BookPDF Available

Cyberbezpieczeństwo administracji publicznej w Polsce. Wybrane zagadnienia

Authors:

Abstract

Monografia dotycząca bezpieczeństwa informacji w urzędach administracji terenowej podsumowująca wyniki badań z lat 2012-2016
Dominika LISIAK-FELICKA
Maciej SZMIT
CYBERBEZPIECZEŃSTWO
ADMINISTRACJI PUBLICZNEJ W POLSCE
Wybrane zagadnienia
EUROPEAN ASSOCIATION for SECURITY
KRAKÓW 2016
ISBN 978-83-61645-18-4
Praca ta objęta jest licencją Creative Commons Uznanie Autorstwa
3.0 Polska. Aby zapoznać się z kopią licencji, należy odwiedzić stronę
https://creativecommons.org/licenses/by/3.0/pl/ lub wysłać e-mail do
Creative Commons na adres info@creativecommons.org.
CC BY 3.0 PL Lisiak-Felicka Dominika, Szmit Maciej 2016
Recenzenci:
Prof. Ing. Ladislav Hofreiter, CSc., Žilinská Univerzita v Žiline
Dr hab. inż. Leszek F. Korzeniowski, prof. Uniwersytetu
Ekonomicznego w Krakowie
Assoc. Prof. Mgr. Roman Jašek, Ph.D., Univerzita Tomáše Bati ve
Zlíně
Redakcja: Dorota Zygmunt
Projekt okładki: Aleksandra Jaworowska
Wydawca:
EUROPEAN ASSOCIATION for SECURITY
31-571 Kraków, al. Jana Pawła II 78
e-mail: lfk@eas.info.pl
http://www.eas.info.pl
Druk i oprawa:
AMS Grafix
30-731 Kraków
ul. płk. Dąbka 16A
tel. 691-20-42-43
e-mail: biuro@amsgrafix.com.pl
3
SPIS TREŚCI:
Spis treści:......................................................................................... 3
Wstęp................................................................................................. 7
1 Cyberbezpieczeństwo jako przedmiot badań ....................... 15
1.1 Safety & security..................................................................... 15
1.2 Uwagi o naukach o bezpieczeństwie ........................................ 19
1.3 Informacja i informatyka......................................................... 25
1.4 Pojęcia „analogowy” i „cyfrowy ............................................ 30
1.5 Bezpieczeństwo informacji – podstawowe definicje
normatywne ............................................................................ 31
1.6 Naruszanie bezpieczeństwa informacji – podstawowe
definicje normatywne.............................................................. 36
1.7 Anonimowość, pseudoanonimowość, prywatność.................... 39
1.8 Atrybuty bezpieczeństwa a procesy bezpieczeństwa ................ 43
1.9 Przykłady definicji legalnych................................................... 45
1.10 Cybernetyka, cyberprzestrzeń i cyberbezpieczeństwo .............. 48
2 Systemy zarządzania bezpieczeństwem informacji
w administracji publicznej w Polsce ..................................... 55
2.1 Charakterystyka administracji publicznej................................. 55
2.2 Systemy zarządzania bezpieczeństwem informacji................... 62
2.3 Bezpieczeństwo informacji w urzędach administracji
publicznej................................................................................ 68
2.4 Cel i metoda badań.................................................................. 71
3 Wyniki badań ........................................................................ 73
3.1 Systemy zarządzania bezpieczeństwem informacji
w administracji publicznej....................................................... 73
3.1.1 Urzędy wojewódzkie...................................................... 73
3.1.2 Urzędy marszałkowskie ................................................. 74
3.1.3 Starostwa powiatowe i urzędy miast na prawach
powiatu.......................................................................... 76
3.1.4 Urzędy gmin .................................................................. 78
3.2 Opracowanie i certyfikacja systemu zarządzania
bezpieczeństwem informacji.................................................... 80
3.2.1 Urzędy wojewódzkie...................................................... 80
3.2.2 Urzędy marszałkowskie ................................................. 81
3.2.3 Starostwa powiatowe i urzędy miast na prawach
powiatu.......................................................................... 82
3.2.4 Urzędy gmin .................................................................. 83
4
3.3 Główne problemy i czynniki sukcesu wdrożenia systemu
zarządzana bezpieczeństwem informacji.................................... 85
3.3.1 Urzędy wojewódzkie........................................................ 85
3.3.2 Urzędy marszałkowskie ................................................... 88
3.3.3 Starostwa powiatowe i urzędy miast na prawach
powiatu............................................................................ 92
3.3.4 Urzędy gmin .................................................................... 96
3.4 Dokumentacja bezpieczeństwa informacji ................................100
3.4.1 Urzędy wojewódzkie.......................................................100
3.4.2 Urzędy marszałkowskie ..................................................100
3.4.3 Starostwa powiatowe i urzędy miast na prawach
powiatu...........................................................................100
3.4.4 Urzędy gmin.................................................................. 101
3.5 Metody zabezpieczeń .............................................................. 102
3.5.1 Urzędy wojewódzkie...................................................... 102
