Диссертация (1152266), страница 36

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 36)

С 2009 года растет интерес ксертификату ISO/IEC (рисунок 4.15).Указанные данные демонстрируют растущий интерес к сертификации вгосударственной администрации. Особенно компаниями, заинтересованными вприобретении сертификата квалифицированной электронной подписи, котораяиспользуется в реализации электронных услуг.214250228212200177150137961006647509192902004200520062007200820092010201120122013Рисунок 4.15 - Реализованные сертификаты ISO/IEC в ПольшеИсточник [337]Исследования показывают, что новые технологии и услуги являютсяведущими отраслями в использовании сертификации (рисунок 4.16).6272711Новые технологииУслугиАдминистрацияПромышленностьРисунок 4.16 - Распределение полученных сертификатов в промышленностиИсточник: [337]В каждой организации существуют различные типы информации, котораядолжна быть защищена в интересах организации и в соответствии с законом.Основной набор информации данной организации является открытым и относитсяко всем проблемам, связанным с ее функционированием.

Любая информациявосприимчива к угрозам или неблагоприятным изменениям.215Целью действий в области защиты и обеспечения безопасности информациив организации является достижение такого организационно-технического уровня,который:позволяет обеспечить конфиденциальность защищаемой информации;обеспечит интегральность защищаемых и открытых информаций, а такжедоступность к ним;обеспечиттребуемыйуровеньбезопасностиобрабатываемойинформации;максимально ограничит появление угроз для безопасности информации;обеспечит правильную и безопасную эксплуатацию систем обработкиинформации;Вобеспечит готовность к принятию действий в кризисных ситуациях.действующемнациональномстандартеPN-ISO/IEC17799:2007(Информационная техника - Техники безопасности - Практические правилауправления безопасностью информации) представлен минимум содержаниядокумента политики безопасности информации PBI и записано, что он долженсодержать:определение безопасности информации, ее цель и масштаб, а такжеважность защиты информации как механизма совместного употребленияинформации;заявление о намерениях руководящих учреждений, подтверждающее целии принципы безопасности информации в учреждениях;краткое объяснение политики безопасности информации PBI, принципов,стандартов и требований, относящихся к совместимости, имеющих особоезначение для учреждений;определениеобщихиконкретныхобязанностейпоуправлениюбезопасностью информации, в том числе отчетности случаев нарушениябезопасности;ссылкинадокументацию,безопасности информации PBI.являющуюсядополнениемполитики216Есть несколько национальных стандартов по безопасности информации:PN-I-13335-1:1999предоставляетруководствопоуправлениюбезопасностью информационных систем, а также определения понятий и моделибезопасности компьютерных систем;ISO/IEC TR 13335-2:2003 относится к управлению и планированиюбезопасности компьютерных систем;ISO/IEC TR 13335-3:2003 содержит техники управления безопасностьюкомпьютерных систем;ISO/IEC17799:2003содержитпрактическиеправилауправлениябезопасностью информации;PN-I-07799-2:2005 относится к системам управления безопасностьюинформации, а также включает спецификацию и принципы их использования (какBS 7799-2:2002).К используемым международным стандартам по безопасности информациипринадлежат:ISO/IEC Guide 73:2002 Risk management - Vocabulary - Guidelines for use instandards;ISO/IEC 13335-1: 2004 Guidelines for the management of IT Security - Part 1:Concepts and models for information and communications technology securitymanagement;ISO/IEC17799:2005„CodeofPracticeforInformationSecuritysecuritymanagementsystemsManagement”.Подготовлены проекты следующих стандартов:ISO/IECFDIS27001:„InformationRequirements” (наоснове BS 7799-2:2002);ISO/IEC 1st CD 13335-2: Information technology – Security techniques —Management of information and communications technology security — Part 2:Techniques for information and communications technology security risk management.2174.4.2.

Выбор модели информационной безопасности и обязанностиадминистратора данныхСуществуют три модели информационной безопасности: Модель I, МодельII и Модель III (рисунок 4.17).Характерные черты Модели I:небольшие организации;без проекта политики безопасности;одноразовый проект;минимальные финансовые затраты;защита информации по принципу «немедленных действий».Модель IIIСистема управления безопасностьюинформации ISMSМодель IIПолитика безопасности сэлементами ISMSМодель IISMS – минимальныетребованияМетодики основаны на широко признанных стандартахo ведения аудита (просмотр безопасности)o управления рискомo управления проектомРисунок 4.17 - Модели безопасности информацииИсточник: [288]Характерные черты Модели II:организации всех размеров;присутствуют элементы политики безопасности;управление рисками;управление безопасностью (планирование, реализация, эксплуатация);планы и программы по безопасности, организационные изменения;комплексная защита информации во времени;218оптимизация финансирования.Характерные черты Модели III:организации всех размеров;сертификат совместимости как рыночное отличие, или юридическиетребования;управление рисками;система управления безопасностью информации в цикле PDCA;мониторингиулучшениесистемыуправлениябезопасностьюинформации;сертификат соответствия PN-I-07799-2:2005;независимое подтверждение состояния безопасности;рыночная стоимость сертификата соответствия [240; 242; 288; 337].Выбор модели данной организацией зависит от ее размера, количества иважности имеющейся информации и финансовых возможностей.Администраторорганизационныеданныхсредства,обязаниспользоватьобеспечивающиезащитутехническиеиобрабатываемыхперсональных данных, соответствующие рискам и категории защищаемыхданных.

