimalizowane przez zastosowanie dodatkowych rozwiązań zabezpieczających przed zagrożeniami z Internetu”.

Tylko Urząd Marszałkowski Województwa Pomorskiego wskazał, że może liczyć na wsparcie ze strony innych organów administracji w zakresie zarządzania incydentami. Określił to wsparcie jako „pomoc merytoryczną”.


Spośród 93 badanych jednostek, w 24 incydenty miały miejsce, natomiast w 23 jednostkach były rejestrowane. Dane o incydentach, które zdarzały się w badanych urzędach gmin przedstawiono w tabeli (zob. Tabela 11). Należy podkreślić, że 3 urzędy miast na prawach powiatu nie udostępniły danych o liczbach zarejestrowanych incydentów.

Tabela 11. Incydenty związane z bezpieczeństwem informacji w badanych

urzędach gmin.

Rodzaj jednostki

Liczba incydentów w 2012 r.


Liczba incydentów w 2014r.

SP 0 0 2 SP 0 0 0 SP 5 4 2 SP 1 0 1 MNP 1 3 1 MNP 0 0 12 SP 0 0 1 MNP brak danych 3 5 SP 0 0 1 MNP 1 0 0 SP brak danych 3 4 SP 8 3 5 SP 8 5 2 MNP 0 1 1

114

MNP 12 18 20 MNP 3 3 3 MNP 1 0 4 SP 0 0 1 MNP 1 0 1 SP 13 19 11

Razem: 54 62 77 Źródło: opracowanie własne na podstawie wyników badań.

W przypadku 5 jednostek incydenty były zgłaszane do prokuratury (4 wskazania), policji (2 wskazania) i GIODO (1 wskazanie).

Nie wszystkie urzędy podały informacje o sposobie zarządzania incydentami związanymi z bezpieczeństwem informacji. Poniżej zaprezentowano przykładowe odpowiedzi urzędów na to pytanie:

• „Przeprowadzenie postępowania wyjaśniającego, zebranie dowo-dów, sporządzenie protokołu naruszenia wraz z zaleceniami;

• Analiza zdarzenia, wnioski, działania zaradcze; • Natychmiast wdrażane są procedury eliminujące powstałe incy-

denty; • 1. W przypadku stwierdzenia w szczególności:

a) przetwarzania danych w sposób sprzeczny z przepisami prawa oraz zasadami opisanym w Polityce, Instrukcji,

b) zagrożenia dla bezpieczeństwa systemu informaty-cznego,

c) wystąpienia zagrożenia lub domniemania ujawnienia danych osobowych,

d) nieautoryzowanego dostępu do danych osobowych, e) niedozwolonego: zatajenia, powielenia, modyfikacji,

zniszczenia, utraty, nieprawidłowego wykorzystania lub kradzieży danych osobowych każda osoba, która powe-źmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzająca dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązana ten fakt niezwłocznie zgłosić Administratorowi Systemów Informatycznych.

2. W razie braku możliwości zawiadomienia Administratora Systemów Informatycznych lub osoby przez niego upoważnionej, należy powiadomić bezpośredniego przełożonego.

3. Do czasu przybycia na miejsce naruszenia ochrony danych osobowych Administratora Systemów Informatycznych lub

115

upoważnionej przez niego osoby, osoba powiadamiająca powinna: a) niezwłocznie podjąć czynności niezbędne dla powstrzy-

mania niepożądanych skutków, a następnie ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,

b) rozważyć wstrzymanie bieżącej pracy przy komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia,

c) zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę,

d) podjąć stosowne działania określone w dokumentacji systemu operacyjnego, dokumentacji bazy danych lub aplikacji użytkowej,

e) udokumentować wstępnie zaistniałe naruszenie, f) nie opuszczać bez uzasadnionej potrzeby miejsca zda-

rzenia do czasu przybycia Administratora Systemów Informatycznych lub osoby upoważnionej.

4. Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, Administrator Systemów Informaty-cznych lub osoba go zastępująca: a) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru

metod dalszego postępowania mając na uwadze ewen-tualne zagrożenia dla prawidłowości pracy w strukturze Administratora Danych,

b) wysłuchuje dokładnej relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,

c) nawiązuje bezpośredni kontakt, jeżeli zachodzi taka potrzeba, ze specjalistami spoza wewnętrznych struktur Administratora Danych w celu przywrócenia stanu bezpieczeństwa przetwarzania danych.

5. Administrator Systemów Informatycznych dokumentuje zaistniały przypadek naruszenia oraz sporządza raport wg wzoru stanowiącego Załącznik Nr 2 do niniejszej Instrukcji, który powinien zawierać w szczególności: a) wskazanie osoby powiadamiającej o naruszeniu oraz

innych osób zaangażowanych w związku z naruszeniem, b) określenie czasu i miejsca naruszenia i powiadomienia,

116

c) określenie okoliczności towarzyszących i rodzaju naruszenia,

d) wyszczególnienie wziętych faktycznie pod uwagę prze-słanek, wyboru metody postępowania i opis podjętego działania,

e) wstępną ocenę przyczyn wystąpienia naruszenia, f) ocenę przeprowadzonego postępowania wyjaśniającego

i naprawczego. 6. Raport, o którym mowa w pkt. 5 Administrator Systemów

Informatycznych niezwłocznie przekazuje osobie Inspekto-rowi ds. Ochrony Danych Osobowych, a w przypadku jego nieobecności osobie wyznaczonej.

7. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu Administrator Systemów Informaty-cznych zasięga niezbędnych opinii i proponuje postępowanie naprawcze, w tym ustosunkowuje się do kwestii ewentu-alnego odtworzenia danych z zabezpieczeń, zarządza terminu wznowienia przetwarzania danych.

8. Zaistniałe naruszenie może stać się przedmiotem szcze-gółowej, zespołowej analizy prowadzonej poprzez Admini-stratora Danych, Inspektora ds. Ochrony Danych Osobowych oraz inne wskazane osoby.

• 1. Incydenty są zgłaszane do wyznaczonej osoby. 2. W zależności od obszaru ich wystąpienia są rozpatrywane przez kompetentnych pracowników. 3. Podejmowane są odpowiednie działania. 4. incydenty i wnioski z incydentów są badane w ramach przeglądu SZBI. 5. Pracownicy na szkoleniach są informowani o incydentach – są to przykłady wykorzystywane „ku przestrodze”;

• Żaden z incydentów nie spowodował wycieku informacji. Zarządzanie polegało więc na usunięciu przyczyny, uszczelnieniu systemu, pouczeniu osób zamieszanych w incydent;

• Zgodnie z instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych;

• Po stwierdzeniu incydentu ABI przeprowadza postępowanie wyjaśniające, omawia go na forum zespołu ds. bezpieczeństwa, podejmuje działania korygujące lub zapobiegawcze, przygo-towuje raport dla ADO;

• Dokonuje się sprawdzenia naruszenia ochrony danych osobowych;

117

• Szacowanie stopnia ryzyka wystąpienia incydentu, zapobieganie, monitorowanie, zapewnienie ciągłości działania w razie wystąpienia incydentu;

• Opracowano system zgłaszania incydentów, procedury reago-wania na awarie, błędy w oprogramowaniu, wykrycia złośliwego kodu, naruszenia bezpieczeństwa informacji, reagowania na incydenty inne niż w procedurze, reagowanie na incydenty związane z naruszeniem zasad bezpieczeństwa danych osobo-wych, opracowano klasyfikację zgłoszeń, priorytety i sposoby ich zgłaszania;

• Zgłoszenia są dokonywane za pośrednictwem intranetu. Zgłosić incydent ma obowiązek każdy z pracowników niezwłocznie po spostrzeżeniu nieprawidłowości. ABI przegląda rejestr zgło-szonych incydentów. Kwalifikuje je w oparciu o skalę ryzyka i podejmuje działania. Zdarzają się przypadki zgłoszeń, które nie zostają zakwalifikowane jako incydenty. Dodatkowo udział w czynnościach biorą członkowie zespołu ds. bezpieczeństwa informacji oraz ADO i właściciele aktywów. Przebieg procesu jest zapisywany w rejestrze elektronicznym;

• W przypadku wystąpienia incydentu bezpieczeństwa postępu-jemy zgodnie z procedurami określonymi w Polityce, uwzglę-dniając oczywiście stopień zaistniałego zagrożenia;

• Klasyfikacja i zarejestrowanie incydentu, wyjaśnienie incydentu (lub zgłoszenie na np. Policję), podjęcie działań przywracających do stanu zgodnego z prawem, wykorzystanie do celów szkole-niowych niektórych elementów incydentu;

• Zgłoszenie, postępowanie wyjaśniające (sprawdzenie doraźne), sprawozdanie dla kierownika jednostki, sformułowanie zaleceń pokontrolnych, monitoring ich wdrożenia;

• Incydent jest zgłaszany do ABI, ABI wraz z przełożonym pracownika, który popełnił incydent, ustalają działania korygu-jące i zapobiegawcze oraz wyznaczają termin ich wykonania oraz weryfikacji tego wykonania;

• Identyfikacja incydentu. Zgłoszenie do ASI, ADO. Działania naprawcze i korygujące;

• Zgłoszenie zdarzenia, weryfikacja, obsługa incydentu, działania naprawcze i doskonalące.

118

3.6.4 URZĘDY GMIN

Spośród 146 urzędów gmin, zaledwie w 14 incydenty miały miejsce, natomiast w 12 jednostkach były rejestrowane. Dane o incydentach, które zdarzały się w badanych urzędach gmin przedstawiono w tabeli (zob. Tabela 12). Należy podkreślić, że nie wszystkie urzędy gmin chciały udostępnić dane o liczbach zarejestrowanych incydentów.

Tabela 12. Incydenty związane z bezpieczeństwem informacji w badanych

urzędach gmin.

Rodzaj gminy




GMW brak danych 1 8 GM 1 0 1 GM 2 1 1 GM 1 0 0 GM 1 0 1 GM 3 5 3 GM 0 0 4 GW 0 1 1 GM 0 0 0 GM 6 4 4 GW 0 0 3

Razem: 14 12 26 Źródło: opracowanie własne na podstawie wyników badań.

Żaden z 12 urzędów gmin, w których były rejestrowane incydenty nie zgłaszał ich do CERT.GOV.PL, czy prokuratury. Nie wszystkie urzędy podały informacje o sposobie zarządzania incydentami zwią-zanymi z bezpieczeństwem informacji. Poniżej zaprezentowano przykła-dowe odpowiedzi urzędów na to pytanie:

• „Pracownik przez wewnętrzny system zgłasza żądanie usługi lub incydent – zespół IT podejmuje działanie stosowne do zgłoszenia.

• Prowadzony jest rejestr incydentów. Powiadomiony jest o incydencie ADO, ABI, ASI. Zależnie od wagi incydentu są podejmowane kroki do jego wyjaśnienia.

• Zgłoszony incydent jest rozpatrywany i oceniany, czy jest niebezpieczny. Pracownik, który zawinił jest pouczany.

• Opracowano procedury by wyeliminować incydenty. • Wykrycie, Badanie, Reakcja, Zalecenia, Monitoring. • Instruktaż, weryfikacja procesów praktycznych, pouczenie.

119

• Monitoring systemu zabezpieczeń. • Informacja o incydencie jest przekazywana przez pracownika

bezpośredniemu przełożonemu i Administratorowi Bezpieczeń-stwa Informacji. Jest on zobowiązany przeprowadzić postępo-wanie wyjaśniające i o jego wynikach poinformować Administra-tora Danych.

• Sporządzenie notatki służbowej i przedstawienie jej kiero-wnictwu wraz z zaleceniami.

• Zgodnie z Instrukcją zarządzania systemem informatycznym (1. Zgłaszanie incydentów, 2. Zabezpieczenie danych, 3. Wyjaśnia-nie incydentu, 4. Działania naprawcze).

• Analiza wystąpienia błędu, skutki dla organizacji, zabezpieczenie ewentualnych dowodów, przeszkolenie pracownika, podjęcie działań naprawczych”.

Urzędy, w których miały miejsce incydenty deklarują, że nie mogą liczyć na wsparcie ze strony innych organów administracji państwowej w zakresie zarządzania incydentami.

120

3.7 SZKOLENIA Z ZAKRESU BEZPIECZEŃSTWA INFORMACJI


Spośród 11 badanych urzędów wojewódzkich tylko w Święto-krzyskim nie są prowadzone szkolenia z zakresu bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych, ochrony danych osobowych. Liczby szkoleń oraz liczby osób biorących udział w tych szkoleniach w 2011 r. i 2012 r. zostały przedstawione w tabeli (zob. Tabela 13).

Tabela 13. Liczby szkoleń oraz liczby uczestników w roku 2012 i 2013.

Lp.


się urząd wojewódzki

Liczba szkoleń

w 2012 r.

Liczba uczestników

szkoleń w 2012 r.

Liczba szkoleń

w 2013 r.

Liczba uczestników

szkoleń w 2013 r.

1. mazowieckie w zakresie SZBI - 0 0

w zakresie SZBI – 1

około 160

2. wielkopolskie 15 112 14 141 3. małopolskie 5 352 2 111

4. łódzkie wiele każdy nowo zatrudniany pracownik

wiele każdy nowo zatrudniany pracownik

5. zachodniopomorskie 3 560 2 30 6. lubuskie 4 354 1 29 7. lubelskie 2 150 3 208 8. podlaskie brak odpowiedzi na pytania 9. opolskie 5 108 5 135 10. podkarpackie 19 204 25 135 Źródło: opracowanie własne na podstawie wyników badań.


We wszystkich badanych urzędach marszałkowskich prowadzone są szkolenia z zakresu bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych, ochrony danych osobowych. Liczby szkoleń oraz liczby osób biorących udział w tych szkoleniach w 2011 r. zostały przedstawione w tabeli (zob. Tabela 14).

121

Tabela 14. Liczby szkoleń oraz liczby uczestników w roku 2011.

Lp. Województwo, w którym znajduje się urząd marszałkowski

Liczba szkoleń

w 2011 r.

Liczba uczestników

szkoleń w 2011 r. 1. lubelskie 2 2 2. lubuskie 1 600 3. łódzkie 10 ponad 100 4. małopolskie 5 200 5. mazowieckie 10 300 6. opolskie 8 135 7. podkarpackie około 100 około 350 8. pomorskie 10 1000 9. śląskie około 30 około 300 10. świętokrzyskie 2 około 415 11. warmińsko-mazurskie 5 57 12. wielkopolskie 16 234 13. zachodniopomorskie 12 około 200



W przypadku starostw powiatowych i miast na prawach powiatu z 93 badanych jednostek w 80 prowadzone są szkolenia z zakresu bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych, ochrony danych osobowych. Siedem urzędów nie podało danych o prowadzonych szkoleniach (nie posiadały danych albo nie chciały udostępnić informacji).

Szczegółowe informacje zostały zamieszczone w tabeli (zob. Tabela 15).

Tabela 15. Liczby szkoleń oraz liczby uczestników w latach 2013-2014.

Lp.

Liczba szkoleń w 2013 r.

Liczba uczestników

w szkoleniach w 2013 r.


Liczba uczestników


1. 1 650 1 662

2. 2 wszyscy

pracownicy 2 wszyscy

pracownicy 3. około 40 około 400 około 50 około 400 4. 2 30 30 300 5. 1 około 30 1 około 40

122

6. 1 około 600 1 około 600 7. kilka kilkadziesiąt kilka kilkadziesiąt 8. 2 50 2 50 9. 1 360 1 19 10. 8 52 10 51 11. 2 100 2 55 12. 40 1000-1500 20 500-900 13. kilka około 300 dwa 100 14. 1 212 1 173 15. 1 100 1 250

16. 2

wszyscy pracownicy

urzędu 2

wszyscy pracownicy

urzędu 17. 16 656 11 519 18. 0 0 0 0 19. 0 0 1 31 20. 1 5 1 4 21. 1 5 brak danych brak danych 22. 2 60 3 80 23. 1 10 1 13 24. 1 59 2 58 25. 2 53 3 68

26. 1 całe

kierownictwo 1 całe

kierownictwo 27. 1 68 0 0 28. 5 90 2 16

29. każdy nowy pracownik

każdy nowy pracownik



30. 1 70 0 0 31. 0 0 1 78 32. 1 60 2 80 33. 3 120 1 20 34. 12 70 12 70 35. 1 około 80 1 90 36. 2 50 2 46 37. 4 ponad 100 osób 2 około 100 osób 38. 0 0 0 0 39. 2 90 1 95 40. 2 2 20 20 41. 1 89 0 0 42. 3 27 3 24 43. 1 60 1 62 44. 0 0 4 60 45. 1 50 1 65

123

46. 1 25 2 121 47. 15 15 17 17 48. 1 30 1 15 49. 1 76 0 0 50. 1 50 0 0 51. 0 0 0 0 52. 0 0 0 0 53. 1 105 1 115 54. 1 538 1 273 55. 20 250 5 20 56. 6 49 6 10 57. 1 120 4 20 58. 2 20 2 18 59. 0 0 4 7 60. 1 70 0 0 61. 1 60 1 50

62.

1 szkolenie zamknięte w urzędzie

przez podmiot zewnętrzny około 45

na przełomie 2014–2015 szkolenie

z wykorzysta-niem

elektronicznej platformy

szkoleniowej

wszyscy pracownicy, co

zostało potwierdzone

zebranymi informacjami (oświadcze-

niami) 63. 1 39 1 11 64. 1 19 1 20

65. 1 szkolenie 100 osób

15 szkoleń, szkolenia

prowadzone były na bieżąco

dla osób odbywających staż w urzędzie 15 osób

66. 0 0 1 30 67. 0 0 1 15 68. 1 50 1 67 69. 3 30 3 30

70.

szkolenia realizowane są

na bieżąco w odniesieniu

do każdego nowego

pracownika 82

szkolenia realizowane są

na bieżąco w odniesieniu

do każdego nowego

pracownika 63

124

71. 2 wszyscy

zatrudnieni 1 10 72. 1 60 1 60 73. 1 90 1 104 Źródło: opracowanie własne na podstawie wyników badań.

3.7.4 URZĘDY GMIN

Spośród 146 urzędów gmin w 112 prowadzone są szkolenia z zakresu bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych, ochrony danych osobowych. Sześć urzędów nie posiadało danych o prowadzonych szkoleniach albo nie chciało udzielić odpowiedzi na to pytanie.

Szczegółowe informacje zostały zamieszczone w tabeli (Tabela 16).

Tabela 16. Liczby szkoleń oraz liczby uczestników w latach 2013-2014.

Lp. Liczba szkoleń w 2013 r.

Liczba uczestników



Liczba uczestników


1. 1 20 1 20 2. 1 30 1 30 3. 2 48 1 37 4. 1 10 2 88 5. 4 120 2 80 6. 1 5 1 5 7. 1 1 11 11 8. 1 2 1 2

9. 2 nowi pracownicy 1 nowi

pracownicy 10. 1 20 1 20 11. 20 480 6 74 12. 1 15 1 15 13. 0 0 1 1 14. 1 około 80 0 0 15. 1 40 1 46 16. 2 80 2 83 17. 1 3 1 2 18. 1 80 1 80 19. 3 40 3 40 20. 1 11 1 2 21. 0 0 2 85

125

22. 1 40 1 45 23. około 100 132 około 30 39 24. brak danych z tego roku 1 41 25. 1 60 0 0 26. 0 0 1 30 27. 17 76 17 53 28. 2 40 1 45 29. 1 20 1 25 30. 1 10 1 10 31. 1 12 1 15 32. 1 100 1 200 33. 3 3 2 2 34. 1 100 1 100 35. 1 50 0 0 36. 1 20 2 21 37. 1 28 1 20 38. 1 21 1 22

39. 0 0 1 wszyscy pracownicy

40. 0 0 1 20 41. 13 13 13 44 42. 4 36 5 38 43. 0 0 0 0 44. 1 60 0 0 45. 5 30 2 2 46. 1 23 2 24 47. 0 0 4 około 200 48. 1 21 1 21 49. 5 5 20 55 50. 0 0 1 22 51. 1 16 1 8 52. 3 5 3 6 53. 1 35 1 35 54. 48 48 39 39 55. 1 50 1 50 56. 2 28 1 26 57. 1 21 1 21 58. 1 12 0 0 59. 0 0 2 40 60. 1 60 0 0 61. 1 1 1 1 62. 1 20 1 20 63. 1 18 3 20

126

64. 0 0 1 26 65. 0 0 1 26 66. 1 40 1 40 67. 1 21 1 23 68. 3 3 5 37 69. 1 1 1 1 70. brak danych z tego roku 1 30 71. 2 30 2 30 72. 4 4 4 4 73. 1 35 1 37 74. 1 1 1 1 75. 1 1 0 0

76. 1 wszyscy pracownicy 1 wszyscy

pracownicy 77. 1 15 1 16

78. 1 wszyscy pracownicy 1 wszyscy

pracownicy 79. 3 90 1 1 80. 0 0 0 0 81. 0 0 1 28 82. 1 40 2 80 83. 2 5 2 15 84. 5 5 3 3 85. 2 2 2 2 86. 1 30 0 0 87. 1 1 1 62 88. 0 0 1 około 45 osób 89. 30 173 20 60 90. 1 4 1 2 91. 1 21 1 5 92. 0 0 0 0 93. 2 15 1 17 94. 0 0 4 28 95. 1 około 90 osób 0 0 96. 0 0 0 0 97. 2 20 1 8 98. 2 25 2 27

99. 1 brak danych

o liczbie uczestników

1 brak danych

o liczbie uczestników

100. 4 83 2 3 101. 2 30 1 30 102. 1 40 1 40

127

103. 1 wszyscy 3-4 nowi pracownicy

104. 1 wszyscy pracownicy 0 0

105. 0 0 0 0 106. 1 około 80 0 0 Źródło: opracowanie własne na podstawie wyników badań.

3.8 INNE SYSTEMY ZARZĄDZANIA


W pięciu urzędach wojewódzkich (mazowieckie, wielkopolskie, zachodniopomorskie, podlaskie, podkarpackie) wdrożono systemy zarzą-dzania jakością ISO 9001. W Wielkopolskim Urzędzie Wojewódzkim funkcjonuje również system przeciwdziałania zjawiskom korupcyjnym.


W ramach badania sprawdzono również, jakie inne systemy zostały wdrożone w badanych urzędach marszałkowskich. W 9 jednostkach wdrożony jest System Zarządzania Jakością (ISO 9001). W Urzędzie Marszałkowskim Województwa Łódzkiego wdrożony jest System Przeciwdziałania Zagrożeniom Korupcyjnym. W Urzędzie Marszał-kowskim Województwa Małopolskiego funkcjonuje dodatkowo Zinte-growany System Zarządzania, który został rozbudowany o kolejne dwa elementy: System Zarządzania Bezpieczeństwem i Higieną Pracy oraz System Bezpieczeństwa Informacji. Kolejnym krokiem do rozwoju i doskonalenia Zintegrowanego Systemu Zarządzania było wdrożenie wymagań dodatkowych Systemu Przeciwdziałania Zagrożeniom Korupcyjnym oraz ich integracja z funkcjonującym w Urzędzie ZSZ. W Urzędzie Marszałkowskim Województwa Mazowieckiego wdrożono również ISO 14000, OHSAS 18000 i System Przeciwdziałania Zagrożeniom Korupcyjnym. W Urzędzie Marszałkowskim Województwa Podkarpackiego wdrożono System bezpieczeństwa informacji nieja-wnych i innych tajemnic prawnie chronionych, System ochrony danych osobowych, Systemy zarządzania ciągłością działania.

128


W 28 jednostkach wdrożono systemy zarządzania jakością. Inne systemy wdrożone w tych urzędach to:

• system zarządzania usługami IT; • system samooceny CAF; • system kontroli zarządczej; • system zarządzania środowiskowego (ISO 14001),; • system zarządzania bezpieczeństwem i higieną pracy (ISO

18001).

3.8.4 URZĘDY GMIN

Wśród 146 urzędów gmin w 30 wdrożony jest system zarządzania jakością ISO 9001.

Inne systemy wdrożone w urzędach: • system rejestracji czasu pracy; • system kontroli zarządczej; • system zarządzania środowiskowego (ISO 14001); • system zarządzania bezpieczeństwem i higieną pracy (ISO

18001); • system zarządzania energią (ISO 50001); • system samooceny CAF; • system przeciwdziałania zagrożeniom korupcyjnym; • kodeks etyki; • regulamin organizacyjny; • system zarządzania oparty na własnym doświadczeniu i zdrowym

rozsądku.

129

3.9 SAMOOCENA POZIOMU BEZPIECZEŃSTWA


Na rysunku (zob. Rysunek 49) przedstawiono oceny poziomów bezpieczeństwa informacji w urzędach dokonane przez urzędników z urzędów wojewódzkich. Spośród 11, ośmiu oceniło poziom bezpieczeństwa jako „dobry”, dwóch oceniło jako „bardzo dobry”, a jeden jako „przeciętny”. Jak można zauważyć, respondenci pozytywnie (może zbyt optymistycznie) oceniają poziomy bezpieczeństwa.

Rysunek 49. Oceny poziomów bezpieczeństwa informacji w urzędach

wojewódzkich. Źródło: opracowanie własne na podstawie wyników badań.


Na rysunku (zob. Rysunek 50) przedstawiono oceny poziomów bezpieczeństwa informacji w urzędach, dokonane przez urzędników z urzędów marszałkowskich. Spośród 13, siedmiu oceniło poziom bezpieczeństwa jako „dobry”, pięciu oceniło jako „bardzo dobry”, a jeden jako „przeciętny”. Również w przypadku urzędów marszałkowskich widoczna jest tendencja do wystawiania pozytywnych ocen.