3.5.2 Urzędy marszałkowskie ................................................. 103
3.5.3 Starostwa powiatowe i urzędy miast na prawach
powiatu.......................................................................... 104
3.5.4 Urzędy gmin .................................................................. 106
3.6 Zarządzanie incydentami związanymi z bezpieczeństwem
informacji................................................................................ 108
3.6.1 Urzędy wojewódzkie...................................................... 110
3.6.2 Urzędy marszałkowskie ................................................. 111
3.6.3 Starostwa powiatowe i urzędy miast na prawach
powiatu.......................................................................... 113
3.6.4 Urzędy gmin .................................................................. 118
3.7 Szkolenia z zakresu bezpieczeństwa informacji ....................... 120
3.7.1 Urzędy wojewódzkie...................................................... 120
3.7.2 Urzędy marszałkowskie .................................................120
3.7.3 Starostwa powiatowe i urzędy miast na prawach
powiatu.......................................................................... 121
3.7.4 Urzędy gmin ..................................................................124
3.8 Inne systemy zarządzania ........................................................127
3.8.1 Urzędy wojewódzkie......................................................127
3.8.2 Urzędy marszałkowskie .................................................127
3.8.3 Starostwa powiatowe i urzędy miast na prawach
powiatu.......................................................................... 128
3.8.4 Urzędy gmin ..................................................................128
3.9 Samoocena poziomu bezpieczeństwa.......................................129
3.9.1 Urzędy wojewódzkie......................................................129
3.9.2 Urzędy marszałkowskie .................................................129
5
3.9.3 Starostwa powiatowe i urzędy miast na prawach
powiatu.......................................................................... 130
3.9.4 Urzędy gmin ..................................................................130
Zakończenie ....................................................................................131
Bibliografia .....................................................................................137
Załączniki........................................................................................151
Załącznik 1 - Kwestionariusz ankiety................................................151
Załącznik 2 - Charakterystyka dokumentacji .................................... 164
Urzędy wojewódzkie ....................................................................... 164
Urzędy marszałkowskie................................................................... 168
Starostwa powiatowe i urzędy miast na prawach powiatu................. 174
Urzędy gmin.................................................................................... 194
Załącznik 3 - Wykaz skrótów........................................................... 218
WSTĘP
Monumentalny Handbook of Information Security wydany w 2005 r.
przez wydawnictwo Willey liczy sobie 3366 stron zebranych w trzech
tomach, przygotowanych i recenzowanych przy udziale ponad tysiąca
ekspertów i – już w chwili swojego wydania – zawierał informacje
nieaktualne, nie wyczerpywał też całości problematyki. Ilość informacji
dotyczących bezpieczeństwa jest zresztą niezwykle duża, szczególnie
w zakresie informacji technicznych: codziennie odkrywane jest
kilkanaście podatności w różnych produktach informatycznych1,
codziennie powstaje też co najmniej kilka tysięcy różnych złośliwych
7
1.
CYBERBEZPIECZEŃSTWO JAKO
PRZEDMIOT BADAŃ
1.1 SAFETY & SECURITY17
W języku angielskim istnieją dwa słowa określające bezpieczeństwo:
safety i security. Pierwsze z nich używane jest często w odniesieniu do
bezpieczeństwa osób i zabezpieczenia ich podstawowych potrzeb
życiowych, drugie bezpieczeństwu zasobów (w szczególności
w odniesieniu do aspektów ekonomicznych, zarządczych a także
technicznych, w tym informatycznych18), przede wszystkim w aspekcie
potencjalnych zagrożeń spowodowanych celową działalnością
człowieka19. Słowo „safety”, pochodzi od wyrażenia to be safe”. Samo
słowo „safe” ma źródłosłów łaciński –salvus” (zdrowy, cały), a do
angielskiego weszło przez francuskie sauf”, sauve (ocalony,
uratowany). W języku polskim od łacińskiego słowa salvus pochodzi
staropolskie „salwować” (ratować, wybawić, ocalać), używane jeszcze
17 Wykorzystano fragmenty artykułu Szmit A., Szmit M., Bezpieczeństwo,
cyberbezpieczeństwo, ryzyko w bezpieczeństwie informacji – próba uporządkowania
pojęć [w:] Natura i uwarunkowania ryzyka, pod red. Staniec I., Łódź 2014.
18 Por. np.: Liderman K., O pomiarach bezpieczeństwa teleinformatycznego,
„Diagnostyka” Nr 42/006; Korzeniowski L. F., Securitologia. Nauka o bezpieczeństwie
człowieka i organizacji społecznych, Kraków 2008 s. 71 i n.; Korzeniowski L. F.,
Podstawy nauk…, op. cit., s. 75 i n.; Szmit M., O nauczaniu o bezpieczeństwie informacji.
Wybrane problemy [w:] Edukacja bez barier, Zaborze 2011.