В частности, администратор должен защитить данные от несанкционированного доступа неуполномоченных лиц, раскрытия и сбора данныхнеуполномоченным лицом, их обработки с нарушением закона, изменения,утраты, повреждения или уничтожения этих данных.

Администратор обязан вестидокументациюсописаниемспособовобработкиданныхиназначатьадминистратора безопасности информации, ведущего надзор за соблюдениемправилзащиты.Еслиадминистраторданныхличноневыполняетвышеупомянутые действия, данная административная организация должнаназначить Администратора Безопасности Информации (Security AdministratorABI), который будет осуществлять надзор за соблюдением принципов защиты,вести контроль компьютерных систем и давать рекомендации для всехпользователей. Администратор Безопасности Информации ABI имеет широкийспектр задач и большую ответственность, а это означает, что этот пост должен219быть подчинен в структуре данной компании непосредственно АдминистраторуДанных (совету компании, владельцу).Генеральный Инспектор по Защите Персональных Данных GIODOконтролирует соответствие обработки данных по положениям закона, выдаетадминистративные решения и разбирает жалобы в отношении примененияположений о защите персональных данных, ведет учет наборов данных,высказывает мнение по вопросам законодательства о защите персональныхданных,инициируетиосуществляетпроектыпоулучшениюзащитыперсональных данных, участвует в работах международных организаций иучреждений, занимающихся проблематикой защиты персональных данных.Назначается он на четырехлетний срок Парламентом (Сейм) ПольскойРеспублики с согласия Сената.

При выполнении своих задач подчиняется толькозакону и имеет право на иммунитет.Компетенции Генерального Инспектора по Защите Персональных ДанныхGIODO назначаются положениями Закона от 29 августа 1997 года о защитеперсональных данных (Dz. U. 2002, Nr 101, poz. 926, zpóźn. zm.) По этому законуGIODO имеет право:контролировать при обработке данных соблюдение положений закона озащите персональных данных;выдавать административные решения и рассматривать жалобы пореализации положений закона о защите персональных данных;вестирегистрсборовданныхипредоставлятьинформациюозарегистрированных сборах данных;выдавать заключения по проектам законов и распоряжений, касающихсязащиты персональных данных;инициировать и принимать проекты по улучшению защиты персональныхданных;участвовать в работе международных организаций и учреждений,занимающихся вопросами защиты персональных данных.220Вслучаеобнаружениянарушенияположенийзаконапозащитеперсональных данных Генеральный Инспектор по Защите Персональных Данныхпо своим полномочиям или по просьбе заинтересованного лица, путемадминистративного решения, обязан дать указание о восстановлении состояниясогласно закону и, в частности, в зависимости от ситуации, выполнитьследующие действия:удаление недостатков;дополнение, обновление, исправление, раскрытие или не раскрытиеличных данных;использованиедополнительныхсредствзащитыхранящихсяперсональных данных;воздержание от передачи персональных данных третьему государству;обеспечение данных или передача их другим субъектам;удаление персональных данных.Если будет установлено, что действие или бездействие начальникаорганизации, сотрудника данной организации или другого физического лица,являющегося администратором данных, имеет элементы состава преступления,указанного в законе, Генеральный Инспектор по Защите Персональных Данныхнаправляет уведомление о совершении преступления ответственному органу сдокументируемыми доказательствами.Проблематикабезопасностиособенноважнавсистемеэлектронныхгосударственных услуг.

Заявители должны иметь абсолютнуюуверенность, что их личные данные и другие важные информации, касающиесядел,которыеониинституциональнымиоформляют,обрабатываютсяактами, а доступвсоответствииск этим данным имеют толькоуполномоченные лица. Отсутствие адекватной безопасности информационныхсистем и политики информационной безопасности в данной организациигосударственной администрации является важным барьером на пути развитиясистемы электронныхгосударственных услуг.221Выводы1. Дано определение понятия государственной администрации в Польше,определенывыполняемыееюфункциисогласнозаписямвКодексеАдминистративных Процедур KPA. Представлены действия польских властей,сопровождающие осуществление системы электронныхгосударственных услуг.2. Отмечено, что для обеспечения надлежащего функционирования системыэлектронныхгосударственных услуг необходима оцифровка для документов, аименновнедрениеэлектронныхдокументов,равноправныхбумажнымдокументам.

Характеристики

Список файлов диссертации