Rysunek 50. Oceny poziomów bezpieczeństwa informacji w urzędach


130


Na rysunku (zob. Rysunek 51) przedstawiono oceny poziomów bezpieczeństwa informacji w urzędach dokonane przez urzędników z urzędów gmin. Spośród 93 starostw powiatowych i urzędów miast na prawach powiatu, sześćdziesięciu trzech oceniło poziom bezpieczeństwa jako „dobry”, piętnastu jako „bardzo dobry”, dwunastu jako „przeciętny”, jeden jako „zły”, jeden z urzędników nie miał zdania. Jeden z urzędów nie udzielił odpowiedzi na to pytanie. W przypadku tych jednostek respondenci wystawili w większości dobre i bardzo dobre oceny.

Rysunek 51. Oceny poziomów bezpieczeństwa informacji w starostwach

powiatowych i urzędach miast na prawach powiatu. Źródło: opracowanie własne na podstawie wyników badań.

3.9.4 URZĘDY GMIN

Na rysunku (zob. Rysunek 52) przedstawiono oceny poziomów bezpieczeństwa informacji w urzędach dokonane przez urzędników z urzędów gmin. Spośród 146, dziewięćdziesięciu pięciu oceniło poziom bezpieczeństwa jako „dobry”, czterdziestu pięciu jako „przeciętny”, czterech oceniło jako „bardzo dobry”, jeden jako „zły”, jeden z urzędników nie miał zdania. W przypadku urzędów gmin oceny wydają się być bardziej obiektywne.

Rysunek 52. Oceny poziomów bezpieczeństwa informacji w urzędach gmin.


131

ZAKOŃCZENIE 23 czerwca 2015 r. opublikowana została przez Najwyższą Izbę

Kontroli Informacja o Wynikach Kontroli „Realizacja Przez Podmioty Państwowe Zadań w Zakresie Ochrony Cyberprzestrzeni RP”177. Badanie NIK objęło 8 podmiotów państwowych, którym przypisano kluczowe zadania związane z bezpieczeństwem teleinformatycznym państwa, tj.: ówczesne Ministerstwo Administracji i Cyfryzacji, Agencję Bezpie-czeństwa Wewnętrznego, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych, Naukową i Akademicką Sieć Komputerową, Urząd Komunikacji Elektronicznej, Rządowe Centrum Bezpieczeństwa oraz Komendę Główną Policji. Ocena realizacji zadań tych podmiotów w zakresie bezpieczeństwa cyberprzestrzeni przez NIK była negatywna. Raport wymienia szereg problemów i niedociągnięć oraz formułuje próbę ustalenia przyczyn takiego stanu rzeczy. Kluczowe spostrzeżenie dotyczy braku systemowego podejścia do zagadnień cyberbezpieczeństwa oraz prowadzenia działań w sposób rozproszony i sprowadzenia ich w dużej mierze do „doraźnego ograniczonego reagowania na bieżące wydarzenia oraz do biernego oczekiwania na rozwiązania, które w tym obszarze zaproponuje Unia Europejska”178.

Jako działania pozytywne NIK wskazuje jedynie poszczególne inicjatywy jak: powołanie zespołów CERT przez NASK, ABW i MON, Utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz utworzenie Narodowego Centrum Kryptologii, Rozpowszechnienie przez RCB wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej oraz prowadzenie przez NASK i policję działań edukacyjnych, dotyczących przestępczości komputerowej i bezpie-czeństwa w cyberprzestrzeni.

Z kolei w 2014 r. NIK przeprowadził kontrolę „Wdrażanie wybranych wymagań dotyczących systemów teleinformatycznych, wymiany informacji w postaci elektronicznej oraz Krajowych Ram Interoperacyjności na przykładzie niektórych urzędów gmin miejskich

177 Zob.: Realizacja Przez Podmioty Państwowe Zadań w Zakresie Ochrony Cyberprzestrzeni RP, Najwyższa Izba Kontroli: Informacja o wynikach kontroli, dostępna na: https://www.nik.gov.pl/plik/id,8764,vp,10895.pdf (data dostępu: 12.12.2015 r.). 178 Ibidem.

132

i miast na prawach powiatu”179 w 25 jednostkach: Ministerstwie Administracji i Cyfryzacji oraz w 24 wybranych urzędach gmin miejskich i miast na prawach powiatu w województwach: dolnośląskim, małopolskim, mazowieckim, śląskim, wielkopolskim i zachodnio-pomorskim.

Podczas kontroli NIK wykazał liczne nieprawidłowości i ogólnie negatywnie ocenił działania władz miast w zakresie zarządzania bezpieczeństwem informacji. Według danych z raportu pokontrolnego spośród 24 badanych jednostek w 21 stwierdzono nieprawidłowości w tym obszarze. Urzędy nie posiadały całościowej Polityki Bezpie-czeństwa Informacji, niewłaściwie zarządzały uprawnieniami użytkowników, nie przeprowadzały corocznych audytów wewnętrznych bezpieczeństwa informacji i nie posiadały stosowanych umów na zakup lub serwis sprzętu/oprogramowania, zawierających zapisy gwarantujące zapewnienie poufności przetwarzanych w nich danych. Zdaniem NIK nie realizowały zadań wynikających z §20 RozpKRI.

Wysoce krytyczna ocena działań administracji państwowej w zakresie cyberbezpieczeństwa jest niewątpliwie słuszna. „Silosowe” podejście do funkcjonowania administracji publicznej prowadzi do niewykorzystania możliwych korzyści skali i do braku efektu synergicznego. Poszczególne resortowe inicjatywy nie mogą zmienić tego stanu rzeczy. Warto zwrócić uwagę choćby na statystyki incy-dentów, opracowywane corocznie przez CERT.GOV.PL. Liczba zgłoszonych do CERT incydentów bezpieczeństwa jest wielokrotnie mniejsza niż liczba urzędów administracji państwowej i samorządowej. Oznacza to oczywiście, że poszczególne instytucje nie raportują do CERT.GOV.PL o zachodzących zdarzeniach, nie można bowiem spodziewać się, iż istnieją – i to w dużej liczbie – takie jednostki, w których przez cały rok nie dochodzi do żadnych incydentów bezpieczeństwa (a więc np. żaden z pracowników nie padł ofiarą kradzieży urządzenia mobilnego, nie doszło do żadnej infekcji złośliwym oprogramowaniem, do żadnych prób ataków na system informatyczny itd.). Konsekwencją takiego stanu rzeczy jest to, że CERT.GOV.PL – mimo niewątpliwie wysokiej oceny kompetencji jego pracowników oraz merytorycznej strony jego działania – nie dysponuje adekwatną informacją wejściową, a więc nie może racjonalnie rozpoznawać rzeczy-

179 Zob.: Najwyższa Izba Kontroli: Informacja o wynikach kontroli: Wdrażanie wybranych wymagań dotyczących systemów teleinformatycznych, wymiany informacji w postaci elektronicznej oraz Krajowych Ram Interoperacyjności na przykładzie niektórych urzędów gmin miejskich i miast na prawach powiatu, luty 2015, https://www.nik.gov.pl/kontrole/P/14/004/ (data dostępu: 12.12.2015 r.).

133

wistych zagrożeń i problemów dotyczących bezpieczeństwa informa-tycznego administracji. Z powodu prostego braku odpowiedniego uregulowania, które nakazywałoby jednostkom administracji państwowej czy samorządowej przynajmniej okresowe raportowanie o incydentach, CERT.GOV.PL musi funkcjonować w warunkach braku informacji, a więc zwiększonej niepewności i niepotrzebnego ryzyka. Zjawisko to było również widoczne w przeprowadzonej ankiecie: zaledwie w 5 przypadkach ankietowani wspominali o informowaniu CERT.GOV.PL o incydentach bezpieczeństwa. Podobna sytuacja ma miejsce w przy-padku cyberprzestępczości – brak spójnego systemu raportowania o przestępstwach komputerowych prowadzi do sytuacji, w której niejednokrotnie poszukiwania cyberprzestępców prowadzone są w sposób rozproszony, nieskoordynowany, przez różne jednostki policji i prokuratury w całym kraju. Pomimo istnienia statystyk przestępczości, niemożliwe jest nawet proste stwierdzenie, do ilu przestępstw „informatycznych” dochodzi w Polsce, bowiem poszczególne przepisy (np. art. 267 § 1 KK) łączą w sobie tak różne czyny przestępne, jak otwieranie zamkniętego pisma i podsłuch w sieciach komputerowych, zaś nie prowadzi się statystyk na poziomie innym niż paragrafy poszczególnych artykułów KK180. Nie można więc nawet oszacować, jaki rozmiar ma cyberprzestępczość w Polsce, ani jakie straty na jej skutek ponoszą organy administracji państwowej i samorządowej na skutek zdarzeń związanych z bezpieczeństwem informacji; jakkolwiek wia-domo, że zjawiska takie się zdarzają i że straty należy liczyć w co najmniej milionach złotych181.

Brak systemowego podejścia (zresztą nie tylko do zagadnień bezpieczeństwa informacji, ale i do zagadnień informatyzacji administracji państwowej w ogóle) implikuje poszczególne problemy, które uwidoczniły się również w wynikach przedstawionych w niniejszej monografii badań. Przede wszystkim, uwagę zwraca bardzo duża niejednorodność standardów, w oparciu o które poszczególne jednostki starają się budować swoje systemy zarządzania bezpieczeństwem informacji. Wśród wymienionych norm są zarówno archaiczne już normy BS 07799-1 (2 wskazania), jak i – dotycząca zarządzania ryzykiem, a nie budowy ISMS – norma ISO/IEC 27005, część urzędów w ogóle nie opiera się na żadnych standardach dbając jedynie o bezpieczeństwo w takim zakresie, w jakim narzucają to explicite obowiązujące przepisy, w szczególności UoODO. Nie sposób nie przypuszczać, że ma to związek raczej z aktywnością Biura Generalnego Inspektora Ochrony 180 Zob. np.: Szmit M., Wybrane zagadnienia opiniowania…, op. cit., s. 131 i n. 181 Por. np.: „Cyberprzestępcy okradają polskie gminy”…, op. cit.

134

Danych Osobowych niż z systemowym podejściem do zagadnień cyberbezpieczeństwa. Bardzo rzadko (zaledwie w 21 przypadkach na 115 jednostek, w których wdrożono system zarządzania bezpieczeństwem informacji) urzędy decydowały się na certyfikowanie swojego systemu zarządzania bezpieczeństwem informacji, przy czym główną przyczyną takiego stanu rzeczy (wymienioną w 36 przypadkach) było stwierdzenie, że jest to „kosztowne przedsięwzięcie”.

Niejednorodność dotyczy również formy, jaką przybierają doku-mentacje poszczególnych systemów. Ze względu na ograniczone możliwości badania, przeprowadzono tylko porównanie struktury i objętości dokumentów bez ich głębszej analizy. W poszczególnych rodzajach urzędów dokumentacja ISMS waha się w granicach:

• dla urzędów wojewódzkich: od pojedynczego 10 stronicowego dokumentu (1 wskazanie), poprzez dokument główny wraz z załącznikami (9 wskazań) o liczbie stron od 19 do 468, do składających się z 34 stron odrębnych procedur i instrukcji (1 wskazanie);

• dla urzędów marszałkowskich: dokument główny wraz z załącznikami (12 wskazań) o liczbie stron od 43 do 200 lub odrębne procedury i instrukcje (1 wskazanie) o objętości około 120 stron;

• dla urzędów gmin: od pojedynczego dokumentu (13 wskazań) o liczbie stron od 5 do 80, poprzez dokument główny wraz z załącznikami (122 wskazania) o liczbie stron od 10 do 1000, do składających się od 29 do 200 stron odrębnych procedur i instrukcji (6 wskazań). Pięć urzędów wskazało, że dokumentacja nie jest prowadzona;

• dla starostw powiatowych i urzędów miast na prawach powiatu: od pojedynczego dokumentu (6 wskazań) o liczbie stron od 13 do 52, poprzez dokument główny wraz z załącznikami (77 wskazań) o liczbie stron od 4 do 400, do składających się od 19 do 160 stron odrębnych procedur i instrukcji (7 wskazań). Trzy urzędy nie udzieliły odpowiedzi na pytania dotyczące struktury dokumentu.

Warto jeszcze raz podkreślić, że w każdej grupie mowa o jednostkach, które mogą wprawdzie mieć – w pewnym zakresie – różną organizację wewnętrzną, ale realizują takie same zadania ustawowe. Stąd też nasuwającym się pomysłem byłoby choćby opracowanie pewnych wytycznych czy wzorców dla poszczególnych rodzajów urzędów (takie podejście, polegające na publikacji standardów, raportów i wytycznych dla administracji federalnej USA reprezentuje amerykański National

135

Institute of Standard and Technology, który między innymi opracował zestaw zaleceń o nazwie Cyber Security Framework182.

Z drugiej strony, urzędy, które były przedmiotem badania dość krytycznie oceniały wsparcie, jakiego mogły się spodziewać od innych organów administracji publicznej. Zaledwie 27 badanych urzędów na 115, w których wdrożono system zarządzania bezpieczeństwem infor-macji mogło liczyć na takie wsparcie na różnych etapach: ustanowienia, wdrożenia i eksploatacji, monitorowania i przeglądu, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji.

W ramach badania zidentyfikowano czynniki sukcesu wdrożenia systemu zarządzania bezpieczeństwem informacji:

• zaangażowanie najwyższego kierownictwa jednostki; • świadomość pracowników o konieczności zapewnienia bezpie-

czeństwa informacji; • przygotowanie merytoryczne pracowników; • przeznaczenie odpowiednich zasobów finansowych; • określenie szczegółowych wymagań dla systemu; • wymagania systemu zgodne ze specyfiką organizacji.

Respondenci wskazali również problemy z jakimi zetknęli się na etapie wdrożenia systemu. Oprócz najczęściej wymienionych w kwestio-nariuszu ankietowym (nadmiernie rozbudowana dokumentacja, niedostateczne zasoby finansowe, brak przygotowania merytorycznego pracowników), zwrócili również uwagę na problemy natury prawnej i organizacyjnej. Ta pierwsza wynika z częstych zmian przepisów dotyczących bezpieczeństwa informacji oraz niespójności tych przepisów w okresie ich zmian. Druga – z częstych zmian organizacyjno-kadrowych w urzędach, niedostosowanie realiów pracy urzędów do wymagań wynikających z norm, braków kadrowych, oporu pracowników na wpro-wadzanie zmian, braku współpracy pomiędzy komórkami organi-zacyjnymi.

Na podkreślenie zasługuje (w niektórych przypadkach) bardzo niska świadomość zagadnień związanych z cyberbezpieczeństwem (cyber-security awareness), przy czym na pytania odpowiadały nie osoby przypadkowe, ale urzędnicy odpowiedzialni za bezpieczeństwo informacji w poszczególnych urzędach, bądź osoby przez nich wskazane. Wśród odpowiedzi na pytanie 33 (o częstość dokonywania przeglądu bezpieczeństwa), mające charakter pytania kontrolnego, trafiały się odpowiedzi „codziennie” (8 wskazań) czy „co tydzień” (10 wskazań), 182 Zob.: NIST cyber security framework, dostępny na: http://www.nist.gov/ cyberframework/.

136

świadczące o niezrozumieniu (bądź to pytania, bądź pojęcia przeglądu bezpieczeństwa), wśród stosowanych metod zabezpieczeń trafiały się nazwy własne poszczególnych rozwiązań technicznych (np. FortiGate czy FortiNet).

W ramach badań wykazano, że w większości urzędy administracji publicznej nie rejestrują incydentów związanych z bezpieczeństwem informacji. A te urzędy, które prowadzą dokumentację, wykazują w raportach bardzo małe liczby incydentów (łącznie z 263 badanych jednostek, incydenty rejestruje tylko 47). Wynikać to może z kilku przyczyn:

• urzędy rejestrują tylko najpoważniejsze zdarzenia; • urzędy nie chcą udostępnić informacji o rzeczywistej liczbie

incydentów; • urzędy administracji publicznej (zwłaszcza te mniejsze) nie są

narażone aż na tak wiele ataków co urzędy administracji rządowej.

Na podstawie udzielonych odpowiedzi można zauważyć, że większość urzędów nie zarządza incydentami we właściwy sposób. Niektóre badane jednostki obsługują tylko incydenty związane z bezpieczeństwem danych osobowych. Urzędy, które nie posiadają wdrożonego systemu zarządzania incydentami powinny jak najszybciej podjąć takie działania, by móc prawidłowo obsługiwać pojawiające się w przyszłości zdarzenia.

Pomimo, że liczba incydentów była stosunkowo niewielka, występowały problemy z prawidłowym reagowaniem i procesem zarządzania nimi.

Potwierdzają to raporty NIK, według których w wielu jednostkach nie ma wdrożonego kompleksowego systemu reagowania na incydenty komputerowe, nie ma zespołów CERT, a incydenty nie są rejestrowane. Jednym z postulatów NIK jest opracowanie procedur dotyczących zgłaszania incydentów nie tylko związanych z zagrożeniem danych osobowych, ale również innych danych przetwarzanych w urzędach.

137

BIBLIOGRAFIA NORMY I KTY PRAWNE:

1. ČSN ISO/IEC 27001:2006 Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky

2. ČSN ISO/IEC 9545:1996 Informační technika. Propojení otevřených systémů. Struktura aplikační vrstvy

3. ISO 31000:2009 Risk management – Principles and guidelines 4. ISO Guide 73:2009 Risk management – Vocabulary 5. ISO/IEC 27000:2014 Information technology – Security techniques –

Information security management systems – Overview and vocabulary

6. ISO/IEC 27001:2013 Information technology – Security techniques Information security management systems – Requirements

7. ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security controls

8. ISO/IEC 27005 Information technology – Security techniques – Information security risk management

9. ISO/IEC 27032 Information technology – Security techniques – Information security incident management

10. Konstytucja Rzeczpospolitej Polskiej (Dz. U. z 1997 r. Nr 78, poz. 483 ze zm.)

11. PN-I-02000: 2002 Technika informatyczna – Zabezpieczenia w systemach informatycznych – Terminologia

12. PN-ISO/IEC 13335-1:1999 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych – Pojęcia i modele bezpieczeństwa systemów informatycznych

13. PN-ISO/IEC 17799:2007 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji

14. PN-ISO/IEC 2382-1:1996 Technika informatyczna – Terminologia – Terminy podstawowe

15. PN-ISO/IEC 2382-8:2001 Technika informatyczna – Terminologia – Bezpieczeństwo

16. PN-ISO/IEC 24762:2010 Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie

138

17. PN-ISO/IEC 27000:2014 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia

18. PN-ISO/IEC 27001:2014-12 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji

19. PN-ISO/IEC 27002:2014-12 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji

20. PN-ISO/IEC 27005:2014-01 Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji

21. PN-ISO/IEC 31000:2012 – Zarządzanie ryzykiem – Zasady i wytyczne

22. Rozporządzenie Prezesa Rady Ministrów z 20.7.2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. z 2011 r. Nr 159, poz. 948)

23. Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z 8.8.2011 r. w sprawie obszarów wiedzy, dziedzin nauki i sztuki oraz dyscyplin naukowych i artystycznych (Dz.U. z 2011 r. Nr 179, poz. 1065)

24. Rozporządzenie Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r., poz. 526)

25. Uchwała Centralnej Komisji do Spraw Stopni i Tytułów z 28.1.2011 r. zmieniająca uchwałę w sprawie określenia dziedzin nauki i dziedzin sztuki oraz dyscyplin naukowych i artystycznych (M.P. Nr 14/2011, poz. 149)

26. Ustawa z 25.2.1964 r. – Kodeks rodzinny i opiekuńczy (t. jedn.: Dz.U. z 2015 r. poz. 583)

27. Ustawa z 8.3.1990 r. o samorządzie gminnym (t. jedn.: Dz.U. z 2015 r. poz. 1515)

28. Ustawa z 6.6.1997 r. – Kodeks karny (Dz.U. z 1997 r. Nr 88, poz. 553 ze zm.)

29. Ustawa z 5.6.1998 r. o administracji rządowej (Dz.U. z 1998 r. Nr 91, poz. 577 ze zm.)

30. Ustawa z 5.6.1998 r. o samorządzie powiatowym (t. jedn.: Dz.U. z 2015 r. poz. 1445)

31. Ustawa z 5.6.1998 r. o samorządzie województwa (t. jedn.: Dz.U. z 2015 r. poz. 1392)

32. Ustawa z 24.7.1998 r. o wprowadzeniu zasadniczego trójstopniowego podziału terytorialnego państwa (Dz.U. z 1998 r. Nr 96, poz. 603)

139

33. Ustawa z 18.7.2002 r. o świadczeniu usług drogą elektroniczną (t. jedn.: Dz.U. z 2013 r. poz. 1422)

34. Ustawa z 13.11.2003 r. o dochodach jednostek samorządu terytorialnego (t. jedn.: Dz.U. z 2016 r. poz. 198)

35. Ustawa z 16.7.2004 r. – Prawo telekomunikacyjne (t. jedn.: Dz.U. z 2014 r. poz. 243)

36. Ustawa z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t. jedn.: Dz.U. z 2014 r. poz. 1114)

37. Ustawa z 4.9.2008 r. o zmianie ustaw w celu ujednolicenia terminologii informatycznej (Dz.U. z 2008 r. Nr 171, poz. 1056)

38. Ustawa z 23.1.2009 r. o wojewodzie i administracji rządowej w województwie (t. jedn.: Dz.U. z 2015 r. poz. 525)

39. Ustawa z 5.8.2010 r. o ochronie informacji niejawnych (Dz.U. z 2010 r. Nr 182, poz. 1228 ze zm.)

40. Ustawa z 30.8.2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw (Dz.U. z 2011 r. Nr 222, poz. 1323)

LITERATURA:

41. Anderson R., Inżynieria zabezpieczeń, Warszawa 2005 42. Białas A., Bezpieczeństwo informacji i usług w nowoczesnej

instytucji i firmie, Warszawa 2006 43. Błaś A., Boć J., Jeżewski J., Administracja publiczna, pod red. Boć

J., Poznań 2004 44. Bojarski T., Przestępstwa przeciwko państwu. Uwagi na tle

kodeksu karnego. /in:/ Prace ofiarowane Profesor Oktawii Górniok, Katowice 1996

45. Calder A., Nine Steps to Success: an ISO 27001 Implementation Overview, IT Governance Publishing, UK 2005

46. Castells M., Himanen P., Społeczeństwo informacyjne i państwo dobrobytu, Warszawa 2009

47. Cierocki R., Jatkiewicz P., Bezpieczeństwo informacji w jedno-stkach samorządu terytorialnego, Roczniki Kolegium Analiz Ekonomicznych SGH, Z. 29/2013, Warszawa 2013

48. Denning D.E., Wojna informacyjna i bezpieczeństwo informacji, Warszawa 2002

49. Dziwisz S., Odpowiedzialność karna za przestępstwa popełnione w cyberprzestrzeni [w:] Podraza A., Potakowski P., Wiak K. (red.), Cyberterroryzm zagrożeniem XXI wieku, Warszawa 2013

50. Flakiewicz W., Oleksiński J., Cybernetyka ekonomiczna, Warszawa 1989

140

51. Gillies A., Improving the quality of information security management systems with ISO27000, „TQM Journal”, Vol. 23, Issue 4, 2011

52. Gościński J., Zarys sterowania ekonomicznego, Warszawa 1977 53. Handbook of Information Security, Willey 2005 54. Hausner J., Administracja publiczna, Warszawa 2005 55. Hofreiter L., Securitológia, Liptovský Mikuláš: Akadémia

ozbrojených síl gen. M.R. Štefánika 2006 56. Hofreiter L., Wstęp do studiów bezpieczeństwa, Kraków 2012 57. Humphreys E., Implementing the ISO/IEC 27001 Information

Security Management System Standard, Artech House, Norwood 2007

58. Ilvonen I., Information security culture or information safety culture – What do words convey?, 10th European Conference on Information Warfare and Security 2011, ECIW, Tallinn 2011

59. Iserzon E., Prawo administracyjne, Warszawa, 1968 60. Izdebski H., Kulesza M., Administracja publiczna – zagadnienia

ogólne, Warszawa 2004 61. Jašek R., The information security of enterprises and citizens'

security context, „Komunikacie”, Vol. 7, Issue 3, 2005 62. Jastrzębska M., Finanse jednostek samorządu terytorialnego,

Warszawa 2012 63. Kister Ł., Significance of information security in a company [w:]

Riešenie krízových situácií v špecifickom prostredí, Žilinska univerzita, Žilina 2009

64. Kister Ł., Bezpieczeństwo informacyjne infrastruktury krytycznej, „Terroryzm” Nr 1/2010, Warszawa 2010

65. Kolasińska E., Rot H., Podstawy cybernetyki i informatyki prawniczej, Wrocław 1983

66. Korzeniowski L., Securitology – The concept of safety, „Komunikacie”, Vol. 7, Issue 3, 2005

67. Korzeniowski L. F., Securitologia na początku XXI wieku, „Securitologia” Nr 6/2007

68. Korzeniowski L. F., Securitologia. Nauka o bezpieczeństwie człowieka i organizacji społecznych, Kraków 2008

69. Korzeniowski L. F., Podstawy nauk o bezpieczeństwie, Warszawa 2012

70. Korzeniowski L. F., Nauki o bezpieczeństwie – wprowadzenie do problematyki [w:] Cybula P., Prawne aspekty bezpieczeństwa w górach: turystyka, Kraków 2013

71. Kosiński J., Paradygmaty cyberprzestępczości, Warszawa 2015

https://www.researchgate.net/publication/241675483_Improving_the_quality_of_information_security_management_systems_with_ISO27000?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==



https://www.researchgate.net/publication/226523521_Information_security_management_system_standards?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==



https://www.researchgate.net/publication/287027604_Information_security_culture_or_information_safety_culture_-_What_do_words_convey?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==



https://www.researchgate.net/publication/293037307_The_information_security_of_enterprises_and_citizens'_security_context?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==

https://www.researchgate.net/publication/293037307_The_information_security_of_enterprises_and_citizens'_security_context?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==

https://www.researchgate.net/publication/291589459_Securitology_-_The_concept_of_safety?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==

https://www.researchgate.net/publication/291589459_Securitology_-_The_concept_of_safety?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==