19Safety“ interpretuje się również czasami jako bezpieczeństwo od zagrożeń losowych
i naturalnych, a security od działań intencjonalnych, np. włamań. (zob. np.:
Albrechtsen E., Security vs safety, Norwegian University of Science and Technology
Department of Industrial Economics and Technology Management, dostępny na:
http://www.iot.ntnu.no/users/albrecht/rapporter/notat%20safety%20v%20security.pdf),
w obrębie nauk technicznych używa się czasami terminu „inżynieria zabezpieczeń” (ang.
security enginnering) zob. np.: Anderson R., Inżynieria zabezpieczeń, Warszawa 2005,
bądź „inżynieria bezpieczeństwa” (ang. safety engineering) – zob. np.: Pihowicz W.,
Inżynieria bezpieczeństwa technicznego. Problematyka podstawowa, Warszawa 2008.
Głębsza dyskusja tych pojęć wykracza poza tematykę tego opracowania, tym bardziej, że
język angielski bywa interpretowany różnie w różnych krajach. Dla przykładu oba pojęcia
występują w nazwie United Nations Department for Safety and Security. W wielu
językach „bezpieczeństwo” jest oddawane przez jedno słowo (np. niemieckie
Sicherheit“, norweskie „sikkerhet“).
czasem w archaicznym związku frazeologicznym „salwować się
ucieczką” oraz poprzez Salvator(„Zbawiciel”) - słowach takich jak
„salwatorianie” (członkowie zgromadzenia zakonnego Towarzystwa
Boskiego Zbawiciela), „salwator” (osiedle w Krakowie) czy Salwador
(Republika Salwadoru – państwo w Ameryce Środkowej), natomiast
późniejsze angielskie „safe– w słowie „sejf” (miejsce bezpiecznego
przechowywania kosztowności).
Drugie znaczenie w języku angielskim oddaje słowo security
pochodzące od łacińskiego securitas”, które pochodzi od przymiotnika
secura (bezpieczny)20 będącego zrostem dwóch wyrazów: se
oznaczającego oddzielnie, osobno (lub „sine” oznaczającym „bez”) oraz
cura troska, staranie, dbałość o coś lub o kogoś, opieka, piecza21
(czeskie péče”), jak w wyrażeniu sine cura vivere22 żyć bez troski23
i obawy.
20 W pracy Concept Presentation (16th july 2008, St Michielskerk Leuven) of the article
From Homer to Hobbes and Beyond – Aspects of ‘Security’ in European Thought,
dostępny na: http://www.afes-press-books.de/pdf/Hexagon_3/Arends_IPRA.pdf, Autor
pisze, że Securitas” (które to słowo w sformułowaniach „Securitas Augusti”, „Securitas
Caesaris” pojawiło się na monetach rzymskich za czasów Nerona) w starożytnym
Rzymie mogło być pochwałą Cezara Augusta (jako tego, który zapewnił Rzymianom
spokój i beztroskę), ewentualnie, że mogło być wyrazem megalomanii Nerona, który
uznawał się za równego bogom (a więc wolnego od wszelkich trosk). Jak pisze Autor:
„Kilka pokoleń później historyk Tacyt (ok. 56-115 A.D.) odwoływał się do
antagonizmu – brzmiącego znajomo dla uszu współczesnych – pomiędzy starą
republikańską ideą wolności (libertas) i nową wartością cesarstwa – Securitas. Dla
Rzymian w końcu pierwszego stulecia po Chrystusie «Securitas» stało się kluczowym
pojęciem dla opisania Pax Romana rozumianego jako bezpieczeństwo życia
publicznego i prywatnego pod opieką cesarzy”.
21 We współczesnej polszczyźnie „piecza” pozostaje w użyciu praktycznie wyłącznie
w języku prawnym, np. w ustawie z 25.2.1964 r. Kodeks rodzinny i opiekuńczy (t. jedn.:
Dz.U. z 2015 r., poz. 583) art. 95.§ 1.: „Władza rodzicielska obejmuje w szczególności
obowiązek i prawo rodziców do wykonywania pieczy nad osobą i majątkiem dziecka oraz
do wychowania dziecka, z poszanowaniem jego godności i praw".
22 Stąd słowo synekura” pierwotnie oznaczające prebendę – beneficjum kościelne
niepołączone ze sprawowaniem opieki duszpasterskiej (bez konieczności dbałości o dusze
[wiernych]sine cura animarum).
23 Słowo „troska” ma współcześnie trzy znaczenia:
1. «uczucie niepokoju wywołane trudną sytuacją lub przewidywaniem takiej
sytuacji»;
2. «sytuacja, w której doznajemy takiego uczucia»;
3. «dbałość o kogoś, o coś lub zabieganie o coś»
(zob.: sjp.pwn.pl),przy czym pojęcie „beztroska” jest używane raczej w odniesieniu do
dwóch pierwszych (brak uczucia niepokoju), a rzadziej – w znaczeniu braku dbałości:
1. «brak trosk, wesoły nastrój»,
2. «brak dbałości o coś, nieprzejmowanie się niczy
(zob.: sjp.pwn.pl).
