Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
30
1.Wprowadzeniedoochronyinformacji
informacji,coznajdujeswójwyrazm.in.wróżnychpublikacjachdotyczącychtema-
tykipodatności,dostrzeganesąprzedewszystkimpodatnościzwiązanezoprogra-
mowaniemorazsprzętemkomputerowym
36
,naktórymtooprogramowaniedziała.
Informacjeprzedstawionewdalszejczęścirozdziałutakżedotyczątylkotejperspek-
tywy.Należyjednakpamiętać,żeosobaodpowiedzialnazabezpieczeństwo,również
towwydaniuinformacyjnym,powinnadostrzegaćpełne,definicyjnespektrumpo-
datności,anietylkote,któremająwpływnapowodzenieatakówzdalnychnazasoby
informacyjneorganizacji(nazywanychczęstocyberatakami).Przytakimzawężonym
postrzeganiułatwoprzeoczyćnaprzykładryzykowłamaniadoobiektóworganizacji
ikradzieżysprzętukomputerowegooraznośnikówdanychlubryzykosabotażu.
Przykład1.I
Wtejksiążcejestużywanepojęciezasobu.Podtymterminemnależyrozumieć:
–
zasobyinformacyjne(bazydanychiplikizdanymi,kontraktyiumowy,doku-
mentacjesystemowe,informacjebadawcze,podręcznikiużytkownika,materiały
szkoleniowe,proceduryoperacyjneiwspierające,planyciągłościdziałania,pla-
nyodtworzeniowe,śladyaudytoweorazinformacjezarchiwizowane),
–zasobyprogramowe(aplikacje,oprogramowaniesystemowe,narzędziarozwojo-
weitp.),
–
zasobyfizyczne(sprzętkomputerowy,urządzeniakomunikacyjne,nośniki
wymienneiinneurządzeniaorazmeblebiurowe),
–zasobyinfrastrukturalne(ogrzewanie,oświetlenie,zasilanie,klimatyzacja).
WnormachseriiISO/IEC270xxjestnatomiastużywanyterminaktywadefinio-
wany37następująco:
1)
aktywa−wszystko,comawartośćdlaorganizacji;istniejewieletypówaktywów,
wtym:
a)aktywainformacyjne;
b)oprogramowanie,takiejakprogramkomputerowy;
c)fizyczne,takiejakkomputer;
d)usługi;
e)personelorazjegokwalifikacje,umiejętnościidoświadczenie;
f)wartościniematerialne,takiejakreputacjaiwizerunek;
2)aktywainformacyjne−wiedzalubdane,któremająwartośćdlaorganizacji.
Jakmożnazauważyć,terminaktywamaszerszyzakres(punktyd–f)niżzasobyiwza-
sadzieodpowiadaelementomwymienionymwdefinicji1.4,któremogąbyćpodatne.
36
Przyczymchodzitunietyleoawariesprzętowe(np.przepaleniekondensatoranapłyciegłównej
komputera),coobłędywkonfiguracjisprzętu−podatnościsprzętowebędąposzukiwanegłówniewplikach
konfiguracyjnych.
37
PN-ISO/IEC27000:2014-1:Technikainformatyczna.Technikibezpieczeństwa.Systemyzarządzania
bezpieczeństweminformacji.Przegląditerminologia.