141

72. Krótki Z., Polskie leksemy o rdzeniu piecz-/piek- pochodne od piec się, „Poznańskie Studia Polonistyczne“, Seria Językoznawcza Vol. 22 (42), Nr 2

73. Liderman K., O pomiarach bezpieczeństwa teleinformatycznego, „Diagnostyka” Nr 42/006

74. Liderman K., O zagrożeniach dla skutecznej ochrony informacji, Przetwarzanej w sieciach i systemach teleinformatycznych, powodowanych nowomową, Konferencja „Cyberspace 2009”

75. Lindqvist U., Jonsson E., How to systematically classify computer security intrusions, IEEE symposium on Security and privacy 1999 Proceedings

76. Lisiak-Felicka D., Anonimowość w sieci, „Hakin9” Nr 1/2009 (44) 77. Lisiak-Felicka D., Szmit M., Czy istnieje technologia

informacyjna? [w:] Multimedia w biznesie i zarządzaniu, pod red. Kiełtyki L., Warszawa 2009

78. Lisiak-Felicka D., Szmit M., Incydenty związane z bezpie-czeństwem informacji w administracji publicznej w Polsce, „Studies & Proceedings of the Polish Association for Knowledge Management”, Vol. 76/2015, Bydgoszcz 2015

79. Lisiak-Felicka D., Szmit M., Information security incidents management in marshal offices and voivodeship offices in Poland, „Studies & Proceedings of Polish Association for Knowledge Management”, Vol. 72, Bydgoszcz 2014

80. Lisiak-Felicka D., Szmit M., Information Security Management Systems In Marshal Offices In Poland, „Information Systems In Management”, Vol. 3(2)/2014

81. Lisiak-Felicka D., Szmit M., Information Security Management Systems in Municipal Offices in Poland, artykuł przyjęty do druku [w:] „Information Systems in Management”

82. Lisiak-Felicka D., Szmit M., Narzędzia informatyczne w zarzą-dzaniu urzędami – wybrane zagadnienia, „Zeszyty Naukowe Uniwersytetu Szczecińskiego” Nr 651 [w:] Ekonomiczne Problemy Usług Nr 68, Drogi dochodzenia do społeczeństwa informa-cyjnego. Stan obecny, perspektywy rozwoju i ograniczenia, T. II, Szczecin 2011

83. Lisiak-Felicka D., Szmit M., Selected aspects of information security management in voivodeship office in Poland, „Securitologia” Nr 2(20)/2014

84. Lisiak-Felicka D., Szmit M., „Tango Down” – Some Comments to the Security of Cyberspace of Republic of Poland [w:] Biały W., Kaźmierczak J., Systems supporting production engineering, Gliwice 2012

https://www.researchgate.net/publication/283815701_Polskie_leksemy_o_rdzeniu_piecz-piek-_pochodne_od_piec_sie?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==



https://www.researchgate.net/publication/3696993_How_to_systematically_classify_computer_security_intrusions?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==

https://www.researchgate.net/publication/3696993_How_to_systematically_classify_computer_security_intrusions?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==

https://www.researchgate.net/publication/296235349_Incydenty_zwiazane_z_bezpieczenstwem_informacji_w_administracji_publicznej_w_Polsce?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==




https://www.researchgate.net/publication/271753260_Information_security_incidents_management_in_marshal_offices_and_voivodeship_offices_in_Poland?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==




https://www.researchgate.net/publication/259009528_Information_Security_Management_Systems_In_Marshal_Offices_In_Poland?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==



https://www.researchgate.net/publication/272507555_Selected_aspects_of_information_security_management_in_Voivodeship_Office_in_Poland?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==



https://www.researchgate.net/publication/272745542_TANGO_DOWN_SOME_COMMENTS_ON_THE_SECURITY_OF_CYBERSPACE_OF_REPUBLIC_OF_POLAND?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==




142

85. Lisiak-Felicka D., Szmit M., Wybrane aspekty zarządzania bezpieczeństwem informacji w urzędach marszałkowskich, „Secu-ritologia” Nr 2/2013

86. Ludwiszewski M., Monitoring stanu bezpieczeństwa teleinforma-tycznego państwa [w:] Bezpieczeństwo Teleinformatyczne Państwa, pod red. Madej M., Polski Instytut Spraw Między-narodowych, Warszawa 2009

87. Maciejowski W.A., Piśmiennictwo polskie od czasów najdawniejszych aż do roku 1830, T. 3, Warszawa 1852

88. Marczyński R., Maszyny matematyczne, Nr 1/1969, Warszawa 1969

89. Meteňko J., Líška K., Riadenie operatívnych činností, Akadémia Policajného Zboru, Bratislava 2003

90. Molski M., Łacheta M., Przewodnik audytora systemów informatycznych, Gliwice 2007

91. Monarcha-Matlak A., Obowiązki administracji w komunikacji elektronicznej, Warszawa 2008

92. Ochendowski E.: Prawo administracyjne: część ogólna, Toruń 2002 93. Penc J., Leksykon biznesu, Warszawa 1997 94. Petzel J., Informatyka prawnicza. Zagadnienia teorii i praktyki,

Warszawa 1999 95. Pihowicz W., Inżynieria bezpieczeństwa technicznego. Problema-

tyka podstawowa, Warszawa 2008 96. Popowska-Taborska H., Dlaczego pol. bezpieczny nie znaczy

‘niebezpieczny’?, „Acta Universitatis Wratislaviensis” No 3578, Savica Wratislaviensis CLIX, Wrocław 2014

97. Porada V., Holcr K., et al., Policejní vědy, Vyd. Aleš Čeněk, Plzeň 2011

98. Robinson N., IT excellence starts with governance, „Journal of Investment Compliance”, Vol. 6 Issue: 3, 2005

99. Słownik Języka Polskiego, Warszawa 1979 100. Słownik Wyrazów Obcych PWN, Warszawa 1997 101. Škvrnda F.: Vybrané sociologické otázky charakteristiky

bezpečnosti v súčasnom svete [w:] Čukan K., Mládež a armada, Bratislava 2005

102. Staniec I., Zawiła-Niedźwiecki J., Zarządzanie ryzykiem opera-cyjnym, Warszawa 2008

103. Starościak J., Prawo administracyjne, Warszawa 1975 104. Stefanowicz B., Informacja, Warszawa 2004

https://www.researchgate.net/publication/261655996_Wybrane_aspekty_zarzadzania_bezpieczenstwem_informacji_w_urzedach_marszalkowskich?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==



https://www.researchgate.net/publication/242347370_IT_excellence_starts_with_governance?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==

https://www.researchgate.net/publication/242347370_IT_excellence_starts_with_governance?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==

143

105. Stoll M., Breu R., Information security measurement roles and responsibilities, 6th International Joint Conference on Computer, Information and Systems Sciences and Engineering, „Lecture Notes in Electrical Engineering”, Vol. 151/2013

106. Szafrański B. i in.: Interoperacyjność i bezpieczeństwo systemów informatycznych administracji publicznej, Katowice 2006

107. Szmit A., Szmit M., Bezpieczeństwo, cyberbezpieczeństwo, ryzyko w bezpieczeństwie informacji – próba uporządkowania pojęć [w:] Natura i uwarunkowania ryzyka, pod red. Staniec I., Łódź 2014

108. Szmit M., Cyberbezpieczeństwo jako zagadnienie interdyscyplina-rne [w:] Bezpieczeństwo w administracji i biznesie jako czynnik europejskiej integracji i rozwoju, Gdynia 2015

109. Szmit M., Informatyka w Zarządzaniu, Warszawa 2003 110. Szmit M., Kilka uwag, nie tylko o dokumentach elektronicznych

[w:] Ochrona informacji niejawnych, biznesowych i danych osobowych. Materiały VII Kongresu, KSOIN, Katowice 2011

111. Szmit M., O nauczaniu o bezpieczeństwie informacji. Wybrane problemy [w:] Edukacja bez barier, Zaborze 2011

112. Szmit M., Routing cebulowy, „Hakin9” Nr 3/2008 113. Uhrín S., Selinger P., Bezpečnostné służby, Žilinská univerzita,

Žilina 2003 114. Webster’s New Collegiate Dictionary. Merriam, Springfield 1980

DOKUMENTY ELEKTRONICZNE:

1. 37 tys. wirusów dziennie, dostępny na: http://nt.interia.pl/news/37-tys-wirusow-dziennie,1355027?source=rss

2. Albrechtsen E., Security vs safety, Norwegian University of Science and Technology Department of Industrial Economics and Technology Management, dostępny na: http://www.iot.ntnu.no/users/ albrecht/rapporter/notat%20safety%20v%20security.pdf

3. Anonimowość daje bezpieczeństwo, dostępny na: http://www. tvn24.pl/wiadomosci-z-kraju,3/anonimowosc-daje-bezpieczenstwo-diablu-temu-co-zle,290299.html

4. Arendts F., Concept Presentation (16th july 2008, St Michielskerk Leuven) of the article From Homer to Hobbes and Beyond – Aspects of ‘Security’ in European Thought, dostępny na: http://www.afes-press-books.de/pdf/Hexagon_3/Arends_IPRA.pdf

5. Atak hakerski kosztował UMŁ 43 tys. zł, Łódź, Nasze Miasto, „Atak hakerski kosztował UMŁ 43 tys. zł”, dostępny na: http://lodz. naszemiasto.pl/artykul/atak-hakerski-kosztowal-uml-43-tys-zl,1950650,t,id.html

https://www.researchgate.net/publication/288433986_Information_Security_Measurement_Roles_and_Responsibilities?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==




https://www.researchgate.net/publication/273505764_Bezpieczenstwo_cyberbezpieczenstwo_ryzyko_w_bezpieczenstwie_informacji_-_proba_uporzadkowania_pojec?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==



144

6. AVG informacje prasowe, dostępne na: http://www.avg.com/pl-pl/informacje-prasowe.ndi-222803

7. Berdel-Dudzińska M., Pojęcie cyberprzestrzeni we współczesnym polskim porządku prawnym, dostępne na: http://www.ksiegarnia. lexisnexis.pl/gfx/lexisnexis/userfiles/files/pojecie_cyberprzestrzeni_we_wspolczesnym_polskim_porzadku_prawnym.pdf

8. Bocheński I., Sto zabobonów. Krótki filozoficzny słownik zabobonów, Kraków 1994, dostępne na: http://100-zabobonow. blogspot.com

9. Cashell B., Jackson W. D., Jickling M., Webel B., The Economic Impact of Cyber-Attacks, CRS Report for Congress, April 1, 2004, dostępny na: http://www.cisco.com/warp/public/779/govtaffairs/ images/CRS_Cyber_Attacks.pdf

10. Cert.org statistics history, dostępne na: http://www.cert.org/stats/ #vuls

11. Chmielewski M., Najciekawsze wirusy 2010 roku, dostępny na: http://technowinki.onet.pl/artykuly/najciekawsze-wirusy-2010-roku,1,4090172,artykul.html

12. Cyber security framework, dostępny na: http://www.nist.gov/ cyberframework/

13. Cyberprzestępcy okradają polskie gminy, „Rzeczpospolita”, dostępny na: http://technowinki.onet.pl/aktualnosci/rzeczpospolita-cyberprze-stepcy-okradaja-polskie-gminy/8flgkn

14. Dane osobowe wyciekły z urzędu miasta, dostępny na: http://piotrkowtrybunalski.naszemiasto.pl/artykul/dane-osobowe-wyciekly-z-urzedu-miasta-w-piotrkowie,3299451,art,t,id,tm.html [2015-10-17]

15. Digital Universe, dostępny na: http://www.emc.com/leadership/ programs/digital-universe.htm

16. Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej, BBN 2015, dostępne na: http://www.bbn.gov.pl/ftp/dok/01/DCB.pdf

17. Encyklopedia Gutenberga, Wersja Elektroniczna, dostępna na: http://www.gutenberg.czyz.org/word,65489

18. European Network Security Institute, dostępny na: http://www.ensi.net/

19. European Police Science and Research Bulletin, dostępny na: http://cepol.europa.eu/index.php?id=science-research-bulletin

20. GDataSoftware, Number of new computer viruses at record high, dostępny na: http://www.gdatasoftware.co.uk/about-g-data/press-centre/news/news-details/article/1760-number-of-new-computer-viruses.htm

145

21. Hacker Intelligence Initiative, Monthly Trend Report #14, December 2012, dostępny na: http://www.imperva.com/download.asp?id=324

22. Hakerzy przejęli oficjalną stronę internetową, dostępny na: http://nowosci.com.pl/339942,Hakerzy-przejeli-oficjalna-strone-internetowa-Urzedu-Miasta-w-Toruniu.html

23. Hasło do systemu wyborczego na stronie urzędu, dostępny na: https://zaufanatrzeciastrona.pl/post/haslo-do-systemu-wyborczego-na-stronie-urzedu-ty-tez-mogles-testowac/

24. Howard J.D., Longstaff T.A., A Common Language for Computer Security Incidents, dostępny na: http://prod.sandia.gov/techlib/ access-control.cgi/1998/988667.pdf

25. http://hrcak.srce.hr/index.php?show=casopis&id_casopis=129&lang=en

26. http://www.nasza-arka.pl/2010/rozdzial.php?numer=10&rozdzial=5, http://www.patrimonium.chrystusowcy.pl/kandydaci-na-oltarze/sluga-bozy-ks-ignacy-posadzy/proces-beatyfikacyjny/rekognicja/#.VSHBLBdHU-8

27. IDC Whitepaper: The Diverse and Exploding Digital Universe. An Updated Forecast of Worldwide Information Growth Through 2011, dostępny na: http://ww.ifap.ru/library/book268.pdf

28. Informacja o wynikach kontroli: Wdrażanie wybranych wymagań dotyczących systemów teleinformatycznych, wymiany informacji w postaci elektronicznej oraz Krajowych Ram Interoperacyjności na przykładzie niektórych urzędów gmin miejskich i miast na prawach powiatu, luty 2015, dostępne na: https://www.nik.gov.pl/ kontrole/P/14/004/

29. Instytut Systemów Sterowania, dostępny na: http://www.iss.pl 30. Już 150 tys. wirusów komputerowych, dostępne na: http://www.

wirtualnemedia.pl/artykul/juz-150-tys-wirusow-komputerowych 31. Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności,

dostępna na: http://www.strasbourgre.mfa.gov.pl/resource/fedf40b7-3c0a-42d2-8bdf-296772ce7295

32. Le Monde dostępny na: http://www.lemonde.fr/cgi-bin/ACHATS/ 685238.html

33. Lotko A., Źródła różnorodności informacji w marketingu relacyjnym, „Studia i Materiały” Nr 5/2005, dostępny na: http://www.sim.wz.uw.edu.pl/issue5/03.pdf

34. Lyman P., Varian H. R., Dunn J., Strygin A., Swearingen K., How Much Information 2000? University of Berkeley Report, 2000, dostępny na: http://www2.sims.berkeley.edu/research/projects/how-much-info/

146

35. Maj M., Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci, Warszawa 1999, dostępna na: http://www. cert.pl/PDF/SECURE99_referatCP_klasyf.doc

36. McCandless D., World’s Biggest Data Breaches & Hacks, dostępny na: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

37. Microsoft Course 2830A Designing Security for Microsoft Networks, materiały kursowe, Microsoft 2007

38. Minisłownik Biura Bezpieczeństwa Narodowego, dostępny na: http://www.bbn.gov.pl/pl/bezpieczenstwo-narodowe/minislownik-bbn-propozy/6035,MINISLOWNIK-BBN-Propozycje-nowych-terminow-z-dziedziny-bezpieczenstwa.html

39. Ministerstwo Administracji i Cyfryzacji, Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, Warszawa 2013, dostępna na: https://mac.gov.pl/files/polityka_ochrony_cyberprze strzeni_rp_wersja_pl.pdf

40. Mróz M., Informacja nt. pojęcia cyberprzestrzeni oraz bezpie-czeństwa i zagrożenia cyberprzestrzeni wprawie międzynarodowym i w ustawodawstwie wybranych państw demokratycznych (w zw. z Drukiem sejmowym nr 4355.), Warszawa 2011 r., Druk sejmowy nr 1757, dostępny na: http://orka.sejm.gov.pl/rexdomk6.nsf/ 0/B73334CDA51F11A1C12578CC0047C0E2/$file/i1757-11.rtf

41. Muzeum Włamań, dostępne na: http://www.artur.pl/muzeum.html 42. New Attack on Cyberhacking, dostępny na: http://online.wsj.com/

news/articles/SB10001424052702303417104579542140235850578 43. Nowak M., Zatrzymano przestępców, którzy ukradli 2 mln zł. Wśród

nich najbardziej poszukiwany polski haker, dostępny na: http://www.spidersweb.pl/2015/10/policja-polsilver-torepublic.html [2015-10-17]

44. Ofensywa urzędu po ataku hakerskim, dostępny na: http://nowosci.com.pl/340123,Ofensywa-urzedu-po-ataku-hakerskim-Beda-kolejne-zabezpieczenia-strony.html [2015-10-17]

45. Pfitzmann A., Hansen M., Anonymity, Unlinkability, Unobser-vability, Pseudonymity, and Identity Management – A Consolidated Proposal for Terminology (Version v0.23 Aug. 25, 2005) TU Dresden ULD Kiel, dostępny na: http://freehaven.net/ anonbib/cache/terminology.pdf

46. Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, dostępna na: http://www.cert.gov.pl/cer/publikacje/polityka-ochrony-cyber/639,Polityka-Ochrony-Cyberprzestrzeni-Rzeczypospolitej-Polskiej.html

147

47. Powszechna Deklaracja Praw Człowieka, dostępna na: http://www.unesco.pl/fileadmin/user_upload/pdf/Powszechna_Deklaracja_Praw_Czlowieka.pdf

48. Radomski A., Dziesięć tez na temat: informacjonalistycznej edukacji, Kultura i Historia, T. 19, Lublin 2011, dostępny na: http://www.kulturaihistoria.umcs.lublin.pl/archives/2514

49. Radomski A., Wartości Hakerskie jako podstawa kultury Informacjonalizmu, Ogólnopolska Konferencja Aksjologia(e) wobec współczesnych przemian kulturowych, Lublin 2011, dostępne na: http://pl.scribd.com/doc/72485393/Warto%C5%9Bci-Hakerskie-jako-podstawa-kultury-Informacjonalizmu

50. Realizacja Przez Podmioty Państwowe Zadań w Zakresie Ochrony Cyberprzestrzeni RP, Najwyższa Izba Kontroli: Informacja o wynikach kontroli, dostępna na: https://www.nik.gov.pl/ plik/id,8764,vp,10895.pdf

51. Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011–2016, dostępny na: http://bip.mswia.gov.pl/download.php?s=4&id=7445

52. Rządowy Zespół Reagowania Na Incydenty Komputerowe (cert.gov.pl), Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2012 r., Warszawa 2013, dostępny na: http://www.cert.gov.pl/ portal/cer/57/605/Raport_o_stanie_bezpieczenstwa_cyberprzestrzeni_RP_w_2012_roku.html

53. Rządowy Zespół Reagowania Na Incydenty Komputerowe (cert.gov.pl), Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2013 r., Warszawa 2014, dostępny na: http://www.cert.gov.pl/ cer/publikacje/raporty-o-stanie-bezpi/686,Raport-o-stanie-bezpieczenstwa-cyberprzestrzeni-RP-w-2013-roku.html

54. Rządowy Zespół Reagowania Na Incydenty Komputerowe (cert.gov.pl), Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2014 r., Warszawa 2015, dostępny na: http://www.cert.gov.pl/ cer/publikacje/raporty-o-stanie-bezpi/738,Raport-o-stanie-bezpieczenstwa-cyberprzestrzeni-RP-w-2014-roku.html

55. Shirey R., Internet Security Glossary, IETF 2000, RFC 2828, dostępne na: https://www.ietf.org/rfc/rfc2828.txt

56. Sikorski M., Wirusy komputerowe. Rozwój technologii, „Chip” 4/2009, dostępne na: http://www.chip.pl/artykuly/trendy/ 2009/04/kronika-chip-a-wirusy-komputerowe

57. Słownik Języka Polskiego PWN, Wersja Elektroniczna, dostępny na: http://sjp.pwn.pl/

58. Słownik Języka Polskiego, Wersja Elektroniczna, dostępny na: sjp.pl 59. Słownik terminów z zakresu bezpieczeństwa narodowego, Warszawa

2008, dostępny na: http://mkuliczkowski.pl/static/pdf/slownik.pdf

148

60. Staropolska poezja religijna, dostępna na: http://staropolska.pl/ sredniowiecze/poezja_religijna/zdrowas_gwiazdo_morska.html

61. Staropolska poezja świecka, dostępna na: http://staropolska.pl/ sredniowiecze/poezja_swiecka/dialog_03.html

62. Staszic S., Przestrogi dla Polski z teraznieyszych politycznych Europy związkow y z praw natury wypadaiące. Wolne Lektury, dostępne na: http://wolnelektury.pl/media/book/pdf/przestrogi-dla-polski.pdf

63. Strona Instytutu Ponemon, dostępna na: http://www.ponemon.org 64. Sundgren B., An Infological Approach to Data Bases, Ph.D. Thesis,

dostępny na: https://sites.google.com/site/bosundgren/my-life/An InfologicalApproachtoDataBases.pdf?attredirects=0

65. Swearingen K., How Much Information 2003? University of Berkeley Raport 2003, dostępny na: http://www2.sims. berkeley.edu/research/projects/how-much-info-2003/

66. System administracji publicznej w Polsce, dostępny na: https://mac.gov.pl/files/administracja_prezentacja.pdf

67. Szmit M. (red.), Baworowski A., Kmieciak A., Krejza P., Niemiec A., Elementy Informatyki Sądowej, dostępne na: https://www. researchgate.net/publication/235925801_Elementy_Informatyki_Sdowej

68. Szmit M., Politowska I., Mierniki bezpieczeństwa informatycznego a niektóre przestępstwa komputerowe, „Automatyka”, T. 11, Z. 3, Kraków 2007, dostępny na: http://maciej.szmit.info/documents/ szmit_politowska_ebook.pdf

69. Szmit M., Politowska I., O artykule 267 Kodeksu Karnego oczami biegłego, Prawo Mediów Elektronicznych (8), dodatek do „Monitora Prawniczego” Nr 16/2008 oraz w wersji elektronicznej, Elektroniczny Biuletyn Naukowy Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (CBKE), Uniwersytet Wrocławski 2008, dostępny na: http://cbke.prawo. uni.wroc.pl/modules/Publikacje/e-Bulletin/2007_3/O_artykule_267_Kodeksu_Karnego_oczami_bieglego.pdf%0D

70. Szmit M., Wybrane zagadnienia opiniowania sądowo-informatycznego, Warszawa 2014, dostępne na: https://www. researchgate.net/publication/269108722_Wybrane_zagadnienia_opiniowania_sdowo-informatycznego._Wydanie_2_rozszerzone_i_uzupenione

71. Urząd miejski w Jaworznie okradziono, dostępne na: https://zaufanatrzeciastrona.pl/post/urzad-miejski-w-jaworznie-okradziony-na-milion-zlotych/ [2015-10-17]

https://www.researchgate.net/publication/271503619_Mierniki_bezpieczenstwa_informatycznego_a_niektore_przestepstwa_komputerowe?el=1_x_8&enrichId=rgreq-b10d005e-2041-45ab-afd0-712c91ff22f7&enrichSource=Y292ZXJQYWdlOzMwMTIwNDM3MjtBUzozNDk5MDkzNTkzMTY5OTJAMTQ2MDQzNjMwMTA2Mg==




149

72. Vulnerability review, dostępne na: http://secunia.com/resources/ vulnerability-review/introduction

73. Wyrwas K., http://www.fil.us.edu.pl/ijp/poradnia/baza_archiwum. php?POZYCJA=100&AKCJA=&TEMAT=Etymologia&NZP=&WYRAZ= Poradnia Językowa Uniwersytetu Śląskiego – etymologia słowa „bezpieczny“

74. Zatrzymała go policja, bo zgłosił błąd na stronie urzędu, dostępne na: http://niebezpiecznik.pl/post/zatrzymala-go-policja-bo-zglosil-blad-na-stronie-urzedu-wojewodzkiego/

75. Zbiór Proponowanych i Dyskutowanych Pojęć Strategicznego Przeglądu Bezpieczeństwa Narodowego, dostępny na: http://www.spbn.gov.pl/sbn/archiwum-spbn/informacje-o-spbn/slownik/3191,Slownik-pojec.html

76. Złodzieje okradli gminę, dostępne na: http://twojepajeczno.pl/ wiadomosci/zlodzieje-okradli-gmine-pol-miliona-zlotych/

151

ZAŁĄCZNIKI

ZAŁĄCZNIK 1 - KWESTIONARIUSZ ANKIETY Systemy zarządzania bezpieczeństwem informacji

w jednostkach administracji publicznej

1. Czy w Pana/Pani jednostce jest wdrożony system zarządzania bezpieczeństwem informacji? * Tak (przejdź do pytania 11) Nie (przejdź do pytania 2)

2. Czy były kiedyś podejmowane próby wdrożenia systemu

zarządzania bezpieczeństwem informacji? * Tak (przejdź do pytania 3) Nie (przejdź do pytania 10)

3. Czy system ten był opracowany według zaleceń norm (PN-

ISO/IEC 27002, PN-ISO/IEC 17799 lub ISO/IEC 27002 lub BS 07799-1 lub podobnej)? * Tak (przejdź do pytania 4) Nie (przejdź do pytania 19)

4. W oparciu o zalecenia jakiej normy był opracowany system? *

PN-ISO/IEC 27002 (przejdź do pytania 6) PN-ISO/IEC 17799 (przejdź do pytania 6) ISO/IEC 27002 (przejdź do pytania 6) BS 07799-1 (przejdź do pytania 6) inne (przejdź do pytania 5)

152

5. Proszę podać normę, w oparciu o którą był opracowany system zarządzania bezpieczeństwem informacji:

6. Czy system ten był certyfikowany przez akredytowaną

organizację (wg normy PN-ISO/IEC 27001 lub BS 07799-2)? * Tak (przejdź do pytania 7) Nie (przejdź do pytania 17)

7. W oparciu o zalecenia jakiej normy był certyfikowany system? *

PN-ISO/IEC 27001 (przejdź do pytania 18) BS 07799-2 (przejdź do pytania 18) inne (przejdź do pytania 8)

8. Proszę podać normę, w oparciu o którą był certyfikowany system

zarządzania bezpieczeństwem informacji:

(przejdź do pytania 18) 9. Dlaczego zrezygnował/-a Pan/Pani z certyfikacji systemu

zarządzania bezpieczeństwem informacji? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) nie wpływa ona na jakość zarządzania bezpieczeństwem informacji jest czasochłonnym przedsięwzięciem jest kosztownym przedsięwzięciem jest niepotrzebna inne, jakie?