Polskie słowo „bezpieczny”24 (w staropolszczyźnie przezpieczny”,
„przespieczny”25) jest dosłownym tłumaczeniem łacińskiego zrostu
„secura”, przy czym słowo to używane było początkowo w znaczeniu
odpowiadającemu współczesnemu słowu „beztroski” (wtórnie: nieostro-
żny, lekkomyślny, niedbały i pewny siebie, odważny)26. Zakres tego
przymiotnika stopniowo się rozszerzał aż do znaczenia współczesnego.
24 Podobnie np. słowackie „bezpečný. Zob. np.: Škvrnda F.: Vybrané sociologické otázky
charakteristiky bezpečnosti v súčasnom svete [w:] Čukan K., Mládež a armada, Bratislava
2005; Hofreiter L., Securitológia, Liptovský Mikuláš: Akadémia ozbrojených síl gen.
M.R. Štefánika 2006; Korzeniowski L. F., Securitologia na początku XXI wieku,
„Securitologia” Nr 6/2007. Podobny źródłosłów występuje w szeregu języków
europejskich (angielskie secure, czeskie bezpečný, portugalskie seguro, baskijskie
segurua itd.).
25 Zob. np. piętnastowieczny przekład hymnu „Ave maris stella” [w:] Maciejowski W.A.,
Piśmiennictwo polskie od czasów najdawniejszych aż do roku 1830, T. 3, Warszawa
1852, s. 142 (zob. np.: staropolska poezja religijna, dostępna na:
http://staropolska.pl/sredniowiecze/poezja_religijna/zdrowas_gwiazdo_morska.html) czy
również tekst piętnastowiecznej „Rozmowy mistrza Polikarpa ze śmiercią” (zob.:
staropolska poezja świecka, dostępna na:
http://staropolska.pl/sredniowiecze/poezja_swiecka/dialog_03.html).
26 Za Wyrwas K., http://www.fil.us.edu.pl/ijp/poradnia/baza_archiwum.php?POZYCJA=
100&AKCJA=&TEMAT=Etymologia&NZP=&WYRAZ= Poradnia Językowa Uniwer-
sytetu Śląskiego – etymologia słowa „bezpieczny“. Autorka powołuje się na Słownik
języka polskiego PWN pod red. W. Doroszewskiego, który odnotowuje – przestarzałe już
w XX w. znaczenie „nie troszczący się o kogo albo o coś spokojny, pewny”, wraz
z przykładem z „Potopu” H. Sienkiewicza „O żonę i dziatki będę bezpieczny, bo puszcza
najlepsza to w świecie forteca”. Warto zwrócić uwagę, że w języku współczesnym słowo
„bezpieczny” brzmi nieco paradoksalnie, kojarzy się bowiem raczej przedmiotowo –
z czymś pozostawionym bez opieki (pieczy), a więc pozbawionym ochrony,
bezpieczeństwa, niż podmiotowo – z przyjemnym stanem braku konieczności troszczenia
się o coś (por. np.: Korzeniowski L. F., Podstawy nauk…, op. cit.). Dodatkową trudność
może tu sprawiać w ten właśnie sposób funkcjonująca para antonimów w języku
rosyjskim i serbskim: опасный (niebezpieczny)- безопасный (bezpieczny),
pochodzących od опас” (ryzyko, zagrożenie). Współcześnie nie używa się pojęcia „być
bezpiecznym" nie z miejscownikiem, ale wyłącznie bądź to przedmiotowo (jakieś
zjawisko jest bezpieczne, ktoś jest bezpieczny), ewentualnie z dopełniaczem (jakieś
zjawisko jest bezpieczne dla kogoś), w tym sensie „być bezpiecznym nie oznacza już
„nie musieć komuś zapewniać opieki”, ale „być wolnym od zagrożeń”. Stąd nieco
paradoksalne brzmienie zdania, że czyjś podopieczny jest bezpieczny (ktoś ma nad nim
pieczę, a on nie musi się o nikogo troszczyć).
Pojęcie „bezpieczeństwo” współcześnie odnosi się przede wszystkim
do bezpieczeństwa człowieka, jego życia, potrzeb, praw, wartości.
Wtórnie przymiotnikiem „bezpieczny” określa się taki stan rzeczy, który
nie stwarza niebezpieczeństwa bądź przed niebezpieczeństwem chroni.
Słownik Języka Polskiego27 podaje dwa znaczenia słowa „bezpieczny”:
1. «taki, któremu nic nie grozi»;
2. «niczym niezagrażający, chroniący przed niebezpieczeństwem».
L. Korzeniowski28 określa zakres znaczeniowy pojęcia „bezpieczeń-
stwo” odwołując się do trzech atrybutów: podmiotu, obiektywnego stanu
(to jest sytuacji występowania bądź niewystępowania zagrożeń,
niezależnie od świadomości podmiotu bądź obserwatora) oraz subie-
ktywnego odczucia i, ze względu na rodzaj zagrożonych podmiotów
(bezpieczeństwo kogo? czego?) wyróżnia:
bezpieczeństwo jednostki lub grupy (człowieka, małej grupy,
społeczeństwa, ludzkości);
bezpieczeństwo rzeczy (budynku, mostu itp.);
bezpieczeństwo pieniędzy (kasy, finansów itp.);
bezpieczeństwo informacji (danych, korespondencji, listu itp.).
opatrując to ostatnie komentarzem „Zagadnienie bezpieczeństwa
informacji to zagadnienie ich ochrony przed zagrożeniami” 29.