153

Proszę wymienić (jeśli istniały) inne powody, dla których zrezygnował/-a Pan/Pani z certyfikacji systemu:

(przejdź do pytania 18)

10. Z jakich powodów nie zdecydował/-a się Pan/Pani na wdrożenie

systemu zarządzania bezpieczeństwem informacji? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) brak czasu brak środków finansowych uważam, że jest to niepotrzebne brak wystarczającej wiedzy inne, jakie?

Proszę wymienić (jeśli istniały) inne powody, dla których nie zdecydował/-a się Pan/Pani na wdrożenie systemu:

(przejdź do pytania 25) 11. Czy system ten jest opracowany według zaleceń norm (PN-

ISO/IEC 27002, PN-ISO/IEC 17799 lub ISO/IEC 27002 lub BS 07799-1 lub podobnej)? * Tak (przejdź do pytania 12) Nie (przejdź do pytania 19)

12. W oparciu o zalecenia jakiej normy jest opracowany system? *

PN-ISO/IEC 27002 (przejdź do pytania 14) PN-ISO/IEC 17799 (przejdź do pytania 14) ISO/IEC 27002 (przejdź do pytania 14) BS 07799-1 (przejdź do pytania 14) inne (przejdź do pytania 13)

154

13. Proszę podać normę, w oparciu o którą jest opracowany system zarządzania bezpieczeństwem informacji:

14. Czy system ten jest certyfikowany przez akredytowaną

organizację (wg normy PN-ISO/IEC 27001 lub BS 07799-2)? * Tak (przejdź do pytania 15) Nie (przejdź do pytania 17)

15. W oparciu o zalecenia jakiej normy jest certyfikowany system? *

PN-ISO/IEC 27001 (przejdź do pytania 18) BS 07799-2 (przejdź do pytania 18) inne (przejdź do pytania 16)

16. Proszę podać normę, w oparciu o którą jest certyfikowany system

zarządzania bezpieczeństwem informacji:


17. Dlaczego nie zdecydował/-a się Pan/Pani na certyfikację systemu zarządzania bezpieczeństwem informacji? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) nie wpływa ona na jakość zarządzania bezpieczeństwem informacji jest czasochłonnym przedsięwzięciem jest kosztownym przedsięwzięciem jest niepotrzebne inne, jakie?

155

Proszę wymienić (jeśli istniały) inne powody, dla których nie zdecydował/-a się Pan/Pani na certyfikację systemu:


18. Czy uważa Pan/Pani, że certyfikacja ma wpływ na jakość zarządzania bezpieczeństwem informacji? * Tak Nie

19. Ile czasu zajęło wdrożenie systemu zarządzania bezpieczeństwem

informacji? * do 6 miesięcy 6-12 miesięcy 12-18 miesięcy 18-24 miesięcy powyżej 24 miesięcy

20. Z jakimi problemami spotkał/-a się Pan/Pani przy wdrażaniu

systemu zarządzania bezpieczeństwem informacji? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) brak zaangażowania najwyższego kierownictwa jednostki brak doświadczenia jednostki certyfikującej niedostateczne zasoby finansowe nadmiernie rozbudowana dokumentacja brak przygotowania merytorycznego pracowników brak zastosowania formalnej metodyki wdrożenia systemu inne, jakie?

156

Proszę wymienić (jeśli istniały) inne problemy, z jakimi spotkał/-a się Pan/Pani przy wdrażaniu systemu:

21. Na którym z etapów mógł Pan/Pani liczyć na wsparcie ze strony innych organów administracji państwowej? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) ustanowienie systemu zarządzania bezpieczeństwem informacji wdrożenie i eksploatacja systemu zarządzania bezpieczeństwem informacji monitorowanie i przegląd systemu zarządzania bezpieczeństwem informacji utrzymanie i doskonalenie systemu zarządzania bezpieczeństwem informacji żadnym Proszę opisać na czym ta pomoc polegała:

22. Jakie czynniki według Pana/Pani opinii ułatwiają wdrożenie systemu zarządzania bezpieczeństwem informacji? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) zaangażowanie najwyższego kierownictwa jednostki duże doświadczenie jednostki certyfikującej przeznaczenie odpowiednich zasobów finansowych określenie szczegółowych wymagań dla systemu wymagania systemu zgodne ze specyfiką organizacji przygotowanie merytoryczne pracowników zastosowanie formalnej metodyki wdrożenia systemu świadomość pracowników o konieczności zapewnienia bezpieczeństwa informacji

157

inne, jakie? Proszę wymienić (jeśli istnieją) inne czynniki, które według Pana/Pani opinii ułatwiają wdrożenie systemu:

23. Według Pana/Pani opinii wdrożenie systemu zarządzania bezpieczeństwem informacji: * (proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) jest potrzebne i korzystne umożliwia podniesienie poziomu bezpieczeństwa informacji w organizacji podnosi świadomość zarządzania bezpieczeństwem informacji wśród pracowników jest czasochłonnym przedsięwzięciem jest kosztownym przedsięwzięciem jest niepotrzebne jest obojętne

24. Z którymi czynnościami dotyczącymi funkcjonowania systemu

zarządzania bezpieczeństwem informacji ma Pan/Pani najwięcej problemów? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) przeprowadzenie audytów wewnętrznych systemu wykonywanie procedur monitorowania i przeglądów stanu bezpieczeństwa informacji wykonywanie przeglądów realizowanych przez kierownictwo przeprowadzanie audytów zewnętrznych podejmowanie działań korygujących i zapobiegawczych przeprowadzanie szkoleń z zakresu systemu zarządzania bezpieczeństwem informacji nadzór nad dokumentami współpraca z użytkownikami systemu zastosowanie się do zaleceń audytorów jednostki certyfikującej przygotowanie odpowiedniej dokumentacji

158

podejmowanie działań związanych z doskonaleniem systemu inne, jakie? Proszę wymienić (jeśli istnieją) inne czynności dotyczące funkcjonowania systemu, z którymi ma Pan/Pani najwięcej problemów:

25. W jednostce została opracowana i wdrożona: * polityka bezpieczeństwa informacji zawierająca politykę ochrony danych osobowych zgodną z wymaganiami ustawy o ochronie danych osobowych (przejdź do pytania 26) tylko polityka ochrony danych osobowych zgodna z wyma-ganiami ustawy o ochronie danych osobowych (przejdź do pytania 26) wyżej wymienione dokumenty nie zostały opracowane (przejdź do pytania 42)

26. Proszę scharakteryzować strukturę dokumentu polityki

bezpieczeństwa informacji/polityki ochrony danych osobowych: * dokument główny wraz z załącznikami wszystko zawarte w jednym dokumencie odrębne procedury i instrukcje inne

27. Proszę krótko opisać strukturę dokumentu polityki bezpie-

czeństwa informacji/polityki ochrony danych osobowych: *(z ilu i jakich rozdziałów się składa, czy przy tworzeniu dokumentu korzystał/-a Pan/Pani z jakiegoś szablonu, itp.)

159

28. Proszę podać orientacyjną liczbę stron dokumentu polityki bezpieczeństwa informacji/polityki ochrony danych osobowych (wraz z załącznikami) *

29. Proszę podać datę ostatniej aktualizacji polityki bezpieczeństwa informacji/polityki ochrony danych osobowych: *

30. Czy został powołany administrator bezpieczeństwa informacji? * Tak Nie

31. Czy zostało przeprowadzone szkolenie dla pracowników

Pana/Pani jednostki z zakresu wdrożonej polityki bezpieczeństwa informacji/polityki ochrony danych osobowych? * Tak Nie

32. Czy dokument polityki bezpieczeństwa informacji/polityki

ochrony danych osobowych jest jawny w całości? * Tak Tylko niektóre części dokumentu są jawne Nie, jest w całości niejawny

33. Jak często przeprowadzane są przeglądy polityki bezpieczeństwa

informacji/danych osobowych/SZBI? * codziennie co tydzień co miesiąc co kwartał co pół roku co rok rzadziej niż co rok

160

34. Czy w przeszłości zdarzały się incydenty bezpieczeństwa? * Tak (przejdź do pytania 35) Nie (przejdź do pytania 42)

35. Czy incydenty bezpieczeństwa były rejestrowane? *

Tak (przejdź do pytania 36) Nie (przejdź do pytania 37)

36.

Ile incydentów bezpieczeństwa zarejestrowano w roku 2012? *



37. Czy incydenty bezpieczeństwa były zgłaszane np. do CERT.GOV.PL, prokuratury, itp.? * Tak (przejdź do pytania 38) Nie (przejdź do pytania 39)

38. Proszę podać gdzie były zgłaszane incydenty bezpieczeństwa?

* 39. Proszę krótko opisać na czym polega zarządzanie incydentami

związanymi z bezpieczeństwem informacji w Pana/Pani jednostce?

*

161

40. Czy może Pan/Pani liczyć na wsparcie ze strony innych organów administracji państwowej w zakresie zarządzania incydentami? * Tak (przejdź do pytania 41) Nie (przejdź do pytania 42)

41. Proszę opisać na czym ta pomoc polega?

* 42. W jaki sposób fizycznie zabezpieczany jest dostęp do informacji

w Pana/Pani jednostce? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) brak zabezpieczeń alarm monitoring rejestracja czasu pracy ewidencja pobranych kluczy do pomieszczeń inne, jakie? Proszę wymienić (jeśli istnieją) inne sposoby fizycznych zabezpieczeń dostępu do informacji:

43. Jakie rodzaje zabezpieczeń systemów informatycznych wdrożone

w Pana/Pani jednostce? *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) brak zabezpieczeń programy antywirusowe firewall korporacyjny pakiety typu „Internet security” protokoły szyfrowane sieci VPN systemy IDS/IPS/UTM

162

inne, jakie? Proszę wymienić (jeśli istnieją) inne rodzaje zabezpieczeń systemów informatycznych wdrożone są w Pana/Pani jednostce:

44. Czy w Pana/Pani jednostce prowadzone są szkolenia z zakresu bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych, ochrony danych osobowych? * Tak (przejdź do pytania 45) Nie (przejdź do pytania 46)

45. Ile takich szkoleń zostało przeprowadzonych/zorganizowanych

w 2013 r. * Ile osób uczestniczyło w tych szkoleniach w 2013 r. *

Ile takich szkoleń zostało przeprowadzonych/zorganizowanych

w 2014 r. * Ile osób uczestniczyło w tych szkoleniach w 2014 r. *

46. Jak ocenia Pan/Pani poziom bezpieczeństwa informacji w Pana/Pani jednostce? * bardzo dobrze dobrze przeciętnie źle bardzo źle nie mam zdania

163

47. Czy w Pana/Pani jednostce funkcjonuje: *(proszę zaznaczyć wszystkie odpowiedzi, które uważa Pani/Pan za słuszne) System Zarządzania Jakością (ISO 9001) System Zarządzania Usługami IT (np. ISO 20000, ITIL) System Zarządzania Ciągłością Działania (ISO 22301, BS 25999) nie ma innych systemów zarządzania inne, jakie? Proszę wymienić (jeśli istnieją) inne systemy zarządzania funkcjonujące w Pana/Pani jednostce:

48. Proszę podać nazwę jednostki: *(np. Starostwo Powiatowe w Pabianicach, Urząd Miasta Bytom)

* - odpowiedzi wymagane

164

ZAŁĄCZNIK 2 - CHARAKTERYSTYKA DOKUMENTACJI

Urzędy wojewódzkie

Badanie prowadzone w okresie 12.2013-03.2014 r.

lp. Urząd Struktura dokumentu Opis

Orienta-cyjna liczba stron

Ostatnia data

aktuali-zacji

Jawność doku-mentu

1.

Mazowie-cki Urząd Woje-wódzki w Warsza-wie

wszystko zawarte w jednym dokumencie

Postanowienia ogólne. Cele i zakres Polityki bezpieczeństwa. Obszary przetwarzania danych. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych. Opis struktury zbiorów danych oraz przepływ danych pomiędzy systemami. Środki ochrony technicznej i organizacyjnej. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem.

10 25.11. 2013 Tak

2.

Wielko-polski Urząd Woje-wódzki

dokument główny wraz z załącznikami

Zarządzenie Wojewody w sprawie wprowadzenia „Dokumentacji przetwarzania danych osobowych”, na którą składają się: „Polityka bezpieczeństwa” i „Instrukcja zarządzania systemem informatycznym”. Nie korzystano z szablonów.

24 13.8. 2012 Tak

3.

Święto-krzyski Urząd Woje-wódzki


Polityka Bezpieczeństwa Informacji Spis treści: 1. Cel polityki bezpieczeństwa informacji 2. Struktura dokumentów polityki bezpieczeństwa informacji 3. Odpowiedzialność za bezpieczeństwo informacji 4. Sankcje za naruszenie zasad bezpieczeństwa informacji 5. Zagrożenia dla bezpieczeństwa informacji 6. Utrzymanie odpowiedniego poziomu bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA DLA PRZETWARZANYCH ZBIORÓW DANYCH OSOBOWYCH I. Wprowadzenie II. Definicje pojęć III. Cele polityki bezpieczeństwa przetwarzania danych osobowych IV. Podstawy prawne i organizacyjne przetwarzania danych osobowych V. Zagrożenia dla bezpieczeństwa przetwarzania danych osobowych VI. Odpowiedzialność za bezpieczeństwo przetwarzania danych osobowych VII. Środki techniczne i organizacyjne zapewniające poufność, integralność i rozliczalność przetwarzanych danych osobowych VIII. Zasady przetwarzania danych osobowych IX. Przepływ danych między systemami X. Zbiory zarchiwizowane i

48 2.10. 2013 Tak

165

przechowywane w Archiwum Zakładowym XI. Wykaz zbiorów danych osobowy, programów zastosowanych do przetwarzania tych danych, budynków i pomieszczeń w których są przetwarzane dane osobowe (karty). Tak, korzystaliśmy z szablonu

4.

Małopo-lski Urząd Woje-wódzki


A. Obowiązująca w Urzędzie Polityka Bezpieczeństwa składa się z 13 rozdziałów: Rozdział 1 – Postanowienia ogólne. Rozdział 2 – Zabezpieczenie zbiorów danych osobowych. Rozdział 3 – Rejestracja zbiorów danych osobowych. Rozdział 4 – Archiwizacja nośników zawierających zbiory danych osobowych. Rozdział 5 – Odpowiedzialność związana z bezpieczeństwem danych osobowych. Rozdział 6 – Szkolenia związane z bezpieczeństwem zbiorów danych osobowych. Rozdział 7 – Zagrożenia dla bezpieczeństwa zbiorów danych osobowych. Rozdział 8 – Utrzymanie odpowiedniego bezpieczeństwa zbiorów danych osobowych. Rozdział 9 - Ochrona antywirusowa. Rozdział 10 – Zasady tworzenia kopii bezpieczeństwa. Rozdział 11 – Sposób rejestracji (uwierzytelnienia) wejść/wyjść do pomieszczeń związanych z ochroną zbiorów danych osobowych. Rozdział 12 – Stosowanie specjalistycznych narzędzi ochrony zasobów informatycznych. Rozdział 13 – Wykaz zbiorów danych osobowych przetwarzanych w Urzędzie. B. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. C. Regulamin użytkowania systemu informatycznego. Dokumenty Polityki Bezpieczeństwa opracowywane były w oparciu o normę ISO/PN - 17799

163 1.9. 2012 Tak

5.

Łódzki Urząd Woje-wódzki


32 rozdziały + szereg załączników w postaci tabel dotyczących wykazów pomieszczeń, zbiorów, wzorów kart zbiorów czy wewnętrznych dokumentów niezbędnych do założenia kont użytkowników.

38 2014 Tak

6.

Zacho-dniopo-morski Urząd Woje wódzki


1. WPROWADZENIE 2. POLITYKA BEZPIECZEŃSTWA 2.1 Dokument polityki bezpieczeństwa informacji 2.2 Przegląd polityki bezpieczeństwa informacji 2.3 Lokalizacja systemów teleinformatycznych 2.4 Organizacja bezpieczeństwa informacji 2.5 Przepisy prawne i polskie normy

468 12.2013

Tylko niektóre części doku mentu są jawne

166

3. SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI – WYMAGANIA 3.1 Terminy i definicje 3.2 Zakres Systemu Bezpieczeństwa Informacji 4. CEL I ZAKRES POLITYKI BEZPIECZEŃSTWA INFORMACJI 4.1 Definicja bezpieczeństwa informacji 4.2 Chronione aktywa 4.3 Dziedziny bezpieczeństwa 4.4 Przetwarzane informacje 5. POSTĘPOWANIE Z RYZYKIEM BEZPIECZEŃSTWA 6. KOMPETENCJIE I ODPOWIEDZIALNOŚĆ 7. OGÓLNE ZASADY BEZPIECZEŃSTWA INFORMACJI 8. SZCZEGÓŁOWE ZASADY BEZPIECZEŃSTWA 9. AUDYTY BEZPIECZEŃSTWA 10. DOKUMENTACJA POLITYKI 10.1 Dokumenty uzupełniające 10.2 Dostępność 10.3 Zasady wprowadzania zmian 1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. 2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. 3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. 4. Sposób przepływu danych pomiędzy systemami. 5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.

7.

Lubuski Urząd Woje-wódzki


Nie korzystano z szablonu. I. Wstęp II. Postanowienia ogólne III. Organizacja przetwarzania danych osobowych IV. Infrastruktura przetwarzania danych osobowych V. Struktury zbiorów danych osobowych i sposób przepływu danych VI. Strategia zabezpieczenia danych osobowych (działania niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych) VII. Przeglądy polityki bezpieczeństwa i audyty systemu VIII. Postanowienia końcowe

19 17.6. 2013

Tylko niektóre części doku-mentu są jawne

8.

Lubelski Urząd Woje-wódzki


I. Informacje ogólne II. Określenie chronionych zasobów III. Decyzje o zakresie odpowiedzialności za realizacje polityki bezpieczeństwa

20 10.2012


167

IV. Upowszechnienie zasad ochrony danych osobowych - rozwiązania personalne V. Ocena zagrożeń oraz określenie środków przeciwdziałania VI. Procedury stosowane w przypadku pojawienia się zagrożeń VII. System szkoleń w zakresie ochrony danych VIII. Zapewnienie ciągłości i elastyczności Polityki bezpieczeństwa danych osobowych IX. Wykaz załączników (8 załączników)

9.

Podlaski Urząd Woje-wódzki


brak odpowiedzi 29 31.12. 2013

Nie, jest w całości nie jawny

10.

Opolski Urząd Woje-wódzki


Dokument główny składa się z 23 rozdziałów: 1.Wstęp 2.Zgodność z regulacjami prawnym 3.System zarządzania bezpieczeństwem informacji 4.Ochrona cyberprzestrzeni 5.Incydenty i problem 6.Aktywa 7.Bezpieczeństwo zasobów ludzkich 8.Bezpieczeństwo fizyczne i środowiskowe 9.Zarządzanie systemami i sieciami 10.Dostęp do systemów 11.Zarządzanie ciągłością działania 12.Rrozwój i utrzymanie systemów 13.Instrukcja zarządzania systemami informatycznymi 14.Zadania ABI 15.Obowiązki dyrektorów wydziałów w zakresie bezpieczeństwa danych 16.Zadania wydziałowych ABI 17.Wykaz zbiorów danych i miejsc ich przetwarzania 18.Opis struktury zbiorów, zawartość poszczególnych pól informacyjnych i powiązania między nimi 19.Sposob przepływu danych między systemami 20.Rejestr osób upoważnionych 21.Przeglądy systemu ochrony danych osobowych 22.Odpowiedzialność 23. Spis załączników Załączniki (9) 1. Polityka prywatności serwisów OUW 2. Polityka zarządzania oprogramowaniem OUW 3. Tematyka i plan szkolenia z zakresu ochrony informacji 4. Wykaz zabezpieczeń fizycznych pomieszczeń 5.Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym 6.Wykaz zbiorów danych osobowych przetwarzanych tradycyjnie

93 19.7. 2013


168

7. Wzór upoważnienia do przetwarzania danych osobowych 8. Wzór oświadczenia pracownika 9. Wzór ewidencji osób upoważnionych Przy tworzeniu dokumentu opierano się na polskich normach oraz przepisach prawa.

11.

Podkar-packi Urząd Woje-wódzki

odrębne procedury i instrukcje

Składa się z 16 rozdziałów. Przy tworzeniu polityki korzystano z normy PN-ISO/IEC 17799

34 12.9. 2012


Urzędy marszałkowskie


Lp.


się urząd marszałkowski

Struktura Opis Orientacyjna liczba stron

Ostatnia data

aktualizacji

Jawność dokumentu

1. lubelskie


PBI składa się z 8 rozdziałów, 32 paragrafów. Tytuły rozdziałów: 1.EKSPLOATACJA SYSTEMÓW INFORMATYCZNYCH 2.BEZPIECZEŃSTWO SIECI TELEINFORMATYCZNEJ 3. BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH 4. ZARZĄDZANIE ZMIANAMI W SYSTEMACH TELEINFORMATYCZNYCH URZĘDU 5. ZARZĄDZANIE WYMIENNYMI NOŚNIKAMI KOMPUTEROWYMI 6. BEZPIECZEŃSTWO WYMIANY DANYCH 7. GOSPODAROWANIE SPRZĘTEM KOMPUTEROWYM 8. ZASADY MONITOROWANIA SYSTEMÓW I ICH UŻYCIA Polityka ochrony danych osobowych jest odrębnym dokumentem i składa się z 6 rozdziałów: 1. Postanowienia ogólne 2. Organizacja przetwarzania danych osobowych 3. Sposób przepływu danych pomiędzy poszczególnymi systemami

102 03.7.2012

Tylko niektóre części dokumentu są jawne

169

4. Organizacyjne środki ochrony danych osobowych 5. Techniczne środki zabezpieczenia danych osobowych 6. Załączniki

2. lubuskie


1. Zarządzenie w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji i Polityki Bezpieczeństwa Systemów Informatycznych. i Polityki Bezpieczeństwa Danych Osobowych; 2.Polityka Bezpieczeństwa Informacji: - załącznik do Polityki Bezpieczeństwa Informacji – OŚWIADCZENIE o zapoznaniu się z Polityką Bezpieczeństwa Informacji (PBI) obowiązującą w urzędzie. 3. Załącznik do powyższego zarządzenia – Polityka Bezpieczeństwa Systemów Informatycznych wraz z załącznikiem Wniosek o upoważnienie i załącznikiem Oświadczenie o znajomości Polityki Bezpieczeństwa Systemów Informatycznych.

67 16.8.2011 Tak

3. łódzkie


Składa się z 3 działów: 1. Ogólne zasady przetwarzania danych osobowych, 2. Polityka bezpieczeństwa przetwarzania danych osobowych, 3. Zarządzanie systemami informatycznymi, w tym służącymi do przetwarzania danych osobowych.

81 14.6.2012 Tak

4. małopolskie


Dokument zawiera wszystkie elementy wymagane ustawą o ochronie danych osobowych w tym m.in.: Cel i zakres Polityki Odpowiedzialność Wykaz zbiorów danych osobowych Obszar przetwarzania danych osobowych Opis struktury zbiorów Przepływ danych pomiędzy poszczególnymi systemami System zabezpieczeń danych osobowych Przeglądy i aktualizacje Polityki

50 30.10.2012


5. mazowieckie


Polityka składa się z 7 rozdziałów: I Wstęp II Określenie osób pełniących w Urzędzie funkcje Administratora Danych Osobowych i Administratora

200

28.12.2011 obecnie Polityka jest w trakcie aktualizacji


170

bezpieczeństwa informacji oraz lokalnych Administratorów bezpieczeństwa informacji III Zasady dopuszczania pracowników urzędu do przetwarzania danych osobowych, obowiązki nałożone na pracowników dopuszczonych do przetwarzania danych osobowych oraz rejestracji/aktualizacji zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych IV Zasady wstępu do pomieszczeń, w których przetwarzane są dane osobowe V Opis zdarzeń naruszających ochronę danych osobowych VI Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych VII Postanowienia końcowe Przy tworzeniu dokumentu nie korzystaliśmy z gotowych szablonów.

6. opolskie


1. Polityka bezpieczeństwa definicja, cele, deklaracja, odpowiedzialność; informacje przetwarzane przez system informatyczny Urzędu; wykaz budynków, pomieszczeń, zbiorów danych; sposób przepływu danych między poszczególnymi systemami; określenie środków tech. i org. /poufność, integralność, rozliczalność; ogólne środki ostrożności; szkolenie pracowników; zasady aktualności dokumentu; następstwa grożące za nieprzestrzeganie Polityki Bezpieczeństwa; procedury. 2. Instrukcja zarządzania SI służącym do przetwarzania danych osobowych w Urzędzie. 3. Załączniki (wzory dokumentów).

62 30.6.2011 Tak

7. podkarpackie


Oprócz PBDO funkcjonują inne Instrukcje i procedury, z których np. Instrukcja Zarządzania systemem Informatycznym służącym do przetwarzania Danych Osobowych jest bezwzględnie wymagana przez prawo. PBDO i IZSIDO stanowią jedną całość.