Szersze omówienie pochodzenia wyrazu „bezpieczeństwo” znaleźć można np.
w artykułach: Popowska-Taborska H., Dlaczego pol. bezpieczny nie znaczy
‘niebezpieczny’?, „Acta Universitatis Wratislaviensis” No 3578, Savica Wratislaviensis
CLIX, Wrocław 2014 i Krótki Z., Polskie leksemy o rdzeniu piecz-/piek- pochodne od
piec się, „Poznańskie Studia Polonistyczne“, Seria Językoznawcza vol. 22 (42), Nr 2.
Autorki zgodnie wywodzą „bezpieczeństwo” od czasownika piec się ‘palić, martwić się’
i od prasłowiańskiego czasownika pekti i rdzenia *pek-, obecnego w opisach stanów
pierwotnie związanych z uczuciem gorąca (pieczenia), a wtórnie – w opisach stanów
związanych z emocjami psychicznymi (zapiekły, pieklić się), a także staropolskie
„pieczliwy – zaniepokojony, zatroskany (z tego samego rdzenia wywodzi się wyraz
„piekło”), jakkolwiek zauważają, że już w XVI w. treścią słowa „piecza” była opieka,
troska, znacznie rzadziej – uwaga, zapobiegliwość („mieć coś na pieczy”, strzec się).
Zrost pochodzący od wyrażenia przyimkowego „bez pieczy” pojawił się według Krótki
Z., Polskie leksemy…, op. cit.– za pośrednictwem przekładów z języka czeskiego, przy
czym Autorka słusznie zauważa, że nie odnotowano żadnego tekstu, w którym wyraz ten
charakteryzowałby osobę pozostającą bez opieki (zaniedbaną, samotną), natomiast
pojawiło się znacznie odpowiadające współczesnej beztrosce (w tym czasownik
„bezpiecznieć” – stawać się beztroskim). Jako wyjątek Autorka przywołuje wyraz
„bezpiecznik”, który w XVI w. oznaczał osobę zarozumiałą, która nie czując się zagraża
jakimkolwiek niebezpieczeństwo, zachowuje się
̨wyniośle.
27 Zob.: sjp.pwn.pl.
28 Korzeniowski L. F., Podstawy nauk…, op. cit.
29 Ibidem, s. 77.
1.2 UWAGI O NAUKACH O BEZPIECZEŃSTWIE
Zakres pojęciowy słowa „bezpieczeństwo” jest jak widać
z zamieszczonych powyżej rozważań – bardzo szeroki, przynajmniej
w znaczeniu potocznym. Powoduje to co najmniej dwa problemy:
po pierwsze, konieczne jest rozróżnienie subiektywnego poczucia
bezpieczeństwa oraz obiektywnego stanu braku realnych
zagrożeń;
po drugie, istnieje wtóre silna tendencja do utożsamiania pojęcia
bezpieczeństwa (w szczególności bezpieczeństwa narodowego)
z bezpieczeństwem państwa30, a węziej – jego organów, czy
30 Korzeniowski L. F. [w:] Korzeniowski L. F., Securitologia. Nauka o bezpieczeństwie
człowieka…, op. cit., s. 50 cytuje (z słusznie krytycznym komentarzem dotyczącym
konfliktu wartościowań) komentarz T. Bojarskiego do Kodeksu Karnego z 1997 r.:
„Sądzę
̨, że nie powinna być́ kwestionowana pierwszoplanowa pozycja ochrony Państwa
Polskiego w części szczególnej kodeksu. Ochrona tej wartości dotyczy wspólnoty
w postaci państwa jako organizacji narodu, społeczeństwa i stanowi logiczne prius
w stosunku do ochrony wszystkich pozostałych wartości. Przyznanie tej ochronie
pierwszeństwa jest po prostu naturalne. Każdy człowiek rodzi się jako członek
ogólnoludzkiej wspólnoty i to daje pierwszeństwo ochronie rodzaju ludzkiego (a więc
przestępstwa przeciwko ludzkości). Jednocześnie rodzi się jako członek wspólnoty
narodowej, co stawia ochronę państwa (narodu) bezpośrednio na drugim miejscu”, zob.:
Bojarski T., Przestępstwa przeciwko państwu. Uwagi na tle kodeksu karnego [w:] Prace
ofiarowane Profesor Oktawii rniok. Katowice 1996 s. 33.