43 30.4.2012 Tak

171

Plan ochrony informacji niejawnych wraz z dokumentacją określającą poziom zagrożeń, wszystkimi załącznikami (22) liczy 140 stron Polityka bezpieczeństwa informacji (ISO) nie jest wymagana i nie została opracowana. Pomimo tego system bezpieczeństwa informacji funkcjonuje prawidłowo i efektywnie.

8. pomorskie


Dokument wprowadzony Zarządzeniem Marszałka. Składa się z 13 paragrafów i 29 załączników.

140 10.4.2012 Tak

9. śląskie


Dokument PBI składa się z 3 załączników: 1. PBI – ogólna deklaracja, definicje i założenia (3 rozdz.) 2. IZSI – cele, uprawnienia, uwierzytelnianie, praca w systemach, sprzęt, kopie, zabezpieczania, naruszenia, przeglądy, kontrole (14 rozdz.) 3. PBDO – cele, budynki i pomieszczenia, zbiory DO, przepływ danych, środki bezpieczeństwa (6 rozdz.) Wstępnie został przeprowadzony zewnętrzny audyt informatyczny, który określił wstępne założenia, ramy i zawartość PBI.

110 10.2012


10. świętokrzyskie


Dokument nie jest podzielony na rozdziały. Składa się z 10 podstawowych punktów oraz rozwijających je podpunktów i zawiera 18 załączników. Przy tworzeniu wykorzystano metodę TISM dostosowaną do odpowiednich potrzeb i możliwości jakie były do dyspozycji w trakcie tworzenia dokumentu. Dokument polityki ochrony danych osobowych jest oddzielnym dokumentem, na który Polityka Bezpieczeństwa tylko się powołuje.

126

w chwili obecnej jest w aktualizacji

Tak

11. warmińsko-mazurskie


Polityka Bezpieczeństwa Informacji składa się z: 1) Polityki oraz Procedur Bezpieczeństwa Teleinformatycznego, 2) Polityki Bezpieczeństwa Danych Osobowych, 3) Instrukcji Zarządzania Systemem Informatycznym Służącym do przetwarzania danych osobowych.

68 21.11.2011


172

12. wielkopolskie


Zarządzenie Marszałka Województwa Zał. nr 1 – PBI – zawiera ogólnie: strategię bezpieczeństwa (ogólna wola kierownictwa), organizację bezpieczeństwa informacji (Zespół ds. zarządzania bezpieczeństwem informacji), zarządzanie zasobami (klasyfikacja); hierarchia dokumentacji. Zał. nr 2 – ZZBI (Zasady Zarządzania Bezpieczeństwem Informacji) – zawiera szczegółowo wraz z procedurami: bezpieczeństwo osobowe, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu do systemu, zasady ochrony danych osobowych, ochrona własności intelektualnej, rozwój i utrzymanie systemów. Przy tworzeniu PBI i ZZBI posiłkowaliśmy się: 1. Ustawa z dnia 5.6.1998 r. o samorządzie województwa (Dz.U. z 2001 r. Nr 142, poz.1590 ze zm.) 2. Rozporządzenie Komisji (WE) nr 885/2006 z 21.6.2006 r. ustanawiające szczegółowe zasady stosowania Rozporządzenia Rady (WE) nr 1290/2005 w zakresie akredytacji agencji płatniczych i innych jednostek, jak również rozliczenia rachunków EFGR i EFRROW (Dz.U.UE.L Nr 171 poz. 90 ze zm.), 3. Norma PN-ISO/IEC 17799 Technika informatyczna, Techniki bezpieczeństwa - Praktyczne zasady zarządzania bezpieczeństwem informacji ze stycznia 2007 r., 4. Ustawa z 29.8.1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), 5. Ustawa z 6.9. 2001 r. o dostępie do informacji publicznej (Dz.U. Nr 112, poz. 1198 ze zm.), 6. Ustawa z 26.6.1974 r. Kodeks pracy (Dz.U. z 1998 r. Nr 21, poz. 94 ze zm.), 7. Ustawa z 29.9.1994 r. o rachunkowości (DZ.U. z 2002 r. Nr 76, poz. 694 ze zm.).

105 5.8.2009 w trakcie aktualizacji

Tak

173

8. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29.4. z 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), 9. Ustawa z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. Nr 64, poz. 565 ze zm.), 10. Ustawa z 4.2. 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. z 2006 r. Nr 90, poz. 631 ze zm.), 11. Ustawa z 27.7.2001 r. o ochronie baz danych (Dz.U. Nr 128, poz.1402 ze zm.), 12. Ustawa z 22.1.1999 r. o ochronie informacji niejawnych (Dz.U. z 2005 r. Nr 196, poz. 1631 ze zm.), 13. Ustawa z 18.9.2001 r. o podpisie elektronicznym (Dz.U. Nr 130, poz. 1450 ze zm.), 14. Rozporządzenia Prezesa Rady Ministrów z 18.12.1998 r. w sprawie instrukcji kancelaryjnej dla organów samorządów województwa (Dz.U. Nr 160, poz. 1073 ze zm.).

13. zachodniopomorskie odrębne procedury i instrukcje

Opracowanie własne na podstawie normy PN-ISO/IEC 17799

ok. 120 22.2.2013 Tak

174

Starostwa powiatowe i urzędy miast na prawach powiatu183


Urząd Struktura dokumentu Opis

Orienta-cyjna liczba stron

Ostatnia data

aktuali-zacji


1.

dokument główny wraz z załączni-kami

Zgodnie z ustawą o ochronie danych osobowych oraz rozporządzeniem wykonawczym do niego 30 2012 Tak

2.


Składa się z części opisowej oraz 11 załączników. Nie korzystaliśmy z szablonu. 39 stron 27.4.

2015 Tak

3. odrębne procedury i instrukcje

Zgodnie z wymaganiami rozporządzenia 12/7 05.2015 Tak

4.


RODZIAŁ I – POLITYKA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA INFORMACJI, W TYM DANYCH OSOBOWYCH 1. Cel Polityki Bezpieczeństwa 2. Zakres stosowania 3. Przepisy prawa 4. Środki organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 5. Środki techniczne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Załącznik nr 1 do Polityki Bezpieczeństwa Wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe Załącznik nr 2 do Polityki Bezpieczeństwa Wykaz zbiorów danych osobowych przetwarzanych w systemach teleinformatycznych wraz ze wskazaniem programów zastosowanych do przetwarzania danych oraz opisem struktury danych ROZDZIAŁ II – INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM, PROCEDURY OKREŚLAJĄCE ŚRODKI TECHNICZNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH 1. Procedura deponowania kluczy 2. Procedura archiwizacji danych 3. Procedura nadawania uprawnień i zarządzania kontem użytkownika 4. Procedura rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu 5. Procedura postępowania z nośnikami danych, naprawą sprzętu komputerowego 6. Procedura udzielania uprawnień do przetwarzania danych osobowych 7. Procedura bezpieczeństwa sprzętu poza siedzibą urzędu

36 6.11. 2015 Tak

183 Badanie było prowadzone anonimowo.

175

8. Procedura korzystania z sieci i sprzętu komputerowego urzędu 9. Procedura zgłaszania zbiorów Generalnemu Inspektorowi Ochrony Danych Osobowych, prowadzenie ewidencji zbiorów 10. Sposób realizacji wymogów, o których mowa w §7 ust. 1 pkt 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 11. Procedura postępowanie w przypadku naruszenia ochrony informacji 12. Procedura analizy zagrożeń i oceny ryzyka bezpieczeństwa informacji Załącznik nr 1 do SZBI Wzór upoważnienia do dostępu do dokumentów i systemów informatycznych zawierających dane osobowe Załącznik nr 2 do SZBI Wzór upoważnienia do dostępu do systemów informatycznych zawierających dane osobowe dla pracownika w danym wydziale Macierz szacowania ryzyka bezpieczeństwa informacji


XII rozdziałów/ wzory polityk z innych urzędów 50 1.9.2015 Tak

6.


1. Polityka bezpieczeństwa : CEL TERMINOLOGIA ZAKRES STOSOWANIA ODPOWIEDZIALNOŚĆ WYKAZ ZBIORÓW DANYCH OSOBOWYCH OBSZAR PRZETWARZANIA DANYCH OPIS STRUKTURY ZBIORÓW SYSTEM ZABEZPIECZEŃ DANYCH OSOBOWYCH PRZEGLĄDY I AKTUALIZACJE POLITYKI …… DOKUMENTY ZWIĄZANE I ZAŁĄCZNIKI Instrukcja przetwarzania danych. Instrukcja zarządzania systemem informatycznym.

24 8.5.2015

Nie, jest w

całości nieja-wny

7.


1. Zarządzenie Starosty wprowadzające politykę bezpieczeństwa 2. Dokument polityki bezpieczeństwa przetwarzania danych osobowych. 3. Załączniki zawierające wzory upoważnień do przetwarzania danych, przebywania w obszarze przetwarzania danych, ewidencja osób upoważnionych do przetw. danych, przykładowa treść umowy powierzenia przetw. danych, rejestr zbiorów danych, wykaz zmian w rejestrze zbioru, dziennik uchybień i zagrożeń, plan sprawdzeń ABI, wniosek o przyzna-nie, modyfikacje, odebranie uprawnień do przetwarzania danych, wniosek o odnotowanie faktu tworzenia, modyfikacji, likwidacji zbioru danych osób, wykaz pomieszczeń stanowiących obszar przetwarzania danych, schemat przepływu danych w systemach informatycznych. 4. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

48 24.8. 2015 Tak

176

8.


Treść „Polityki bezpieczeństwa przetwarzania danych osobowych..” stanowi informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę.

ok. 40 24.6. 2015

Nie, jest w

całości nieja-wny

9.


24 rozdziały + załączniki 17 25.9. 2015 Tak

10.


30 stron, 5 rozdziałów 9 załączników do polityki, dodatkowo 3 załączniki jako instrukcje 30 1.7.2015

Tylko niektóre części doku-

mentu są jawne

11.


Politykę realizowała firma zewnętrzna 38 15.2. 2014 Tak

12.


Postanowienia ogólne. Identyfikacja zasobów systemu informatycznego Wykaz pomieszczeń tworzących obszar przetwarzania danych osobowych Wykaz zbiorów danych osobowych, programy zastosowane do przetwarzania tych danych oraz sposób przepływu danych pomiędzy poszczególnymi systemami. Struktura zbiorów danych osobowych i powiązania między nimi. Środki techniczne i organizacyjne służące zapewnieniu poufności, integralności i rozliczalności przetwarzanych danych. Przepisy końcowe.

37 5.11. 2014 Tak

13.


1. Cel dokumentu 2. Zakres dokumentu 3. Definicje 4. Klasyfikacja informacji 5. Podstawa prawna 6. Ogólne zasady bezpieczeństwa informacji 7. Odpowiedzialności w bezpieczeństwie informacji 8. Bezpieczeństwo osobowe 9. Postanowienia końcowe 10. Wykaz dokumentacji powiązanej: 1) Polityka Bezpieczeństwa Danych Osobowych, 2) Instrukcja Zarządzania Systemem informatycznym, 3) Polityka Kontroli Dostępu, 4) Regulamin Użytkownika, 5) Instrukcja Zarządzania Kopiami i Nośnikami, 6) Instrukcja Postępowania z Incydentami, 7) Instrukcja Współpracy z Dostawcami Usług, 8) Instrukcja Audytu Wewnętrznego Systemu Zarządzania Bezpieczeństwem Informacji, 9) Polityka Ciągłości Działania, 10) Plan Ochrony Informacji Niejawnych, 11) Instrukcja określająca sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

65 5.2015


mentu są jawne

14.


3 rozdziały: 1. Postanowienia ogólne 2. Polityka bezpieczeństwa 3. Instrukcja określająca sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Nie korzystano z szablonu

16 2011

Tylko niektóre części

dokumentu są jawne

177

15.


10 rozdziałów 50 9.10. 2012 Tak

16.


Polityka bezpieczeństwa Wstęp 1.1. Informacje ogólne 1.2. Cel przygotowania Polityki Bezpieczeństwa 1.3. Zakres informacji objętych Polityką Bezpieczeństwa oraz zakres zastosowania 1.4. Wyjaśnienie terminów używanych w dokumencie Polityki Bezpieczeństwa 2. Osoby odpowiedzialne za ochronę danych osobowych 3. Upoważnienia do przetwarzania danych osobowych 4. Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych 5. Umowy powierzenia przetwarzania danych osobowych 6. Ogólne zasady bezpieczeństwa obowiązujące przy przetwarzaniu danych osobowych 7. Kontrola przetwarzania i stanu zabezpieczenia danych osobowych 8. Szczegółowy wykaz przetwarzanych zbiorów danych osobowych 9. Sposób przepływu danych osobowych pomiędzy systemami informatycznymi 10. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe 11. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych 12. Postanowienia końcowe 13. Załączniki Instrukcja zarządzania systemem informatycznym 1. Wstęp 2. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemach informatycznych oraz wskazania osoby odpowiedzialnej za te czynności 3. Opis stosowanych metod i środków uwierzytelnienia oraz procedur związanych z zarządzaniem i użytkowaniem stosowanych metod i środków uwierzytelnienia 4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu 5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania 6. Opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych, o których mowa w rozdz. 5 instrukcji 7. Opis sposobu zabezpieczenia systemów informatycznych przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia 8. Opis sposobu realizacji wymogów stawianych systemom informatycznym przez rozporządzenie wykonawcze do ustawy o ochronie danych osobowych 9. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

70 30.6. 2015


mentu są jawne

178

10. Poziom bezpieczeństwa 11. Postępowanie w przypadku stwierdzenia naruszenia ochrony danych osobowych 12. Załączniki

17.


Polityka zawiera załączniki oraz instrukcje zarządzania systemami informatycznymi 35 5.2015 Tak

18.


Dokument glówny+12 załączników 89 8.2015 Tak


W ramach odrębnych procedur ok.30 10.2015


mentu są jawne

20.


Wstęp – cele Definicje Zadania i uprawnienia ABI Wykaz pomieszczeń Wykaz zbiorów danych osobowych Opis struktury zbioru danych Sposób przepływu danych pomiędzy poszczególnymi systemami Środki techniczne i organizacyjne Instrukcja alarmowa Procedura działań korygujących i zapobiegawczych Kontrola systemu ochrony danych osobowych i przegląd zarządzenia Lokalizacja sprzętu komputerowego Plan ciągłości działania Postanowienia końcowe ZAŁĄCZNIKI: Wykaz zbiorów danych osobowych Struktura baz danych osobowych Zakres kontroli (audyt) Wzór – Przegląd stanu bezpieczeństwa danych osobowych Mapa sieci Instrukcja zarządzania systemem informatycznym Sposób przepływu danych pomiędzy systemami

81 6.8.2015 Tak

21.


Dokument główny polityka bezpieczeństwa informacji i instrukcja zarządzanie systemami informatycznymi

50 2014 Tak

22.


Brak odpowiedzi na pytanie 150 Brak odpo-wiedzi


mentu są jawne

23.


Polityka ochrony danych osobowych (DO) składa się z 3 części: 1. Wstęp – podstawa prawna, wyjaśnienia pojęć stosowanych w dokumencie 2. Zasady przetwarzania i ochrony danych osobowych - wyszczególnienie celów polityki, zasobów chronionych, osób funkcyjnych działających w dziedzinie ochrony DO, zadań poszczególnych osób w zakresie ochrony DO, sposobów i procedur realizacji zadań z zakresu ochrony DO. Szczegółowe regulacje zawarto w załącznikach.

16 24.8.2015

Nie, jest w

całości nie-

jawny

179

3. Postanowienia końcowe - odpowiedzialność w zakresie ochrony DO

24.


Polityka została opracowana przez firmę zewnętrzną. Składa się z 5 rozdziałów i 4 załączników. 51 6.2015

Nie, jest w

całości nie-

jawny

25.


Brak odpowiedzi na pytanie 35 6.10. 2015

Nie, jest w

całości nie-

jawny

26.


Polityka bezpieczeństwa informacji składa się z dziesięciu rozdziałów, w tym cele, podstawy normatywne i terminologia, podstawy prawne, zakresy systemu, role i odpowiedzialności.

15 12.2014


mentu są jawne

27.


Jeden dokument główny podzielony na kilka rozdziałów, 12 załączników. Z ogólnie dostępnych wytycznych i informacji.

ok. 400 stron 10.2015

Nie, jest w

całości nie-

jawny


1. Polityka bezpieczeństwa informacji 2. Dokumentacja SZBI składająca się z 12 polityk i procedur z załącznikami.

160 10.2015


mentu są jawne

29.


Dokument główny +załączniki 60 8.2015


mentu są jawne

30.

dokument główny wraz z załączni kami

Polityka bezpieczeństwa składa się z 8 rozdziałów i 2 załączników oraz instrukcji zarządzania systemem informatycznym. W trakcie przygotowywania korzystałam z ustawy o ochronie danych osobowych oraz rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności.

96 31.3. 2014 Tak


1. zakres 2. definicje 3. kompetencje ado abi asi i pracowników 4. procedury techniczne i organizacyjne 5. szkolenia 6. środki organizacyjne i techniczne 7. procedury dotyczące przetwarzania d.o. 8. procedury dotyczące naruszenia systemu odo 9. środki naprawcze 10 obowiązek informacyjny ado

80 10.2015

Nie, jest w

całości nie-

jawny

32.


Polityka składa się z 12 rozdziałów oraz 4 załączników 154 7.10.

2015 Tak

33.


Nie dotyczy mojej komórki organizacyjnej. 100 15.11. 2013 Tak

34.


1. POSTANOWIENIA OGÓLNE 2. ZAKRES SYSTEMU BEZPIECZEŃSTWA INFORMACJI 3. BEZPIECZEŃSTWO INFORMACJI W STAROSTWIE POWIATOWYM

90 14.10. 2015 Tak

180

4. ZASADY KORZYSTANIA Z KOMPUTERÓW PRZENOŚNYCH 5. PRZEGLĄDY POLITYKI BEZPIECZEŃSTWA INFORMACJI I AUDYTY SYSTEMU 6. ROZPOWSZECHNIANIE I ZARZĄDZANIE DOKUMENTEM POLITYKI ZAŁĄCZNIKI INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

35.


Wykaz budynków wykaz zbiorów danych osobowych opis struktury zbiorów danych osobowych sposób przepływu danych osobowych Instrukcja Alarmowa

17 2015 Tak

36.


Polityka Bezpieczeństwa Informacji została utworzona szczegółowo (punkt po punkcie) w oparciu o kolejne poszczególne wymogi wynikające z Normy ISO 27001. Załączniki uszczegóławiające: Polityka Bezpieczeństwa Danych Osobowych, Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych, Instrukcja tworzenia kopii zapasowych, Instrukcja kontroli dostępu do systemu, Instrukcja postępowania ze sprzętem i nośnikami danych, Plan ciągłości działania dla systemów informatycznych, Instrukcja czystego biurka i czystego pulpitu.

160 9.4.2015


mentu są jawne

37.


Wymagania stawiane przez rozporządzenie MSWiA W SPRAWIE DOKUMENTACJI PRZETWARZANIA DANYCH OSOBOWYCH ORAZ WARUNKÓW TECHNICZNYCH I ORGANIZACYJNYCH, JAKIM POWINNY ODPOWIADAĆ URZĄDZENIA I SYSTEMY INFORMATYCZNE SŁUŻĄCE DO PRZETWARZANIA DANYCH OSOBOWYCH oraz zmiany wprowadzone od 1 stycznia 2015 roku do ustawy o ochronie danych osobowych.

20 30.6. 2015 Tak

38.


Dokument ten składa się z 8 rozdziałów z szablonów ze szkoleń 60 6.2015


mentu są jawne

39.


Dokument zawiera następujące zagadnienia: I. Definicje. II. Podstawy prawne. III. Opis struktury organizacyjnej. IV. Ogólne zasady bezpieczeństwa. V. Podstawowe wymagania w zakresie ochrony informacji. A. Postanowienia ogólne. B. Postanowienia dotyczące pracowników. C. Postanowienia dotyczące kadry kierowniczej. D. Postanowienia dotyczące Administratora Bezpieczeństwa Informacji. E. Postanowienia dotyczące fizycznego nadzoru bezpieczeństwa. F. Postanowienia dotyczące logicznego nadzoru bezpieczeństwa.

52 18.9. 2012 Tak

181

G. Postanowienia dotyczące zasad i procedur dla personelu informatycznego odpowiedzialnego za sieć instytucji. VI. Ogólne zasady przeciwdziałania oraz postępowania na wypadek wystąpienia sytuacji naruszenia bezpieczeństwa. VII. Odpowiedzialność za realizację polityki bezpieczeństwa. VIII. Zakres rozpowszechniania. IX. Wykaz dokumentów związanych z Polityką Bezpieczeństwa Starostwa.

40.


Składa się z 3 rozdziałów. Pierwszy rozdział omawia cel i założenia SZBI. Drugi zasady ZBI. Trzeci omawia politykę w poszczególnych grupach informacji.

100 6.2015

Nie, jest w

całości nie-

jawny

41.


Zgodna z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz.1024)

50 22.10. 2014 Tak

42.


Spis załączników Deklaracja Prezydenta Miasta 1. Wykaz podstawowych skrótów 2. Wykaz podstawowych definicji 3. Wprowadzenie 4. Cele Polityki Bezpieczeństwa Danych Osobowych 5. Zakres stosowania Polityki Bezpieczeństwa Danych Osobowych 6. Podstawa prawna 7. Struktura dokumentów Polityki Bezpieczeństwa Danych Osobowych 8. Zakres rozpowszechniania 9. Obowiązki Administratora Danych Osobowych 10. Powołanie (rejestracja), zmiana i odwołanie Administratora Bezpieczeństwa Informacji. 11. Rejestr zbiorów przetwarzanych przez administratora danych osobowych 12. Odpowiedzialność za bezpieczeństwo danych osobowych 12.1. Administrator Bezpieczeństwa Informacji 12.2. Lokalni Administratorzy Bezpieczeństwa Informacji 12.3. Administrator Systemów Informatycznych 12.4. Osoby upoważnione do przetwarzania danych osobowych 13. Podstawowe zasady ochrony danych osobowych 14. Upoważnienie do przetwarzania danych osobowych 15. Powierzenie przetwarzania danych osobowych 16. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe 17. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 18. Opis struktury zbiorów danych osobowych 19. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami 20. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

ok. 60 25.3. 2015


mentu są jawne

182

21. Wzory formularzy pomocniczych 22. Archiwizowanie informacji zawierających dane osobowe 23. Instrukcja alarmowa w przypadku wystąpienia zagrożenia lub incydentu naruszającego ochronę danych osobowych 24. Przeglądy i audyty systemu ochrony danych 25. Działania korygujące i zapobiegawcze 26. Przepisy karne i porządkowe 27. Postanowienia końcowe

43.


- wykaz środków ochrony - wykaz zbiorów danych osobowych - wykaz wykorzystywanego oprogramowania - obszar przetwarzania danych osobowych - instrukcja postępowania na wypadek naruszenia polityki bezpieczeństwa - wzory różnych dokumentów np. upoważnienia, oświadczenia, nadanie ASI itp. - opisy struktur w osobnych dokumentach

40 3.2015


mentu są jawne

44.


Przy opracowaniu dokumentu został wykorzystany szablon funkcjonujący w innych samorządach powiatowych.

46 2.2015 Tak

45.


CEL I ŹRÓDŁA WYMAGAŃ POSTANOWIENIA OGÓLNE I ZAKRES STOSOWANIA DEFINICJE BEZPIECZEŃSTWO PRZETWARZANIA DANYCH OSOBOWYCH ZABEZPIECZENIE DANYCH OSOBOWYCH OBOWIĄZKI ZWIĄZANE Z DOSTĘPEM DO DANYCH OSOBOWYCH ZASADY PRZETWARZANIA DANYCH OSOBOWYCH OCHRONA DANYCH OSOBOWYCH ZARZĄDZANIE USŁUGAMI ZEWNĘTRZNYMI BEZPIECZEŃSTWO OBSZARÓW PRZETWARZANIA ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE SYSTEM INFORMATYCZNY ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DO ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH ZARZĄDZANIE INCYDENTAMI I POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH ZBIORY DANYCH OSOBOWYCH OPIS STRUKTURY ZBIORÓW DANYCH OSOBOWYCH PRZEPŁYW DANYCH POMIĘDZY SYSTEMAMI SPRAWDZENIA ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH ANALIZA RYZYKA I PRZEGLĄDY BEZPIECZEŃSTWA POSTANOWIENIA KOŃCOWE WYKAZ ZAŁĄCZNIKÓW Dokument ten to opracowanie własne

110 11.2015 Tak

183

46.


9 rozdziałów, Postanowienia ogólne, definicje, Obszary przetwarzania danych osobowych, Zarządzanie przetwarzaniem danych osobowych, Gromadzenie danych osobowych, Przetwarzanie danych osobowych, Obowiązek informacyjny, Udostępnianie danych osobowych, Ochrona przetwarzania danych osobowych, Postępowanie w przypadkach naruszenia bezpieczeństwa ochrony danych osobowych. Korzystano z materiałów szkoleniowych.

12 26.8. 2015 Tak

47.


Dwanaście paragrafów – brak szablonu 33 12.9. 2014


mentu są jawne

48.


Definicje, Zasady ogólne, Zabezpieczenie dostępu do danych osobowych, Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, Opis struktury zbiorów danych wskazujący na powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami, określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczności przetwarzanych danych, Zasady korzystania z komputerów przenośnych, na których są przetwarzane dane osobowe.

ok. 35 2007


mentu są jawne

49.


PBI składa się z Wprowadzenia, 15 rozdziałów oraz z Załączników. Dokument został stworzony od podstaw.

29 10.2013


mentu są jawne

50.


7 rozdziałów: Postanowienia ogólne. Opis zdarzeń naruszających ochronę danych osobowych. Procedura postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Wykazy zbiorów danych osobowych. Miejsca przetwarzania danych osobowych. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami. Dokument własny.

141 4.8.2015


mentu są jawne

51.


XII rozdziałów, szablon ze szkolenia 57 16.9. 2015 Tak

52.


Korzystałem z szablonu 96 3.11. 2015 Tak

53.


Dwa rozdziały: I Polityka Bezpieczeństwa, II Instrukcja Zarządzania Systemem Informatycznym, Załączniki i podrozdział Instrukcja BHP przy obsłudze stanowiska Komputerowego. Korzystano z PBI z lat ubiegłych oraz materiałów uzyskanych na szkoleniu

62 4.2015

Nie, jest w

całości nie-

jawny

184

54.


„Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym” została opracowana w jednym dokumencie plus z załącznikami. Załączników jest jedenaście. Polityka składa się z 12 rozdziałów: Wprowadzenie Rozdział 1 Definicje Rozdział 2 Zabezpieczenie danych osobowych Rozdział 3 Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych Rozdział 4 Zabezpieczenia danych osobowych Rozdział 5 Monitorowanie zabezpieczeń i kontrola przestrzegania zasad zabezpieczenia danych osobowych Rozdział 6 Zakres oraz zasady przetwarzania danych osobowych oraz sposób udostępniania Rozdział 7 Anonimizacja danych osobowych Rozdział 8 Postępowanie w przypadku naruszenia ochrony danych osobowych. Rozdział 9 Szkolenia Rozdział 10 Niszczenie wydruków i zapisów na nośnikach magnetycznych Rozdział 11 Archiwizacja danych Rozdział 12 Postanowienia końcowe Wykaz załączników Przy tworzeniu dokumentu nie korzystałem z szablonów.

107 2015

Nie, jest w

całości nie-

jawny

55.


Dokumentacja składa się z następujących części: 1. Polityka bezpieczeństwa Informacji 2. Procedury dotyczące SZBI 3. Regulaminy dotyczące PBI 4. Polityka Bezpieczeństwa Danych Teleinformatycznego Rozdziały: 1. cel 2. zakres 3. terminologia 4. odpowiedzialność 5. realizacja 6. lista dokumentów związanych 7. załączniki

263/69 16.11. 2015


mentu są jawne

56.


Zarządzenie + dwa załączniki podzielone na kilkanaście punktów. 8 11.9.

2014


mentu są jawne

57.


Polityka składa się z 14 rozdziałów oraz 6 załączników 40 24.11.

2014


mentu są jawne

58.


10 rozdziałów 100 na bieżąco


mentu są jawne

59.


Na dokumentację dotyczącą przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych w Starostwie Powiatowym składają się Polityka Bezpieczeństwa

19 13.5. 2013 Tak

185

przetwarzania danych osobowych oraz Instrukcja zarządzania systemem informatycznym. Polityka składa się z IX rozdziałów. Np. wyznaczenie ABI, wykaz budynków, pomieszczeń tworzących obszar, w którym przetwarzane są, wykaz zbiorów danych osobowych, środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności przetwarzanych danych.

60.


I. Postanowienia ogólne II. Gromadzenie danych osobowych III. Obowiązek informacyjny IV. Udzielanie informacji o przetwarzaniu danych osobowych V. Rejestracja zbiorów danych VI. Ochrona danych osobowych i obszaru przetwarzania VII. Zasady udostępniania danych osobowych VIII. Wykaz załączników

91 24.3. 2014 Tak

61.


Składa się z 9 rozdziałów nie korzystałem z żadnego szablonu 54 6.2013 Tak

62.


Zgodnie z obowiązującymi przepisami prawa 17/20 10.2015


mentu są jawne

63.


polityka bezpieczeństwa: słownik, treść, instrukcja zarządzania systemami: słownik, treść, załączniki. wszystko w jednym dokumencie, spis treści na początku. dokument wyłącznie do użytku wewnętrznego.

52 20.1. 2015


mentu są jawne

64.


I. Postanowienia ogólne II. Organizacja przetwarzania danych III. Infrastruktura przetwarzania danych i informacji IV. Struktura zbiorów przetwarzanych w systemach informatycznych V. Przepływ danych pomiędzy systemami informatycznymi eksploatowanymi w Starostwie Powiatowym VI. Strategia zabezpieczenia oraz środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności oraz rozliczalności danych i informacji przetwarzanych w systemach funkcjonujących w Starostwie Powiatowym VII. Przeglądy polityki bezpieczeństwa i audyty systemów funkcjonujących w Starostwie Powiatowym VIII. Postanowienia końcowe

41 16.7. 2013

Nie, jest w

całości nie-

jawny

65.


Polityka Bezpieczeństwa Informacji została wdrożona Zarządzeniem Starosty. Składa się z 10 części: 1) Zadania i cel polityki bezpieczeństwa informacji 2) Wykaz budynków, pomieszczeń lub części pomieszczeń w których przetwarzane są dane osobowe 3) Opis struktury zbiorów danych osobowych przetwarzanych elektronicznie lub w inny sposób 4) Zasady rejestracji zbiorów danych osobowych 5) Środki techniczne i organizacyjne 6) Instrukcja określająca sposób zarządzania systemem

28 stron 22.10. 2014 Tak

186

informatycznym, służącym do przetwarzania danych osobowych 7) Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych 8) Oświadczenie – wzór 9) Upoważnienie do przetwarzania danych osobowych – wzór 10) Wykaz osób upoważnionych do przetwarzania danych osobowych – wzór.

66.


Postanowienia ogólne, Terminologia Deklaracja intencji, cele i zakres polityki bezpieczeństwa Ogólne zasady przetwarzania danych osobowych Obowiązki i odpowiedzialność osób w zakresie zarządzania bezpieczeństwem przetwarzania i ochroną danych osobowych Zarządzanie zbiorami danych osobowych Zabezpieczenie danych osobowych Opis zdarzeń naruszających ochronę danych osobowych Postępowanie w przypadku naruszenia ochrony danych osobowych Postanowienia końcowe Załącznik nr 1 - Wykaz budynków, pomieszczeń tworzący obszar, w którym przetwarzane są dane osobowe Załącznik nr 2 - Wniosek o nadanie upoważnienia Załącznik nr 3 - Wzór upoważnienia Załącznik nr 4 - Wzór oświadczenia dla pracowników Załącznik nr 4a - Wzór oświadczenia dla osób nie będących pracownikami Załącznik nr 5 - Informacja o zamiarze utworzenia, likwidacji, modyfikacji struktury zbioru lub zmiany lokalizacji zbioru Załącznik nr 6 - Wzór umowy powierzenia Załącznik nr 7 - Raport z naruszenia danych osobowych Załącznik Nr 8 - Wykaz zbiorów danych osobowych. Załącznik Nr 9 - Opis struktury zbioru danych osobowych.

ok.90 2012


mentu są jawne

67.


26 rozdziałów. Opracowana przez firmę zewnętrzną. 200 11.2015 Tak

68. inne

Polityka – wizja/misja Dokumenty dziedzinowe wraz z załącznikami Niekiedy odesłanie do dokumentów dostępnych w repozytorium systemu zarządzania

60 ponad rok temu


mentu są jawne

69.


PBI – DEKLARACJA O WDROŻENIU POLITYKI BEZPIECZEŃSTWA INFORMACJI; CEL ; ZAKRES ; PODSTAWY PRAWNE; RODZAJE INFORMACJI PRZETWARZANYCH PRZEZ STAROSTWO POWIATOWE; ORGANIZACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI; (Zarządzanie bezpieczeństwem informacji w Starostwie Powiatowym, Zarządzanie ryzykiem, Monitorowanie i ocena Systemu Zarządzania Bezpieczeństwem Informacji, Utrzymanie oraz wdrażanie działań korygujących i doskonalących System Zarządzania Bezpieczeństwem Informacji, Nadzór nad dokumentacją SZBI, Zarządzanie dostępem do informacji, Zarządzanie incydentem w zakresie bezpieczeństwa informacji); STRUKTURA DOKUMENTACJI SYSTEMU

PBI 27, PBDO - 30, IZSI- 18 - bez

załączników

jeszcze nie

aktuali-zowana


mentu są jawne

187

ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI; ROLE I ODPOWIEDZIALNOŚCI ZA BEZPIECZEŃSTWO INFORMACJI W STAROSTWIE POWIATOWYM; ZARZĄDZANIE AKTYWAMI W STAROSTWIE; ZARZĄDZANIE BEZPIECZEŃSTWEM ZASOBÓW LUDZKICH; ZARZĄDZANIE SYSTEMAMI TELEINFORMATYCZNYMI; ZAPEWNIENIE BEZPIECZEŃSTWA FIZYCZNEGO; ZARZĄDZANIE INCYDENTEM ZWIĄZANYM Z BEZPIECZEŃSTWEM INFORMACJI. Oczywiście jeszcze wstęp, podsumowanie, podstawowe definicje i skróty Polityka Bezpieczeństwa Danych Osobowych – CEL POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH; ZAKRES POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH; OGÓLNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH W STAROSTWIE POWIATOWYM; ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH; POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH; PRZETWARZANIE DANYCH POWIERZONYCH PRZEZ INNE PODMIOTY; ORGANIZACJA OCHRONY PRZETWARZANIA DANYCH OSOBOWYCH; WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE; WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH; OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI; SPOSOBY PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI; OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI, ROZLICZALNOŚCI PRZETWARZANYCH DANYCH; ZASADY POSTĘPOWANIA W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH; SZKOLENIA; POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W KONTEKŚCIE SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWA INFORMACJI. Dodatkowo definicje, skróty wprowadzenie i podsumowanie Instrukcja Zarządzania Systemami Informatycznymi – Bezpieczeństwo Systemów Informatycznych; Cel i zakres Instrukcji Zarządzania Systemami Informatycznymi; Ogólne zasady obowiązujące przy gromadzeniu i przetwarzaniu informacji w systemach informatycznych wykorzystywanych w Starostwie; Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym; Wnioskowanie i zakładanie kont użytkowników; Zasady tworzenia identyfikatorów użytkowników (loginów); Złożoność, procedura przydziału oraz terminy ważności haseł użytkowników systemów; Ochrona loginów i haseł użytkowników; Zarządzanie kontami i hasłami administratorów; Procedura rozpoczęcia

188

i zakończenia pracy w systemie informatycznym; Obszary przetwarzania danych; Opis metod i harmonogram sporządzania kopii bezpieczeństwa; Opis metod oraz harmonogram sprawdzania obecności i usuwania złośliwego oprogramowania; Ogólne zasady i odpowiedzialność przy instalacji i wykorzystywaniu oprogramowania; Procedura korzystania z urządzeń mobilnych, miejsce i okres przechowywania nośników informacji, w tym kopii elektronicznych, wydruków oraz programów i narzędzi programowych służących do ich przetwarzania; Zasady i sposób odnotowywania w systemie informatycznym informacji o udostępnieniu danych osobowych; Zasady udostępniania danych w formie elektronicznej; Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych; Zasady wyposażania i eksploatacji stacji roboczych; Zasady wymiany informacji w sieci komputerowej; Zasady zakładania i korzystania ze służbowych skrzynek email; Uzyskiwanie dostępu do systemów i portali nieadministrowanych przez Starostwo Dokumenty tworzone głównie w oparciu o materiały szkoleniowe, z wykorzystaniem wcześniejszych polityk odnośnie danych osobowych i systemów informatycznych

70.


Polityka bezpieczeństwa z załącznikami + Instrukcja zarządzania systemem informatycznym

18 w trakcie zmiany

Nie, jest w

całości nie-

jawny

71.


Dokument główny (zarządzenie Prezydenta Miasta) Instrukcja ochrony danych osobowych (wraz z załącznikami) Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych Polityka bezpieczeństwa informacji (wraz z załącznikami) Instrukcje i polityki związane z systemami zewnętrznymi.

156 2013


mentu są jawne

72.


VIII rozdziałów, 6 zał. szablon 27 9.2012

Nie, jest w

całości nie-

jawny

73.


Rozdziały dokumentu: 1. Podstawa prawna 2. Definicje 3. Zaangażowanie kierownictwa 4. Cele Polityki Bezpieczeństwa 5. Odpowiedzialność 6. Zakres. 7. Wykaz „obszarów przetwarzania informacji” 8. Wykaz zbiorów danych osobowych 9. Opis struktury zbiorów 10. Ewidencja sprzętu komputerowego 11. Opis przepływów danych pomiędzy systemami 12. Określenie fizycznych, techniczny i organizacyjnych środków ochrony informacji 13. Przegląd bezpieczeństwa monitoring 14. Zasady współpracy z podmiotami zewnętrznymi

30 13.11. 2015


mentu są jawne

189

74.


Polityka bezpieczeństwa systemów informatycznych składa się z 14 rozdziałów 29 stron + 7 załączników. Zawarte w niej zostały Cele, Klasyfikacja informacji, administracja i organizacja bezpieczeństwa, zasady współpracy z osobami trzecimi i stronami zewnętrznymi, Opis zdarzeń naruszających ochronę danych osobowych, zabezpieczenie danych osobowych oraz Instrukcja Zarządzania Systemami Informatycznymi służącymi do przetwarzania danych osobowych, która ma 18 stron + 3 załączniki

około 80 stron 3.4.2015 Tak

75.


Dokument składa się z 16 rozdziałów (Rozdział I Przepisy Ogólne, Rozdział II Odpowiedzialność, Rozdział III Zabezpieczenie danych osobowych, Rozdział IV Zbiory danych osobowych, Rozdział V Postępowanie w przypadku naruszenia ochrony danych osobowych, Rozdział VI Upoważnienia do przetwarzania danych osobowych i ewidencja osób upoważnionych, Rozdział VII Ochrona danych, Rozdział VIII Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Rozdział IX Rozpoczęcie, zakończenie i zawieszenie pracy w systemie, Rozdział X Kopie zapasowe, Rozdział XI Nośniki danych, Rozdział XII Zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania oraz osób niepożądanych, Rozdział XIII Bezpieczeństwo komputerów przenośnych oraz zasady postępowania dotyczące pracy na odległość, Rozdział XIV Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych osobowych, Rozdział XV Przeglądy i konserwacje systemów oraz nośników informacji służących do przetwarzania danych, Rozdział XVI Postanowienia końcowe). Korzystałem z informacji zdobytych na szkoleniach i materiałach ze szkoleń.

41 stron 20.10. 2015 Tak

76.


Polityka bezpieczeństwa składa się z 7 rozdziałów i 8 załączników do Polityki 27 stron 24.10.

2014


dokumentu są jawne


Polityka bezpieczeństwa składa się z 5 rozdziałów. Instrukcja zarządzania systemami informatycznymi składa się z 9 rozdziałów. Dokumenty zostały opracowane na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.4. 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

24 8.8.2014 Tak

78.


Dokument składa się z instrukcji postępowania przy przetwarzaniu danych osobowych, który się składa z jednego rozdziału. Polityki bezpieczeństwa systemów informatycznych do przetwarzania danych osobowych składająca się z sześciu rozdziałów. Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych składający się z dziewięciu rozdziałów. Instrukcję tworzenia kopii bezpieczeństwa w systemie informatycznym przy przetwarzaniu danych osobowych składający się z czterech rozdziałów,

32 12.2. 2010 Tak

190

Instrukcji postępowania na wypadek awarii systemu informatycznego przy przetwarzaniu danych osobowych składający się z pięciu rozdziałów. Nie korzystałem z szablonu przy pisaniu Polityki bezpieczeństwa.

79.


Polityka Zarządzania Bezpieczeństwem Informacji składa się z Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym.

30 6.2015 Tak

80.


Korzystano z doświadczenia zawodowego. 40 31.3. 2015 Tak

81.


8 rozdziałów nie korzystałam z szablonów 4 2015 Tak

82.


16 rozdziałów, wstęp, definicje, deklaracja najwyższego kierownictwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami i ryzykami, zarządzanie systemami i sieciami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne, zarządzanie ciągłością działania, polityka zarządzania zmianami, polityka zarządzania kopiami zapasowymi, polityka wymiany informacji między urzędem i miejskimi jednostkami organizacyjnymi, zgodność z wymaganiami prawnymi i innymi, deklaracja ochrony własności intelektualnej, postanowienia końcowe

13

22.11.2011

(obecnie w trakcie aktuali-zacji)

Tak

83.


Polityka bezpieczeństwa wraz z załącznikami; Instrukcja zarządzania systemem informatycznym: -zasady udzielania dostępu do usług; -procedury nadawania uprawnień do przetwarzania danych oraz ich rejestrowania; -procedury rozpoczęcia i zakończenia pracy przez użytkowników systemu; -zasady składowania danych i programów służących do ich przetwarzania oraz zarządzania elektronicznymi nośnikami danych; -sposób zabezpieczenia systemu informatycznego przed działalnością wirusów komputerowych i innego szkodliwego oprogramowania; -sposób wykonywania konserwacji systemu oraz wymagania dotyczące wykorzystywania baz danych; -procedury udostępniania sprzętu komputerowego oraz oprogramowania użytkownikom systemu informatycznego; -zasady postępowania z danymi zapewniające minimalizację wystąpienia ryzyka kradzieży danych i środków przetwarzania danych, w tym urządzeń mobilnych; -zasady monitorowania pracy użytkownika w systemie informatycznym; -zarządzanie incydentem; -kontrola zgodności systemów z odpowiednimi normami i politykami bezpieczeństwa oraz audyt bezpieczeństwa teleinformatycznego; -standardy zabezpieczeń serwerowi i węzłów sieci teleinformatycznej; -zasady prowadzenia okresowych analiz ryzyka utraty integralności, dostępności lub poufności danych w systemie informatycznym urzędu oraz podejmowania działań minimalizujących to ryzyko. Instrukcja w sprawie zasad postępowania przy przetwarzaniu danych osobowych: -nadzór nad przetwarzaniem danych osobowych;

158 27.7. 2015

Nie, jest w

całości nieja-wny

191

-obowiązki kierowników komórek organizacyjnych; -obowiązki osób upoważnionych do przetwarzania danych osobowych; -zadania lokalnych administratorów bezpieczeństwa informacji; -tryb udzielania upoważnień do przetwarzania danych osobowych; -tryb cofnięcia upoważnień do przetwarzania danych osobowych; -sposób prowadzenia i aktualizacji ewidencji osób upoważnionych do przetwarzania danych osobowych; -zasady prowadzenia szkoleń z zakresu ochrony danych osobowych; -sposób zarządzania zbiorami danych; -sposób prowadzenia i aktualizacji rejestru zbiorów danych osobowych; -zasady powierzenia przetwarzania danych osobowych podmiotom zewnętrznym na podstawie art. 31 ustawy; -praca w systemie zamkniętym.

84.


Dokument funkcjonuje jako: zarządzenie Prezydenta Miasta z 29.5.2015 r w sprawie określenia zasad bezpieczeństwa informacji oraz wytycznych dla Polityki Bezpieczeństwa Informacji Urzędu Miejskiego, zawiera 15 paragrafów oraz 13 załączników, zawiera Politykę Bezpieczeństwa Przetwarzania Danych Osobowych, Instrukcję Zarządzania Systemem Informatycznym Służącym do przetwarzania Danych Osobowych, Wykaz budynków i pomieszczeń tworzących obszar przetwarzania d.o. oraz szereg specjalizowanych zestawów zaleceń dotyczących w szczególności bezpieczeństwa informacji, eksploatacji i zabezpieczania systemów oraz administrowania uprawnieniami.

45 29.5. 2015 Tak

85.


Polityka bezpieczeństwa dotycząca przetwarzania danych osobowych w Urzędzie Miejskim wprowadzona została zarządzeniem Prezydenta Miasta. Dokument złożony jest z VII rozdziałów o treści: Rozdział I Postanowienia ogólne Rozdział II Zasady przetwarzania danych osobowych Rozdział III Zarządzanie zbiorami danych osobowych Rozdział IV Opis zdarzeń naruszających ochronę danych osobowych Rozdział V Zasady postępowania w sytuacji naruszenia ochrony danych osobowych Rozdział VI Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności danych osobowych Rozdział VII Przepisy końcowe W skład wspomnianego dokumentu wchodzi również 8 załączników : Załącznik Nr 1 Wzór wniosku o udzielenie upoważnienia do przetwarzania danych osobowych Załącznik Nr 2 Wzór zaświadczenia stwierdzającego odbycie szkolenia w zakresie ochrony danych osobowych Załącznik Nr 3 Wzór oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych

100 31.7.2015


dokumentu są jawne

192

Załącznik Nr 4 Wzór oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych (dla osób nie będących pracownikami urzędu) Załącznik Nr 5 Wzór upoważnienia do przetwarzania danych osobowych Załącznik Nr 6 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania oraz opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Załącznik Nr 7 Wykaz budynków, pomieszczeń, lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe Załącznik Nr 8 Sposób przepływu danych pomiędzy systemami

86. inne

1.Deklaracja Starosty 2.Definicja bezpieczeństwa informacji 3.Znaczenie bezpieczeństwa informacji dla Starostwa Powiatowego 4.Cele bezpieczeństwa informacji Starostwa Powiatowego i sposoby ich osiągania 5.Infrastruktura systemu informacyjnego Starostwa Powiatowego 6.Struktura przedmiotowa informacji w systemie informacyjnym Starostwa Powiatowego 7.System Zarządzania Bezpieczeństwem Informacji Starostwa Powiatowego 8.Struktura dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji 9.Struktura podmiotowa systemu informacyjnego Starostwa Powiatowego 10.Szacowanie ryzyka utraty bezpieczeństwa informacji 11.Zdarzenia związane z bezpieczeństwem informacji 12.Zakres stosowania dokumentacji SZBI

20/21 plus

załączniki ok 100

1.6.2015 Tak

87. Brak odpowiedzi Brak odpowiedzi 70 9.2015

Brak odpo-wiedzi


Polityka bezpieczeństwa informacji jest dokumentem jednostronicowym, ogólnodostępnym, zawierającym wymagania zapisane w ISO 27001. Polityka ochrony danych osobowych jest dokumentem do użytku wewnętrznego zawierającym elementy o których mowa w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych (..)

1/39

10.6. 2013/ 14.9. 2015


mentu są jawne

89.


Brak odpowiedzi 50 Brak odpo-wiedzi


mentu są jawne

90.


Polityka: definicje i określenie chronionych zasobów oraz wskazanie środków ochrony. 2 załączniki : zasoby informacyjne Starostwa oraz wykaz zbiorów danych osobowych.

10 17.7. 2015 Tak

91.


1. Definicje 2. Zadania Pełnomocnika ds. SZBI ustawowe i scedowane przez ADO 3. Szczegółowe zabezpieczenia systemów informatycznych przed ingerencją z zewnątrz 4. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym

55 papier + pewne

infor-macje na

CD

17.11. 2015


mentu są jawne

193

przetwarzane są dane osobowe oraz wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 5. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi 6. Sposób przepływu danych pomiędzy poszczególnymi systemami 7. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 8. Procedura postępowania z incydentami (Instrukcja alarmowa) 9. Procedura działań korygujących i zapobiegawczych 10. Kontrola wewnętrzna stanu ochrony danych osobowych 11. Zarządzanie systemem ochrony danych 12. Szkolenia lub zapoznawanie osób z zasadami ODO 13. Postanowienia końcowe

92.


Brak odpowiedzi 61 9.9.2015


mentu są jawne

93.


System zarządzania bezpieczeństwem informacji składa się z: 1)polityki bezpieczeństwa informacji oraz zasad ogólnych, 2) zasady szczegółowe zarządzania bezpieczeństwem fizycznym informacji 3) zasady szczegółowe zarządzania bezpieczeństwem systemów teleinformatycznych (hardware) 4) zasady szczegółowe zarządzania bezpieczeństwem systemów przetwarzania informacji (software) 5) zasady szczegółowe zarządzania bezpieczeństwem dostępu do danych osobowych

Brak odpo-wiedzi

Brak odpo-wiedzi

Brak odpo-wiedzi

194

Urzędy gmin184


Urząd Struktura dokumentu Opis

Orientacyjna liczba

stron

Ostatnia data

aktuali-zacji


1.


Polityka obejmuje wskazanie możliwych rodzajów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).

22 5.2014 Tak

2.


6 działów z podpunktami 21 15.4.2011 Tak

3.


Z szablonu 80 9.2013 Tak


Polityka bezpieczeństwa informacji i ochrony danych osobowych - jedna strona A4 – odsyłająca do dokumentacji ZSZ, księga ZSZ procedury i instrukcje SZBI (PW.1.) wytyczne dla pracowników (PZ.2.9.) dokumentacja pełnomocnika (PZ.6) zarządzanie ryzykiem (PZ.7)

36 28.11. 2013 Tak

5.


Korzystałem z szablonu. 20 5.2.2014


6.


5 rozdziałów: 1.Opis zdarzeń... 2.Zabezpieczenie danych osobowych. 3.Kontrola przestrzegania zasad zabezpieczenia danych osobowych. 4.Postępowanie przy naruszeniu ochrony danych osobowych. 5.Postanowienia końcowe

14 brak Tak

7.


3 części + załączniki + wzory wniosków 30 2008


8.


Dokument wraz z załącznikami wprowadzony zarządzeniem Prezydenta Miasta 17 3.3.2011 Tak

184 Badanie było prowadzone anonimowo.

195

9.


Rozdziały zawierają informacje o zabezpieczeniach fizycznych, nie fizycznych, postępowaniu z dokumentami, przepływie informacji między systemami.Podczas tworzenia polityki wzorowałem się na wielu podobnych opracowaniach dostosowując do naszych warunków.

100 2011


10.


5 rozdziałów, nie korzystano z szablonów 22 5.12. 2013 Tak

11.