Krytykę tę można rozszerzyć: przede wszystkim czym innym jest „rodzaj ludzki”
(gatunek homo sapiens) a czym innym ludzkość (zespół wszystkich indywidualnych
ludzi), przestępstwa przeciwko ludzkości nie bynajmniej kategorią obejmującą
wyłącznie czyny, w których poszkodowanym są wszyscy ludzie (ani tym bardziej gatunek
ludzki), ani nawet pojedyncze narody; można urodzić się jako apatyda, a więc osoba bez
przynależności państwowej i wreszcie – choć z prawniczego punktu widzenia rola
państwa jest nie do przecenienia – obowiązki człowieka wobec innych ludzi i ich grup są
wtórne wobec jego obowiązków względem siebie samego. Jak pisze Bocheński I.:
„Od czasów A. Comte’a rozpowszechniony jest zabobon głoszący, że człowiek nie ma
prawa dbać w pierwszym rzędzie o samego siebie, że powinien zawsze i wszędzie dawać
pierwszeństwo innym, a zwłaszcza ludzkości. […] Zdrowy rozsądek twierdzi, że prawda
jest wręcz odwrotna […] Sądzi mianowicie, że człowiek ma także potrzeby społeczne, że
powinien zatem dbać także o innych - w pewnych warunkach nawet poświęcić się za nich
ale że jego obowiązki wobec innych opierają się ostatecznie na obowiązkach wobec
samego siebie. Spełnienie tych obowiązków nie jest więc nie tylko niczym złym, ale
przeciwnie, podstawowym obowiązkiem moralnym. Bo obowiązki wobec innych oparte
są na ich częściowej tożsamości z nami. Tak np. największe obowiązki mają rodzice
wobec dzieci, bo te są im najbliższe, są częścią ich samych. Kto więc odmawia
człowiekowi prawa do zabiegania w pierwszym rzędzie o siebie, podrywa tym samym
podstawę wszystkich obowiązków wobec innych.[…] (zob.: Bocheński I., Sto
zabobonów. Krótki filozoficzny słownik zabobonów, Kraków 1994, dostępne na:
wreszcie – osób sprawujących władzę i z, mniej lub bardziej
ścisłą, kontrolą społeczeństwa, co sprawia, że pojęcie
„bezpieczeństwa” nabiera negatywnych, a czasami wręcz zło-
wrogich konotacji, szczególnie wśród społeczeństw rządzonych
w sposób despotyczny31,
W odniesieniu do pierwszej kwestii można rozpatrywać wszystkie
cztery logicznie możliwe sytuacje określające obiektywny stan
bezpieczeństwa i subiektywne poczucie jego zaistnienia: 1. bezpieczny
w sensie obiektywnym i subiektywnym; 2. bezpieczny obiektywnie, ale
subiektywnie nie mający poczucia bezpieczeństwa; 3. obiektywnie
znajdujący się w niebezpieczeństwie, ale nie posiadający subiektywnego
poczucia tego stanu; 4. obiektywnie znajdujący się w niebezpieczeństwie
i odczuwający subiektywne poczucie niebezpieczeństwa32. Oczywiście
z punktu widzenia osoby racjonalnej – pożądane byłyby sytuacje, (1) oraz
(4), w których subiektywne poczucie bezpieczeństwa odpowiada stanowi
rzeczywistemu (a więc podmiot trafnie rozpoznaje bezpieczeństwo
http://100-zabobonow.blogspot.com). Jak się wydaje dawanie z zasady pierwszeństwa
interesowi „społecznemu” czy „narodowemu” nader często jest pretekstem służącym do
umotywowania ochrony nie tyle społeczeństwa, co interesów konkretnego władcy, czy
jego urzędników, niejednokrotnie wbrew rzeczywistym interesom społecznym.
Zagrożenia płynące z preferowania bezpieczeństwa państwa nad bezpieczeństwo
indywidualne wskazywali w przeszłości liczni myśliciele, np. S. Staszic w opracowaniu
z 1790 r. (Staszic S., Przestrogi dla Polski z teraznieyszych politycznych Europy
związkow y z praw natury wypadaiące. Wolne Lektury, dostępne na: http://wolnelektury.
pl/media/book/pdf/przestrogi-dla-polski.pdf, s. 12): „Obrona wewnętrzna praw obywatela
przeciwko obywatelowi tak być urządzoną powinna, aby nigdy ukazać się nie mogła
groźną towarzystwa wolności, a ukazywała się zawsze tak groźną obywatelowi każdemu,
aby skrzywdzony za samym ukazaniem wyroku sądu odbierał nadgrodę, swoją własność
i pokój […] Taka obrona, która, od mocy całego narodu silniejszą stając się, może być
użytą na niewolę tegoż narodu, której utrzymywanie nie cierpi wolności człowieka,
odbiera mu koniecznie własność osobistą i niszczy własność gruntową, po których
naruszeniu nie ma już czego bronić, — taka, mówię, obrona nie może być czym innym,
tylko narzędziem gwałtu, a obroną tyraństwa”. Warto na marginesie zauważyć, że
argumentów tych używał Staszic S. w kontekście sprzeciwu wobec projektu powołania
silnej armii zaciężnej podległej królowi (w opozycji do – pochwalanych przezeń –
tradycyjnych mechanizmów obrony kraju przez jego obywateli).
31 Skrajnym przykładem jest użycie w krajach totalitarnych rozmaitych służb mających
„bezpieczeństwo w nazwie a więc przynajmniej deklaratywne zajmujących się
zapewnianiem bezpieczeństwa – jako narzędzi terroru, jak miało to miejsce w przypadku
organizacji takich jak Комитет Государственной Безопасности СССР (Komitet
Bezpieczeństwa Państwowego przy Radzie Ministrów ZSRS), czy rumuński
Departamentul Securităţii Statului (Departament Bezpieczeństwa Państwowego),
a w szczególności Trupele di Securitate (oddziały bezpieczeństwa) znane z krwawego
tłumienia demonstracji podczas upadku rządów Nicolae Ceauşescu.
32 Por. Korzeniowski L. F., Podstawy nauk…, op. cit., s. 99.
i niebezpieczeństwo), sytuacje (3) – fałszywe poczucie bezpieczeństwa
bywa wątpliwa etycznie33, choć może być też celowo wywoływana
z mniej lub bardziej szczytnych pobudek, sytuacja (2) fałszywe
poczucie zagrożenia często ma charakter patologiczny34, choć również
można się spotkać z jego wywoływaniem w celach „wychowawczych”.
W odniesieniu do drugiego zagadnienia można zaobserwow
również w obrębie nauk o bezpieczeństwie wyraźnie widoczną
tendencję do sprowadzania ich do rozważań o bezpieczeństwie państwa.
Tendencję tę można zauważyć już na poziomie definicji bezpieczeństwa
proponowanych przez niektórych autorów i instytucje. Dla przykładu
Minisłownik Biura Bezpieczeństwa Narodowego podaje następującą
definicję bezpieczeństwa:
„Bezpieczeństwo teoria i praktyka zapewniania możliwości
przetrwania (egzystencji) i realizacji własnych interesów przez dany
podmiot, w szczególności poprzez wykorzystywanie szans (okoliczności
sprzyjających), podejmowanie wyzwań, redukowanie ryzyk oraz
przeciwdziałanie (zapobieganie i przeciwstawianie się) wszelkiego
rodzaju zagrożeniom dla podmiotu i jego interesów. Współczesne
bezpieczeństwo ma charakter zintegrowany (kompleksowy, wielowy-
miarowy), w którym – w zależności od przyjętego kryterium – można
wyróżnić różne jego rodzaje, dziedziny, sektory, działy i obszary:
w zależności od rodzaju podmiotu można wyróżnić
bezpieczeństwo indywidualne (personalne), grupowe, narodowe
(w tym państwowe i terytorialne: wojewódzkie, powiatowe,
33 Warto pamiętać, że fałszywe poczucie bezpieczeństwa u konkretnej osoby bądź osób –
traktowanych cokolwiek przedmiotowo – może być czasami skuteczne z punktu widzenia
zewnętrznego podmiotu, a nawet przynieść korzyści dla osoby źle poinformowanej. Jako
przykłady można wymienić podawanie fałszywych informacji w celu uniknięcia paniki
(której skutki są czasami gorsze niż materializacja rzeczywistego zagrożenia), podawanie
choremu fałszywych informacji o szansie wyzdrowienia w celu uniknięcia jego
psychicznej demobilizacji w walce o zdrowie, czy w celu osiągnięcia „efektu placebo”
itd. Granice dopuszczalności tego rodzaju dezinformacji (ang. white lies) oczywiście
poważnym problemem etycznym. Jako przykład można przytoczyć wyniki badań, według
których współcześnie niepomijalnie duża część osób odpowiadających na tzw.
kwestionariusz Prousta, w odpowiedzi na pytanie „jak chciałbyś umrzeć” wybiera
odpowiedzi, z których wynika, że chciałaby nie mieć świadomości faktu rychłej
nadchodzącej śmierci (w przeciwieństwie do tradycyjnego podejścia, w którym śmierć
nagła a niespodziewana jest ogromnym nieszczęściem).
34 Mowa o stanach chorobowych charakteryzujących się wyolbrzymionym postrzeganiem
zagrożeń (bądź postrzeganiem zagrożeń w rzeczywistości nieistniejących), jak również
o sytuacjach, w których zewnętrzny podmiot wyolbrzymiając lęki odbiorcy usiłuje
manipulować jego zachowaniem (np. nieetyczne praktyki w reklamie, wywołujące chęć
zakupu produktu jako rzekomo zabezpieczającego potencjalnego klienta przed śmiercią
czy chorobą).
gminne), międzynarodowe (regionalne i globalne), w tym między-
państwowe (sojusznicze, koalicyjne) i transnarodowe;
w zależności od przedmiotu (treści) bezpieczeństwa możemy
w zasadzie wyróżnić tyle jego rodzajów, dziedzin, sektorów
działów, obszarów itd., ile jest możliwych sfer aktywności danego
podmiotu (w każdej sferze aktywności występują jakieś elementy
bezpieczeństwa).