Dokument składa się z dokumentu głównego oraz załączników: 1. Polityka Bezpieczeństwa Informacji Chronionych przetwarzanych w Systemie Informatycznym Urzędu Miejskiego – Załącznik nr 1. 2. Polityka Bezpieczeństwa Informacji Chronionych przetwarzanych poza Systemem Informatycznym Urzędu Miejskiego – Załącznik nr 2. 3. Instrukcja Zarządzania Systemem Informatycznym Urzędu Miejskiego – Załącznik nr 3. 4. Regulamin korzystania z Systemu Informatycznego Urzędu Miejskiego – Załącznik nr 4. 5. Regulamin korzystania z urządzeń komputerowych Urzędu Miejskiego – Załącznik nr 5. 6. Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń i obiektów Urzędu Miejskiego – Załącznik nr 6. 7. Formularz: Oświadczenie o zachowaniu poufności – Załącznik nr 7 8. Formularz zgłoszeniowy: „Wniosek o upoważnienie do przetwarzania danych osobowych” – Załącznik nr 8. 9. Formularz zgłoszeniowy „Wniosek o przyznanie dostępu do Systemu Informatycznego Urzędu Miejskiego dla osoby spoza Urzędu” – Załącznik nr 9. 10. Zarządzenie Burmistrza Miasta w sprawie wyznaczenia Administratora Bezpieczeństwa Informacji – Załącznik nr 10. 11. Polityka Bezpieczeństwa danych osobowych przetwarzanych w UM – Załącznik nr 11. 12. Wniosek do Burmistrza Miasta o udostępnienie danych osobowych – Załącznik nr 12. 13. Instrukcja zarządzania kopiami zapasowymi – Załącznik nr 13

58 1.2013



Polityka składa się z bardzo wielu dokumentów zaczynając od Instrukcji Organizacyjnej i odpowiednich zapisów w obowiązkach pracowników, poprzez Politykę Ochrony Danych Osobowych, Politykę Ochrony Informacji Niejawnych, Instrukcje nadzoru obiektów, Instrukcje wydawania kluczy, itd. Dokumenty były tworzone w oparciu o ustawy/zalecenia/wytyczne oraz wiedzę i doświadczenie ich twórców.

100-200 2014


13.


Rozdz. I Opis zdarzeń naruszających ochronę danych osobowych. Rozdz. II Zabezpieczenie danych osobowych. Rozdz. III Kontrola przestrzegania zasad zabezpieczenia danych osobowych. Rozdz. IV postępowanie przy naruszeniu ochrony danych osobowych. Rozdz. V Postanowienia końcowe. Załączniki 4 szt.

22 12.12. 2012 Tak

196

14.


Polityka bezpieczeństwa wraz z 12-ma załącznikami, osobno instrukcja zarządzania systemem informatycznym

ok 100 3.12. 2014


15.


9 rozdziałów, 6 załączników, 20 4.3.2014


16.


8 rozdziałów; 8 załączników; samodzielne opracowanie 106 4.2006


17.


Definicje, obszar przetwarzania danych osobowych, zasady przetwarzania danych osobowych, zarządzanie zbiorami danych osobowych, sposób przepływu danych pomiędzy systemami, Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych, Kontrola systemu ochrony danych osobowych oraz załączniki typu: Instrukcja postępowania w sytuacjach naruszenia ochrony danych osobowych, Instrukcja w sprawie zarządzania systemem informatycznym, ewidencja osób upoważnionych do przetwarzania danych osobowych.

ok 30 9.2014


18.


Dokument zawiera 5 rozdziałów oraz 8 załączników. Korzystaliśmy przy jego sporządzeniu z pomocy kilku firm, zajmujących się profesjonalnie tą dziedziną wiedzy (przy okazji realizacji kilku projektów realizowanych przy udziale środków zewnętrznych).

40 19.12. 2014

Nie, jest w całości nie-jawny

19.


Dwa załączniki. Polityka bezpieczeństwa przetwarzania danych osobowych oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

35 11.3. 2013 Tak

20.


Szablon ze szkolenia 50 2014 Tak

21.


Polityka bezpieczeństwa Urzędu Miejskiego Rozdział 1. Postanowienia Ogólne Rozdział 2. Zasady przetwarzania danych osobowych Rozdział 3. Zarządzanie zbiorami danych osobowych Rozdział 4. Opis zdarzeń naruszających ochronę danych osobowych Rozdział 5. Zasady postępowania w sytuacji naruszenia ochrony danych osobowych Rozdział 6. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych Rozdział 7. Przepisy końcowe Polityka bezpieczeństwa została opracowana na podstawie wcześniejszej polityki bezpieczeństwa, materiałów szkoleniowych i bieżącego doświadczenia.

60 30.4. 2015 Tak

197

22.


POSTANOWIENIA OGÓLNE DEFINICJE UŻYTE W POLITYCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH ZAKRESY ODPOWIEDZIALNOŚCI ZA PRZETWARZANIE I OCHRONĘ DANYCH OSOBOWYCH ZASADY PRZETWARZANIA DANYCH OSOBOWYCH WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DO ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH DOKUMENTY WEWNĘTRZNE ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH UDOSTĘPNIANIE, POWIERZANIE I PRZEKAZANIE DANYCH OSOBOWYCH KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH POSTĘPOWANIE W PRZYPADKU STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH POSTANOWIENIA KOŃCOWE SPIS ZAŁĄCZNIKÓW Definicje użyte w Instrukcji Poziomy bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych Opis ogólnych wymagań bezpieczeństwa systemów informatycznych, w którym są przetwarzane dane osobowe i zastosowanych rozwiązań Procedury bezpiecznej eksploatacji systemów informatycznych przetwarzających dane osobowe Sposób, miejsce i okres przechowywania elektronicznych nośników informacji, kopii zapasowych i wydruków Sposób zabezpieczenia systemu informatycznego przed wirusami i nieautoryzowanym dostępem Postępowanie w przypadku stwierdzenia naruszenia ochrony danych osobowych Postanowienia końcowe

150 10.10. 2012 Tak


Dokument główny składa się z 9 rozdziałów dodatkowo są 3 procedury i dwie instrukcje. Tworzenie dokumentacji zostało zlecone firmie, która robiła audyt informatyczny.

121 17.3. 2015 Tak

24.


Skład się z 12 rozdziałów. I.WSTĘP II.WYJAŚNIENIE TERMINÓW UŻYWANYCH W DOKUMENCIE POLITYKI BEZPIECZEŃSTWA III.OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH IV.UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH V.UMOWY POWIERZENIA PRZETWARZANIA

70 18.2. 2015


198

DANYCH OSOBOWYCH VI.KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH VII.SZCZEGÓŁOWY WYKAZ PRZETWARZANYCH ZBIORÓW DANYCH OSOBOWYCH VIII.WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE IX.POSTĘPOWANIA W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH X.PROCEDURA DZIAŁAŃ KORYGUJĄCYCH I ZAPOBIEGAWCZYCH XI.ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH XII.POSTANOWIENIA KOŃCOWE XIII.ZAŁĄCZNIKI Nie był wykorzystywany szablon

25.


Spis treści: Wstęp Rozdział I. Przepisy ogólne, definicje i objaśnienia. Gromadzenie danych osobowych, Obowiązek informacyjny, Rejestracja zbiorów danych osobowych, Powierzenie przetwarzania danych osobowych. Rozdział II. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Rozdział III. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Rozdział IV. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. Rozdział V. Sposób przepływu danych pomiędzy poszczególnymi systemami. Rozdział VI. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Dostęp do budynku i pomieszczeń, Gospodarka kluczami, Środki sprzętowe, informatyczne i telekomunikacyjne, Systemy informatyczne, Dane w rejestrach papierowych, Wynoszenie poza budynek Urzędu akt i dokumentacji, Zasady korzystania z komputerów przenośnych, na których są przetwarzane dane osobowe. Rozdział VII. Postanowienia końcowe.

55 31.5. 2013


26.


Polityka bezpieczeństwa danych osobowych 1. Postanowienia ogólne 2. Zasady przetwarzania danych osobowych 3. Zarządzanie zbiorami danych osobowych 4. Opis zdarzeń naruszających ochronę danych osobowych 5. Zasady postępowania w sytuacji naruszenia danych osobowych 6. Dopuszczenie osób do przetwarzania danych osobowych

40 15.4. 2014


199

7. Środki techniczne i organizacyjne niezbędne dla zapewnienia bezpieczeństwa przetwarzanych danych osobowych 8. Przepisy końcowe 9. 11 załączników (wykazy, wzory dokumentów) Instrukcja bezpieczeństwa danych osobowych 1. Postanowienia ogólne 2. Nadawanie uprawnień do przetwarzania danych osobowych, rejestrowanie i wyrejestrowanie użytkowników z systemu 3. Środki stosowane do uwierzytelnienia oraz procedury zarządzania identyfikatorami i hasłami 4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie 5. Tworzenie kopii zapasowych 6. Przechowywanie nośników informacji 7. Ochrona systemu informatycznego 8. Przeglądy, konserwacje systemu oraz nośników informacji 9. Monitorowanie dostępu do danych 10. Postanowienia końcowe

27.


Dokument główny, Instrukcje, Wzory dokumentów np.: raporty, formularze

50 1.2013 Tak

28.


Dokument główny plus załączniki: instrukcja zarządzania systemem informatycznym, formularze oświadczeń. upoważnień, rejestru zbiorów, rejestru osób upoważnionych. Nie korzystałem z szablonu. R.1 Postanowienia ogólne, R.2 Cel i zakres polityki, R.3 Organizacja przetwarzania danych osobowych, R.4 Środki techniczne i organizacyjne przetwarzania danych osobowych, R.5 Postanowienia końcowe.

40 27.12. 2011 Tak

29.


8 rozdziałów, 7 załączników 17 5.5.2015 Tak

30.


Rozdział 1. Postanowienia ogólne, zwierający: - słowniczek pojęć użytych w dokumencie, - opis zadań i obowiązków ADO, ABI, ASA, ADA (Administratorów Aplikacji przetwarzających dane osobowe), kierowników komórek organizacyjnych Urzędu, pracowników uprawnionych do pracy w aplikacjach i upoważnionych do przetwarzania danych osobowych, Rozdział 2. Polityka Bezpieczeństwa, na którą składają się procedury: - określone w §4. Rozporządzenia MSWiA z 29.4.2004r. (Dz.U. z 2004 r. Nr 100, poz. 1024), - postępowania w przypadku naruszenia ochrony danych osobowych, - szkolenia, - zgłoszenia zbiorów danych osobowych GIODO, Rozdział 3. Instrukcja Zarządzania Systemem Informatycznym, na którą składają się procedury: - określone w §5. Rozporządzenia MSWiA z 29.4.2004 r. (Dz.U. z 2004r. Nr 100, poz. 1024), - udostępniania danych osobowych, - systemu monitoringu wizyjnego, Postanowienia końcowe oraz spis załączników. Do stworzenia wyżej opisanej dokumentacji nie wykorzystywano żadnego szablonu.

52 30.6. 2014


31.


Nie mam dostępu do tego dokumentu 20 2014 Tak

200

32.


INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH Rozdział I. CZĘŚĆ OGÓLNA Rozdział II. ZASADY PRZYDZIAŁU HASEŁ DLA UŻYTKOWNIKÓW Rozdział III. PROCEDURY ROZPOCZĘCIA I ZAKOŃCZENIA PRACY PRZY KOMPUTERZE Rozdział IV METODY I CZĘSTOTLIWOŚĆ TWORZENIA KOPII AWARYJNYCH ORAZ SPOSÓB I CZAS ICH PRZECHOWYWANIA Rozdział V. SPOSÓB I CZAS PRZECHOWYWANIA NOŚNIKÓW INFORMACJI Rozdział VI. DOKONYWANIE PRZEGLĄDÓW I KONSERWACJI SYSTEMU I ZBIORU DANYCH OSOBOWYCH Rozdział VII. SPOSÓB POSTĘPOWANIA W ZAKRESIE ZWIĘKSZENIA BEZPIECZEŃSTWA SIECI KOMPUTEROWEJ

9 4.8.2009 Tak

33.


Polityka Bezpieczeństwa 80-90 2014 Tak

34.


Wytyczne GIODO 60 2014


35.


Dokument opracowany przez firmę zewnętrzną 32 26.2. 2015 Tak

36.


Dokument składa się z 8 rozdziałów oraz 15 załączników. Rozdziały: I – Opis zdarzeń, II – Zabezpieczanie danych, III – Procedury, IV – Kontrola, V – Postępowanie w przypadkach naruszeń, VI – Monitorowanie zabezpieczeń, VII – Inne uregulowania, VIII – Postanowienia końcowe. Dokument został przyjęty Zarządzeniem Wójta Gminy z 5.9.2013r.

41 2013 Tak

37.


Brak odpowiedzi na pytanie 35 2015 Tak

38.


Metryka dokumentu: Wprowadzenie Rozdział 1 Podstawa prawna Rozdział 2 Podstawowe definicje Rozdział 3 Obowiązki osób odpowiedzialnych za przetwarzanie danych osobowych Rozdział 4 Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe Rozdział 5 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Rozdział 6 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Rozdział 7 Sposób przepływu danych pomiędzy poszczególnymi systemami.

50 w trakcie opraco-wywania


201

Rozdział 8 Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

39.


-11 rozdziałów - korzystano z dostępnej literatury, własnej wiedzy i doświadczenia

150 31.10. 2014 Tak

40.


Polityka bezpieczeństwa informacji Instrukcja zarządzania systemem informatycznym Załączniki Wzorzec z ODO24

50 7.2014


41.


Polityka bezpieczeństwa składa się z 4 rozdziałów, przy tworzeniu korzystaliśmy z szablonu. 35 14.5.

2014

Nie, jest w całości niejawny

42.


Dokument składa się z dwóch głównych rozdziałów: "1. Polityka bezpieczeństwa" i "2. Instrukcja zarządzania systemem informatycznym" oraz załączników z wzorami dokumentów

21 brak infor-macji

Tak

43.


Polityka bezpieczeństwa danych osobowych składa się z siedmiu rozdziałów i załączników. Rozdział I-Wprowadzenie; Rozdział II-Organizacja bezpieczeństwa danych osobowych; Rozdział III-Podstawowe zasady związane z przetwarzaniem danych osobowych; Rozdział IV-Zasady przetwarzania danych osobowych i zarządzania zbiorami danych; Rozdział V-Bezpieczeństwo osobowe; Rozdział VI-Zasady postępowania w sytuacji naruszenia ochrony danych osobowych; Rozdział VII-Postanowienia końcowe. Ponadto dokument zawiera informacje określone w § 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), przedstawione w formie załączników do Polityki. Dokument został opracowany zgodnie z zaleceniami Generalnego Inspektora Ochrony Danych Osobowych określonymi w opracowaniu,,ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych"-Wydawnictwo Sejmowe, Warszawa 2007 r.

40 15.1. 2015 Tak

44.


Zarządzenie Wójta Gminy z dnia 9 grudnia 2008r. w sprawie wprowadzenia dokumentacji przetwarzania danych osobowych. Polityka bezpieczeństwa Urzędu Gminy -Wprowadzenie, - Ochrona danych osobowych - Zdarzenia naruszające ochronę danych osobowych - Kontrola przestrzegania zasad zabezpieczania danych osobowych - Postanowienia końcowe - Załączniki (Instrukcja w sprawie ochrony danych osobowych w systemach informatycznych - załącznik nr 1. Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych - załącznik nr 2.

146 16.1. 2015


202

Wykaz baz danych w systemach informatycznych, w których przetwarzane są dane osobowe – zał. nr 3. Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów – załącznik nr 4. Wykaz miejsc przetwarzania danych osobowych w systemach informatycznych - załącznik nr 5. Ewidencja pracowników upoważnionych do przetwarzania danych osobowych - załącznik nr 6. Zgłoszenie zbioru danych Generalnemu Inspektorowi Danych Osobowych – załącznik nr 7. Opis struktury zbiorów danych – załącznik nr 8. Sposób przepływu danych pomiędzy poszczególnymi systemami – załącznik nr 9. Określenie wykorzystanych środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych - załącznik nr 10. Procedury awaryjne – załącznik nr 11). Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych 1.Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazania osoby odpowiedzialnej za te czynności – zał. Nr 1, 2.Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem – zał. Nr 2, 3.Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu – zał. Nr 3, 4.Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania – zał. Nr 4, 5.Sposób, miejsce i okres przechowywania– zał. Nr5: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, 6.Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt. III ppkt 1 załącznika do Rozporządzenia MSWiA z 29.4. 2004 r. – zał. Nr 6, 7.Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia MSWiA z 29.4.2004 r. – zał. Nr 7, 8.Procedury dokonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych – zał. Nr 8, 9.Instrukcja korzystania z systemu teleinformatycznego – zał. Nr 9, 10.Sposób, zakres i tryb udostępniania danych zgromadzonych rejestrach publicznych – zał. Nr 10.

45.


Dokument zawiera 10 rozdziałów oraz 5 załączników. Przy tworzeniu PBI wykorzystywane były wzory udostępnione w sieci Internet.

34 27.2. 2015


46.


OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH ZABEZPIECZENIE DANYCH OSOBOWYCH KONTROLA PRZESTRZEGANIA ZASAD ZABEZPIECZENIA DANYCH OSOBOWYCH POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH

18 2005


203

47.


1. Dokument główny Polityka Bezpieczeństwa Informacji 2. Polityka Bezpieczeństwa Systemów Teleinformatycznych 3.Regulamin Użytkownika Systemów Teleinformatycznych 4.Polityka Bezpieczeństwa Danych Osobowych

23+10+ 16+8

19.5. 2015


48.


- zarządzenie - polityka bezpieczeństwa - 11 załączników

240

10.10. 2013 i załą-czniki na bieżąco

Tak

49.


zgodnie z wytycznymi Rozporządzenia w/s dokumentacji przetwarzania danych osobowych § 4, §5.

60 6.10. 2014


50.


PBI składa się z 6-ciu rozdziałów: 1. Informacje podstawowe. 2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar w którym przetwarzane są dane osobowe. 3. Zabezpieczenie przed naruszeniem obszaru przetwarzania danych osobowych. 4. Kontrola przestrzegania zasad zabezpieczenia systemu ochrony danych osobowych. 5. Postępowanie w przypadku naruszenia zabezpieczenia systemu ochrony danych osobowych. 6. Postanowienia końcowe. Skorzystałem z pomocy kolegi z ościennej gminy.

20 3.9.2013 Tak

51.


ROZDZIAŁ I Przepisy wstępne. ROZDZIAŁ II Obowiązki Administratora Bezpieczeństwa Informacji. ROZDZIAŁ III Ochrona danych osobowych. ROZDZIAŁ IV Środki ochrony. ROZDZIAŁ V Naruszenie ochrony danych osobowych. ROZDZIAŁ VI Postanowienia końcowe. Korzystałem z instrukcji GIODO.

16 26.6. 2013


52.


Brak podziału na rozdziały, układ paragrafów. 44 strony 1.2015 Tak

53.


PBI opracowane przez firmę zewnętrzną. Dostęp ograniczony tylko dla pracowników organizacji z uwagi na prawa autorskie.

60 2014 Tak

54.


1. Deklaracje kierownictwa 2. Zakres polityki bezpieczeństwa informacji i cele systemu zarządzania bezpieczeństwem informacji; 3. Podstawowe definicje; obowiązki ADO, ABI, ASI, pełnomocnika oraz zespołu ds. SZBI; 5. Informacje przetwarzane przez system informatyczny; 6. Analiza ryzyka i stosowane zabezpieczenia; 7. Opis zdarzeń naruszających ochronę danych; 8. Organizacyjne i techniczne środki ochrony przetwarzania danych 9. Organizacja obowiązku prowadzenia ewidencji i rejestrów wymaganych przez ustawodawcę;- dobre praktyki 10. Podstawy prawne.

100-120 2013


204

55.


Dokument składa się z dwóch paragrafów. W dokumencie określono: - obszar przetwarzania danych osobowych, - wykaz zbiorów danych osobowych (22 załączniki), - sposób przepływu danych pomiędzy systemami, - określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych, - ewidencję osób upoważnionych do przetwarzania danych osobowych.

87 8.9.2009 Tak

56.


Składa się z 26 paragrafów 21 1.7.2014 Tak

57.


Polityka bezpieczeństwa stanowi załącznik do zarządzenia Prezydenta Miasta w sprawie wprowadzenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym w Urzędzie Miasta. Składa się z 10 rozdziałów i 7 załączników

20 3.2015 Tak

58.


Zarządzenie Wójta 72 2014 Tak


Polityka składa się z 7 rozdziałów: postanowienia ogólne, przedsięwzięcia zabezpieczające przez naruszeniem ochrony danych osobowych, przetwarzanie danych osobowych, kontrola przestrzegania zasad zabezpieczenia danych osobowych, postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych, postępowanie w przypadku klęski żywiołowej lub sytuacji kryzysowej, postanowienia końcowe. Dokument opracowany był przez firmę zewnętrzną.

29 31.3. 2015


60.


Rozdziały: I. Obszar, w którym przetwarzane są dane osobowe II. Wykaz zbiorów danych osobowych III. Struktura zbiorów danych osobowych IV. Sposób przepływu danych pomiędzy poszczególnymi systemami V. Środki techniczne i organizacyjne niezbędne dla zapewnienia bezpieczeństwa przetwarzania danych

12 2007 Tak

61.


Kilka rozdziałów, na podstawie szablonu pozyskanego od audytora 22 2012


62.


Dokument opracowany został wg. indywidualnej koncepcji z uwzględnieniem zapisów ustawowych. 8 12.2012 Tak

63.


Składa się z IX rozdziałów została opracowana przez firmę zewnętrzną w ramach projektu. 31 1.4.2015 Tak

64.


Przy tworzeniu dokumentu nie korzystano z szablonu. Struktura i zawartość dokumentu zgodna z zapisami aktów wykonawczych do ustawy z 29.8.1997 r. o ochronie danych osobowych.

20 0\3.2013 Tak

65.


Polityka bezpieczeństwa składa się 5 rozdziałów, z 10 załączników. Przy opracowaniu korzystaliśmy z materiałów znalezionych w Internecie.

35 2006 Tak

205

66.


Brak odpowiedzi na pytanie. 19 2014 Tak

67.


Polityka bezpieczeństwa przetwarzania danych osobowych składa się z 8 rozdziałów i 8 załączników, dodatkowo uzupełniona jest instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych i stanowiskową instrukcją użytkownika systemu informatycznego, w którym przetwarzane są dane osobowe. Do opracowania wykorzystano kilka wzorów dostępnych w Internecie.

34 30.04. 2009 Tak

68.


14 rozdziałów 60 11.2014 Tak

69.


Dokument wprowadzony zarządzeniem Burmistrza. Składa się z sześciu rozdziałów: I - organizacja przetwarzania danych osobowych, II - opis zdarzeń naruszających ochronę danych osobowych, III - obowiązek informacyjny, IV - przekazywanie danych osobowych poza Urząd Miasta i Gminy, V - zabezpieczenie danych osobowych, VI - monitorowanie zabezpieczeń.

33 31.12. 2012 Tak

70.


Polityka składa się z 8 rozdziałów i przy jej opracowywaniu zaangażowani byli pracownicy zajmujący się na co dzień bezpieczeństwem informacji

11 6.3.2015


71.


Polityka bezpieczeństwa informacji składa się z III części: I wstęp II - Zasady przetwarzania i ochrony danych osobowych III - Postanowienia końcowe oraz z załączników: 1. Wykaz pomieszczeń w których przetwarzane są dane osobowe 2. Wykaz zbiorów danych osobowych 3. Upoważnienie do przetwarzania danych osobowych 4. Oświadczenie o zachowaniu w tajemnicy danych osobowych 5. Upoważnienie dla administratora bezpieczeństwa informacji 6. Ewidencja osób upoważnionych do przetwarzania danych osobowych 7. Wykaz udostępnień danych osobowych innym podmiotom 8. Wykaz podmiotów którym powierzono przetwarzanie danych osobowych 9. Wykaz udostępnień danych osobowych osobom których dotyczą

14 27.5.-2015 Tak

72.


Dokument wydany w formie zarządzenia Wójta Gminy, forma regulaminu. 20 2011 Tak

73.


Kilka rozdziałów, brak szablonu 42 2012 Tak

206

74.


Dokument główny opisujący procedury oraz załączniki w postaci formularzy i druków. Wdrożono przy udziale firmy zewnętrznej.

40 I kwartał 2015 Tak

75.


2 dokumenty: POLITYKA bezpieczeństwa przetwarzania danych osobowych z załącznikami INSTRUKCJA zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych z załącznikami

25 28.11.2013


76.


Dokument główny plus 3 załączniki 40 11.2014


77.


Brak odpowiedzi na pytanie. 30 7.1.2015 Tak

78.


1. „Polityka bezpieczeństwa” określa tryb postępowania w przypadku, gdy: 1) stwierdzono naruszenie zabezpieczeń systemu informatycznego, 2) stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci informatycznej mogą wskazywać na naruszenie zabezpieczeń tych danych. Utworzona na podstawie szablonu.

12 31.12. 2008 Tak

79.


Zarządzenie + załączniki 11 2012


80.


Ze sprawdzonego w innej jednostce szablonu. 31 24.6. 2014 Tak

81.


Opracowano instrukcję zarządzania systemem informatycznym przetwarzającym dane osobowe. 15 10.3.

2015 Tak

82.


Polityka bezpieczeństwa przetwarzania danych osobowych oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (struktura dokumentu według wytycznych GIODO)

8+10=18 8.2015


83.


Zarządzenie Burmistrza Miasta wraz z załącznikami. Zał. 1 Polityka bezpieczeństwa danych osobowych przetwarzanych w Urzędzie Miasta (5 rozdziałów). Zał. 2 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w urzędzie (13 rozdziałów)

32 22.5. 2014 Tak

84.


Zarządzenie Wójta Gminy z 27.6.2014 r. w sprawie ochrony danych osobowych w Urzędzie Gminy. Załącznik nr 1. – Polityka bezpieczeństwa Struktura Polityki bezpieczeństwa: I. Wstęp II. Postanowienia ogólne 1. Definicje 2. Cel 3. Zakres stosowania

32 27.6. 2014 Tak

207

4. Punkt Potwierdzenie profili zaufanych III. Organizacja przetwarzania danych osobowych 1. Administrator danych osobowych 2. Administrator bezpieczeństwa informacji 3. Administrator systemu 4. Pracownik Urzędu zatrudniony na stanowisku właściwym ds. kadrowych 5. Osoba upoważniona do przetwarzania danych osobowych IV. Infrastruktura przetwarzania danych osobowych 1. Obszar przetwarzania danych osobowych 2. Zbiory danych V. Opis struktury danych wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz opis sposobu przepływu danych pomiędzy poszczególnymi systemami VI. Strategia zabezpieczenia danych osobowych (określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych) 1. Bezpieczeństwo osobowe 2. Strefy bezpieczeństwa 3. Zabezpieczenie sprzętu 4. Zabezpieczenia we własnym zakresie 5. Postępowanie z nośnikami i ich bezpieczeństwo 6. Wymiana danych i ich bezpieczeństwo 7. Kontrola dostępu do systemów 8. Kontrola dostępu do sieci 9. Komputery przenośne i praca na odległość 10. Monitorowanie dostępu do systemu i jego użycia 11. Przeglądy okresowe zapobiegające naruszeniom obowiązku szczególnej staranności administratora danych 12. Udostępnianie danych osobowych 13. Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych VII. Przeglądy polityki bezpieczeństwa i audyty systemu VIII. Postanowienia końcowe Załącznik nr 1 do Polityki Bezpieczeństwa – Ewidencja osób upoważnionych do przetwarzania danych osobowych w zbiorze „e- PUAP- profil” Załącznik nr 2 do Polityki Bezpieczeństwa – Wzór upoważnienia do przetwarzania danych osobowych w zbiorze "e-PUAP-profil"

85.


POSTANOWIENIA OGÓLNE DEFINICJE I POJĘCIA ZAWARTE W POLITYCE OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH AKTUALIZACJA DOKUMENTACJI ZWIĄZANEJ Z OCHRONĄ DANYCH OSOBOWYCH ZARZĄDZANIE OCHRONĄ DANYCH OSOBOWYCH ODPOWIEDZIALNOŚĆ ADMINISTRATORA DANYCH OSOBOWYCH ODPOWIEDZIALNOŚĆ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ODPOWIEDZIALNOŚĆ ADMINISTRATORA SYSTEMÓW INFORMATYCZNYCH ODPOWIEDZIALNOŚĆ WŁAŚCICIELI ZASOBÓW DANYCH OSOBOWYCH ODPOWIEDZIALNOŚĆ PRACOWNIKÓW I UŻYTKOWNIKÓW SYSTEMU ODPOWIEDZIALNOŚĆ ZA NARUSZENIE ZASAD OCHRONY DANYCH OSOBOWYCH SZKOLENIA

31 15.12. 2014 Tak

208

ZASADY SZCZEGÓLNEJ STARANNOŚCI MIEJSCA I POMIESZCZENIA PRZEZNACZONE DO PRZETWARZANIA DANYCH OSOBOWYCH UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH EWIDENCJA OSÓB UPOWAŻNIONYCH ZBIORY DANYCH OSOBOWYCH - REJESTRACJA W BIURZE GIODO UDOSTĘPNIANIE DANYCH OSOBOWYCH – ZASADY, PROCEDURY ODMOWA UDOSTĘPNIENIA DANYCH POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH ZASADY POSTĘPOWANIA W PRZYPADKU NARUSZENIA LUB PODEJRZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH ZBIORY DANYCH OSOBOWYCH OCHRONA DANYCH OSOBOWYCH W ZBIORACH NIEINFORMATYCZNYCH KONTROLE PROWADZONE PRZEZ GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH POSTANOWIENIA KOŃCOWE Załączniki do Polityki bezpieczeństwa przetwarzania danych osobowych Załącznik nr 1 – Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Załącznik nr 2 – Upoważnienie do przetwarzania danych osobowych. Załącznik nr 3 – Oświadczenie pracownika. Załącznik nr 4 – Wykaz zawartych umów o powierzeniu przetwarzania danych osobowych. Załącznik nr 5 – Ewidencja osób upoważnionych do przetwarzania danych osobowych, Załącznik nr 6 – Ewidencja zbiorów przetwarzanych danych osobowych. Załącznik nr 7 – Raport z naruszenia ochrony danych osobowych.

86.


Polityka składa się z deklaracji kierownictwa, 12 rozdziałów i 10 załączników. Łącznie 58 stron. Instrukcja składa się z 9 rozdziałów bez załączników, łącznie 13 stron.

71 9.6.2015 Tak

87.


1. Podstawy prawne 2. Najważniejsze zagadnienia ochrony danych osobowych 3. Zagrożenia bezpieczeństwa 4. Polityka bezpieczeństwa 5. Instrukcja Zarządzania systemem informatycznym - zał. nr 1- Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych - zał. nr 2- wykaz budynków, pomieszczeń lub części pomieszczeń w których przetwarzane są dane osobowe - zał. 3. Ewidencja osób upoważnionych

45 2013 Tak

88.


Brak odpowiedzi na pytanie. 35 15.10. 2014 Tak

89.


Polityka bezpieczeństwa 1. Deklaracja 2. Wykaz zbiorów osobowych 3. Wykaz miejsc przetwarzania

20 1.6.2015 Tak

209

4. Opis struktury zbiorów osobowych 5. Sposób przepływu danych między systemami 6. Ewidencja osób upoważnionych 7. Środki organizacyjne ochrony danych osobowych 8. Środki techniczne – ochrona fizyczna. 9. Środki techniczne – infrastruktura informatyczna 10. Środki techniczne programy i bazy danych 11. Zadania administratora bezpieczeństwa informacji. 12. Zadania administratora systemu informatycznego.

90.


Polityka składa się z 12 rozdziałów: Wstęp I. Definicje podstawowe II. Wykaz zbiorów danych osobowych III. Wykaz miejsc przetwarzania danych osobowych IV. Opis struktury zbiorów danych V. Sposób przepływu danych pomiędzy poszczególnymi systemami VI. Środki organizacyjne ochrony oraz zasady przetwarzania danych osobowych VII. Techniczne środki ochrony przetwarzanych danych osobowych VIII. Zasady postępowania w razie wykrycia naruszenia zasad bezpieczeństwa ochrony danych osobowych IX. Monitoring wizyjny X. Aktualizacja Polityki Bezpieczeństwa XI. Odpowiedzialność karna XII. Postanowienia Końcowe Dokument tworzony na podstawie wytycznych GIODO

34 9.12.2 014


91.


VIII rozdziałów 43 2013 Tak

92.


Składa się z 8 rozdziałów. 17 5.2015


93.


Zarządzenie i załączniki. 21 16.11. 2011 Tak

94.


9 rozdziałów: 1. Wprowadzenie, 2. Definicje, 3. Obszar przetwarzania danych osobowych, 4. Wykaz zbiorów danych osobowych przetwarzanych w sys. inf., 5. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności danych przetwarzanych w sys., 6. Opis zdarzeń naruszających ochronę danych osobowych, 7. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia sys. inf., 8. Procedura postępowania w przypadku naruszenia ochrony danych osobowych.

14 27.4. 2012 Tak

95.


Kierowaliśmy się dokumentami innych urzędów oraz Systemem Prawnym LEX 10 21.5.

2015


210

96.


STRUKTURA: Polityka Bezpieczeństwa Informacji (s25) • Załącznik nr 1 Polityka przetwarzania danych osobowych (s. 25) z 3 załącznikami 1. Załącznik nr 1: Ewidencja osób upoważnionych do przetwarzania danych osobowych 2. Załącznik nr 2: Upoważnienia imienne do przetwarzania danych osobowych 3. Załącznik nr 3: Oświadczenie o zaznajomieniu się z przepisami dotyczącymi ochrony danych osobowych • Załącznik nr 2 Instrukcja Zarządzania Systemami Informatycznymi (s. 14) z 3 załącznikami 1. Załącznik nr 1: Protokół przekazania użytkownikowi systemu informatycznego identyfikatora i hasła 2. Załącznik nr 2: Dziennik wykonanych kopii zabezpieczających 3. Załącznik nr 3: Raport z naruszenia bezpieczeństwa • Załącznik nr 3 :Analiza ryzyka (s. 34)

98 15.5. 2015 Tak

97.


System zarządzania bezpieczeństwem informacji elektronicznej Polityka bezpieczeństwa - ochrony danych osobowych Instrukcja zarządzania systemem Instrukcja postępowania w sytuacjach naruszenia ochrony danych - załącznik

11/7 23. 4. 2014 Tak

98.


Dotyczy zarówno ochrony danych osobowych oraz bezpieczeństwa systemów informatycznych, jako zarządzenie burmistrza.

40 2014


99.


Zarządzenie Wójta w sprawie wprowadzenia instrukcji zarządzania systemem informatycznym. 11 rozdziałów. Bez szablonu.

26 2012 Tak

100.


Polityka została przygotowana przy pomocy firmy zewnętrznej. 80 2014


101.


Polityka bezpieczeństw informacji składa się z 7 rozdziałów i 5 załączników oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

51 7.4.2014


102.


Główny dokument: PSZBI –Polityka Systemu Zarządzania Bezpieczeństwem Informacji, w skład którego wchodzi: Załącznik1 Polityka Bezpieczeństwa Informacji: Zał. 1. – Wykaz zbiorów danych osobowych Zał. 2. – Struktura baz danych osobowych Zał. 3. – Sposób przepływu danych pomiędzy poszczególnymi systemami Zał. 4. – Rejestr incydentów Zał. 5. – Zakres kontroli (audyt) ochrony danych osobowych Zał. 6. – Przegląd stanu bezpieczeństwa danych osobowych

100 2.3.2015


211

Zał. 7. – Mapa sieci Zał. 8. – Oświadczenie znajomości zasad bezpieczeństwa przetwarzania danych Zał. 9. – Upoważnienie Zał. 10. – Instrukcja Rejestracji u GIODO i nadawanie uprawnień dostępu do Zbiorów Danych Osobowych Zał. 10.1. Oświadczenie Zał. 10.2. Wniosek o wydanie upoważnienia Zał. 10.3. Wniosek o cofnięcie upoważnienia Załącznik nr 2 Instrukcja Zarządzania Systemami Informatycznymi: Zał. 1. Regulamin korzystania z Sieci LAN/WAN przez pracowników UM Zał. 2. Zasady użytkowania sprzętu komputerowego przez pracowników UM Zał. 3. Zasady udzielania pomocy użytkownikom sprzętu komputerowego w UM Zał.4. Procedura nadzoru nad sprzętem informatycznym w UM. Zał.4.1. Karta ewidencyjna sprzętu informatycznego Zał.4.2. Karta oprogramowania Zał.4.3. Protokół stanu technicznego sprzętu informatycznego Zał.4.4. Protokół przeglądu legalności oprogramowania Zał.4.5. Protokół likwidacji nośników oprogramowa Zał.4.6. Rejestr kopii zapasowych Zał. 5. Zgłoszenie naruszenia bezpieczeństwa systemu informatycznego Zał. 6. Wniosek o nadanie /modyfikację / odebranie uprawnień w systemie informatycznym Zał. 7. Rejestr użytkowników i ich uprawnień Zał. 8. Porozumienie informatyczne Załącznik nr 3 Polityka Zarządzania Oprogramowaniem Zał.1. Porozumienie Zał.2. Zasady korzystania z oprogramowania Zał.3. Protokół wydania nośników/ licencji Zał.4. Metryka PC Zał.5. Protokół przekazania sprzętu Zał.6. Lista kontrolna wprowadzenia nowego oprogramowania

103.


Zarządzenie Wójta Gminy 1. Załącznik nr 1 – Polityka bezpieczeństwa ochrony danych osobowych 2. Załącznik nr 2 – Instrukcja zarządzania systemem informatycznym

16 20.1. 2015


104.


I. Postanowienia ogólne II. Definicje III. Sposób i zakres udostępniania dokumentu IV. Wykaz miejsc stanowiących obszar przetwarzania danych osobowych V. Wykaz zbiorów osobowych i programów służących do ich przetwarzania VI. Określenie środków organizacyjnych i technicznych niezbędnych do zapewnienia rozliczalności, integralności i poufności przetwarzanych danych Zał. A Miejsca przetwarzania danych osobowych Zał. B Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Zał. C Opis struktury zbiorów danych Zał. D Programy przetwarzające dane osobowe

17 31.7. 2014 Tak

212

105.


Dokument został opracowany przez firmę 28 1.7.2014


106.


Wprowadzenie Rozdział I – Zabezpieczenie danych osobowych Rozdział II – Kontrola przestrzegania zasad bezpieczeństwa danych osobowych Rozdział III – Opis zdarzeń naruszających ochronę Rozdział IV – Postępowanie w przypadku naruszenia ochrony d.o. Rozdział V – Postanowienia końcowe załączniki: 1) wykaz budynków UG, w których przetwarzane sa d.o 2) wykaz zbiorów danych oraz programy zastosowane do przetwarzania tych danych 3) struktura zbiorów zawierających d.o podlegające ochronie 4) zabezpieczenie danych przetwarzanych w systemach informatycznych i systemów służących do pracy z d.o. podlegającymi ochronie 5) tabela form naruszeń bezpieczeństwa danych 6) wzór raportu z naruszenia bezpieczeństwa zbiorów danych 7) procedura zarządzania kluczami w UG

27 2015


107.


Zawiera określone w ustawie wymogi, opracowana została przez pracownika urzędu 30 11.8.

2011


108.


Zgodnie z ustawą ODO. 126 2011



PBI składa się z 7 rozdziałów. 60 4.2015 Tak

110.


Zarządzenie posiadające dwa załączniki: 1 - polityka bezpieczeństwa danych osobowych, 2 instrukcja zarządzania systemem informatycznym.

52 2014


111.


Rozdziały Polityki bezpieczeństwa: Obowiązki Administratora Danych Osobowych i Administratora Bezpieczeństwa Informacji; Wykaz budynków, pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; Wykaz zbiorów danych osobowych; Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych itp. Wykorzystano szablony i opracowania otrzymane od zewnętrznych firm

50 6.2015


112.


Polityka bezpieczeństwa składa się m.in z: Informacji ogólnych; organizacji przetwarzania danych osobowych; Wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; Wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych

60 1.4.2014


213

do przetwarzania tych danych; Opisu struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między nimi, Sposobu przepływu danych pomiędzy poszczególnymi systemami; Strategii zabezpieczenia danych osobowych określająca środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych; Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

113.


Korzystałem ze wzorców 60 2010


114.


Rozdział 1: Postanowienia ogólne Rozdział 2: Słownik pojęć Rozdział 3: Obszary przetwarzania danych osobowych oraz poziomy bezpieczeństwa Rozdział 4: Wykaz zbiorów danych, ich struktura oraz sposoby ich przepływu Rozdział 5: Środki techniczne i organizacyjne służące bezpiecznemu przetwarzaniu danych osobowych Rozdział 6: Zdarzenia naruszające ochronę danych osobowych Rozdział 7: Postanowienia końcowe Załącznik nr 1: Wzór upoważnienia osoby do dostępu i/lub przetwarzania dane osobowych Załącznik nr 2: Wzór rejestru osób upoważnionych do dostępu i/lub przetwarzania danych osobowych Załącznik nr 3: Szczegółowy wykaz pomieszczeń wraz z bazami osobowymi oraz oprogramowaniem do ich przetwarzania Załącznik nr 4: Instrukcja postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych

27 6.2014


115.


Szablon otrzymany z firmy zew. (aktualnie trwa wdrożenie nowej polityki bezpieczeństwa) 10 2015


116.


15 rozdziałów 26 3.4.2014


117.


8 rozdziałów, tak korzystaliśmy ze wzorów, 22 12.2010


118.


Polityka Bezpieczeństwa Przetwarzania Danych Osobowych zawiera 21 rozdziałów i 9 załączników. Przy opracowaniu nie korzystano z żadnego szablonu

1000 23.10.2014 Tak

214

119.


Dokument składa się z VII rozdziałów. 25 2014 Tak

120.


Szablon z firmy szkoleniowej 5 2005 Tak

121.


Brak odpowiedzi na pytanie 150 Brak odpo-wiedzi

Tak

122.


Składa się z 10 rozdziałów. Rozdział 1. Opis zdarzeń naruszających ochronę danych osobowych. Rozdział 2. Zabezpieczenie danych osobowych Rozdział 3. Kontrola przestrzegania zasad zabezpieczenia danych osobowych. Rozdział 4. Praca w systemach informatycznych Rozdział 5. Postępowanie w przypadku naruszenia zasad ochrony danych osobowych Rozdział 6. Monitorowanie zabezpieczeń. Rozdział 7. Szkolenia Rozdział 8. Niszczenie wydruków i zapisów na nośnikach magnetycznych. Rozdział 9. Archiwizacja danych. Rozdział 10. Postanowienia końcowe PRZY TWORZENIU DOKUMENTU KORZYSTANO Z SZABLONU.

44 2014


123.


Polityka Bezpieczeństwa Informacji (8 rozdziałów) Instrukcja Zarządzania Systemem Informatycznym (10 rozdziałów) Dokumentacja opracowana w ramach projektu

53 9.2014


124.


Polityka przetwarzania danych osobowych składa się z sześciu rozdziałów: I. Postanowienia ogólne, II. Zabezpieczenie pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, III. Wykaz zbiorów danych osobowych, IV. Opis struktury zbiorów, V. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych, V. Znajomość Polityki Bezpieczeństwa Przetwarzania Danych Osobowych. Polityka Bezpieczeństwa zawiera trzy załączniki: 1. wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, 2. Wykaz zbiorów danych osobowych, 3. Struktura zbiorów d.o. oraz powiązania między zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami

23 Brak odpo-wiedzi

Tak

125.


Cel i zakres Podstawy prawne Definicje Cele i strategia bezpieczeństwa Opis zdarzeń naruszających ochronę danych Informacje przetwarzane przez system informacyjny Urzędu Odpowiedzialność za bezpieczeństwo informacji Zakres stosowania polityki Zakres rozpowszechniania Wykaz budynków Wykaz zbiorów danych Spis systemów informatycznych

39 18.2. 2015 Tak

215

Organizacyjne i techniczne środki ochrony Sposób przepływu danych pomiędzy systemami Załączniki

126.


Dokument przetwarzania danych jest dokumentem wewnętrznym, dostępnym dla osób przetwarzających dane osobowe w naszym urzędzie.

Brak odpo-wiedzi

2015



Polityka bezpieczeństwa informacji w zakresie przetwarzania danych osobowych zawiera: 1) postanowienia ogólne, 2) definicje, 3) miejsca przetwarzania danych, wykaz zbiorów danych osobowych, wykaz oprogramowania stosowanego przy przetwarzaniu danych osobowych, 4) sposób przepływu informacji pomiędzy systemami, 5) środki techniczne ochrony danych, 6) zasady dostępu do informacji, 7) zarządzanie danymi osobowymi, 8) zakresy odpowiedzialności, 9) wymagania odnośnie systemów do przetwarzania danych osobowych, 10) zasady archiwizowania i brakownia dokumentów. Instrukcja zarządzania systemami informatycznymi: 1) postanowienia ogólne, 2) procedury nadawania uprawnień, 3) metody i środki uwierzytelniania, 4) procedury rozpoczęcia, zawieszenia i zakończenia pracy, 5) procedury tworzenia kopii zapasowych, 6) sposób i miejsce przechowywania elektronicznych informacji, 7) sposób zabezpieczania systemu przed nieuprawnionym dostępem, 8) procedury wykonywania przeglądów systemów, Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych

30 31.12. 2013


128.


Rozdział I Postanowienia ogólne; Rozdział II Przedsięwzięcia zabezpieczające przed naruszeniem ochrony danych osobowych; Rozdział III Przetwarzanie danych osobowych; Rozdział III Kontrola przestrzegania zasad zabezpieczenia ochrony danych osobowych; Rozdział IV Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych; Rozdział Postępowanie w wypadku klęski żywiołowej; Rozdział XIV Postanowienia końcowe. Oraz 4 załączniki.

24 2012


129.


Dokument z załącznikami, 7 rozdziałów 17 11.2014 Tak

130.


Dokument składa się z pięciu rozdziałów oraz 12 załączników. 30 11.2014 Tak

131.


ROZDZIAŁ I Postanowienia ogólne ROZDZIAŁ II Organizacja przetwarzania danych osobowych ROZDZIAŁ III Obowiązek informacyjny ROZDZIAŁ IV Przekazywanie danych osobowych poza obszar Urzędu ROZDZIAŁ V Postanowienia końcowe

47 22.10. 2014 Tak

216

132.


9 rozdziałów i 8 załączników 120 2.2015


133.


Polityka bezpieczeństwa składa się z VII rozdziałów, opracowanie polityki bezpieczeństwa zostało zlecone firmie zewnętrznej.

25 Brak odpo wiedzi

Tak

134.


Polityka składa się z 6 rozdziałów Przy tworzeniu dokumentu korzystano z "wytycznych w zakresie opracowania i wdrożenia polityki bezpieczeństwa" udostępnionej na stronie internetowej GIODO

28 12.3.2015


135.


1. Cel i zakres Polityki; 2. Informacje wstępne; 3. Odpowiedzialność; 4. Wykaz zbiorów danych osobowych; 5. Obszar przetwarzania danych osobowych; 6. System zabezpieczeń danych osobowych; 7. Przeglądy i aktualizacje Polityki; 8. Postanowienia końcowe; 9. Załączniki Polityka była napisana przez pracownika urzędu wzorującego się na przykładowym wzorze ze szkolenia.

20 2008 Tak

136.


Zarządzenie Wójta Gminy wraz z dwoma załącznikami: Zał. 1 – Polityka Bezpieczeństwa przetwarzania danych osobowych. Zawiera 6 rozdziałów: ROZDZIAŁ I Postanowienia ogólne ROZDZIAŁ II Wykaz osób odpowiedzialnych ROZDZIAŁ III Rejestry i wykazy dotyczące przetwarzania danych osobowych ROZDZIAŁ IV Środki techniczne i organizacyjne służące zapewnieniu poufności, integralności i rozliczalności przetwarzania danych ROZDZIAŁ V Zasady postępowania z nośnikami danych oraz komputerami przenośnymi ROZDZIAŁ VI Zasady i tryb zgłaszania zbioru danych osobowych do GIODO Zał. 2 – Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zawiera: 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkiem, 3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5. sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych, 6. metodę i częstotliwość sprawdzania obecności wirusów komputerowych oraz metodę ich usuwania, 7. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,

41 2.2015


217

8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

137.


Według zaleceń Ustawy ok 60 2013 Tak

138.


Zawiera zarządzenie z załącznikami w tym politykę bezpieczeństwa informacji, powołanie ABI, instrukcją zarządzania systemem informatycznym, instrukcją zarządzania zbiorami z wymogami bezpieczeństwa oraz postepowaniem w przypadku naruszenia ochrony danych osobowych.

20 31.12. 2014 Tak

139.


11 rozdziałów, korzystaliśmy z innych wzorów 37 13.4. 2006


140.


Składa się z rozdziałów: I. Postanowienia ogólne II. Przedsięwzięcia zabezpieczające przed naruszeniem ochrony danych osobowych III. Przetwarzanie danych osobowych IV. Kontrola przestrzegania zasad bezpieczeństwa danych osobowych V. Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych VI. Postępowanie w wypadku klęski żywiołowej VII. Postanowienia końcowe

30 5.2015 Tak

141.


Dokument został przygotowany przez firmę zewnętrzną 53 6.2015


218

ZAŁĄCZNIK 3 - WYKAZ SKRÓTÓW

ang. – język angielski/z języka angielskiego

art. – artykuł

Dz.U. – Dziennik Ustaw

in. – inni

KK – Kodeks karny

m. in. – między innymi

n. – następny

np. – na przykład

Nr – numer

por. – porównaj

poz. – pozycja

PrTelekom2000 – ustawa z 21.7.2000 r. — Prawo telekomunikacyjne (Dz.U. z 2000 r. Nr 73, poz. 852)

r. – rok

red. – redakcja

ROWDN - Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z 8.8.2011 r. w sprawie obszarów wiedzy, dziedzin nauki i sztuki oraz dyscyplin naukowych i artystycznych (Dz.U. z 2011 r. Nr 179, poz. 1065)

RozpKRI – Rozporządzenie Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t. jedn.: Dz.U. z 2016 r. poz. 113)

RP – Rzeczpospolita Polska

s. – strona

t. – tom

t. jedn. – tekst jednolity

UoAR – ustawa z 5.6.1998 r. o administracji rządowej (Dz.U. 1998 Nr 91, poz. 577 ze zm.)

219

UoIDPP – ustawa z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t. jedn.: Dz.U. z 2014 r. poz. 1114)

UoODO – ustawa z 29.8.1997 r. o ochronie danych osobowych (t. jedn.: Dz.U. z 2015 r. poz. 2135)

UoSG – ustawa z 8.3.1990 r. o samorządzie gminnym (t. jedn.: Dz.U. z 2015 r. poz. 1515)

UoSP – ustawa z 5.6.1998 r. o samorządzie powiatowym (t. jedn.: Dz.U. z 2015 r. poz. 1445)

UoSUDE – ustawa z 18.7.2002 r. o świadczeniu usług drogą elektroniczną (t. jedn.: Dz.U. z 2013 r. poz. 1422)

UoSW – ustawa z 5.6.1998 r. o samorządzie województwa (t. jedn.: Dz. U. z 2015 r. poz. 1392)

UoWZTPT – ustawa z 24.7.1998 r. o wprowadzeniu zasadniczego trójstopniowego podziału terytorialnego państwa (Dz.U. z 1998 r. Nr 96, poz. 603)

UoZUTI – ustawa z 4.9.2008 r. o zmianie ustaw w celu ujednolicenia terminologii informatycznej (Dz.U. z 2008 r. Nr 171, poz. 1056)

w. – wiek

z. – zeszyt

zm. – zmiany

zob. – zobacz

cyberbezpieczeństwo administracji publicznej w polsce

Documents