W ramach zintegrowanego bezpieczeństwa narodowego Polski
(bezpieczeństwa państwa) można wyróżnić dwa jego konstytucyjne
obszary: bezpieczeństwo zewnętrzne i wewnętrzne, oraz cztery podstawo-
we dziedziny: obronność (obrona narodowa, czyli bezpieczeństwo
militarne), ochrona (bezpieczeństwo cywilne, niemilitarne) oraz
bezpieczeństwo społeczne i bezpieczeństwo gospodarcze (w istocie można
też mówić o bezpieczeństwie społeczno-gospodarczym, a w tym
o społecznym i gospodarczym wsparciu bezpieczeństwa);
Z kolei w ramach tych dziedzin można wyodrębnić zgodnie
z przyjętą w Polsce strukturą działalności państwowej obejmującą szereg
działów administracji publicznej sektory bezpieczeństwa narodowego,
takie jak: dyplomacja na rzecz bezpieczeństwa, wojskowość, wywiad
i kontrwywiad, bezpieczeństwo publiczne, ratownictwo, bezpieczeństwo
społeczne (w tym np. ochrona dziedzictwa, edukacja na rzecz
bezpieczeństwa, media w systemie bezpieczeństwa), bezpieczeństwo
gospodarcze (w tym np. energetyczne, finansowe, infrastrukturalne);
Z istoty bezpieczeństwa zintegrowanego wynika także występo-
wanie transsektorowych/transdziałowych obszarów bezpieczeń-
stwa, jak np. cyberbezpieczeństwo”35.
35 Jest to zmodyfikowana definicja poprzednio sformułowana przez BBN w „Zbiorze
Proponowanych i Dyskutowanych Pojęć Strategicznego Przeglądu Bezpieczeństwa
Narodowego”. Pierwotnie definicja zamieszczona tamże brzmiała:
„BEZPIECZEŃSTWO teoria i praktyka zapewniania możliwości przetrwania
(egzystencji) i realizacji własnych interesów przez dany podmiot w niebezpiecznym
środowisku, w szczególności poprzez wykorzystywanie szans (okoliczności sprzyjających),
podejmowanie wyzwań, redukowanie ryzyk oraz przeciwdziałanie (zapobieganie
i przeciwstawianie się) wszelkiego rodzaju zagrożeniom dla podmiotu i jego interesów.
Współczesne bezpieczeństwo ma charakter zintegrowany (kompleksowy,
wielowymiarowy), w którym – w zależności od przyjętego kryterium można wyróżnić
różne jego rodzaje, dziedziny, sektory, działy i obszary:
a) w zależności od rodzaju podmiotu można wyróżnić bezpieczeństwo indywidualne
(personalne), grupowe, narodowe (w tym państwowe i lokalne: wojewódzkie, powiatowe,
gminne), międzynarodowe (regionalne i globalne), w tym międzypaństwowe (sojusznicze,
koalicyjne) i transnarodowe
Taki – podmiotowy i skoncentrowany na instytucji państwa – sposób
rozumienia bezpieczeństwa grozi zdegradowaniem nauk o bezpieczeń-
stwie do elementów politologii (bezpieczeństwo wewnętrzne,
bezpieczeństwo narodowe36) z pominięciem szeregu zagadnień związa-
nych z funkcjonowaniem niemilitarnych systemów bezpieczeństwa,
a więc np. nauk policyjnych37, czy wszystkich zagadnień związanych
b) w zależności od przedmiotu (treści) bezpieczeństwa możemy w zasadzie wyróżnić tyle
jego rodzajów, dziedzin, sektorów działów, obszarów itd., ile jest możliwych sfer
aktywności danego podmiotu (w każdej sferze aktywności występują jakieś elementy
bezpieczeństwa).
i. W ramach zintegrowanego bezpieczeństwa narodowego Polski
(bezpieczeństwa państwa) można wyróżnić dwa jego konstytucyjne obszary:
bezpieczeństwo zewnętrzne i wewnętrzne oraz trzy podstawowe dziedziny:
obronność (obrona narodowa, czyli bezpieczeństwo militarne), ochrona
(bezpieczeństwo cywilne, niemilitarne) i bezpieczeństwo ekonomiczno-
kulturowe (w tym ekonomiczno-kulturowe wsparcie bezpieczeństwa).
ii. Z kolei w ramach tych dziedzin można wyodrębnić – zgodnie z przyjętą
w Polsce strukturą działalności państwowej obejmującą szereg działów
administracji publicznej sektory bezpieczeństwa narodowego, takie jak:
dyplomacja, wojskowość, wywiad i kontrwywiad, bezpieczeństwo publiczne,
ratownictwo, bezpieczeństwo społeczne (w tym np. socjalne), bezpieczeństwo
gospodarcze (w tym np. energetyczne, finansowe, infrastrukturalne)
i bezpieczeństwo kulturowe (dziedzictwo, nauka, edukacja, media itp.).
iii. Z istoty bezpieczeństwa zintegrowanego wynika także występowanie
transsektorowych/transdziałowych obszarów bezpieczeństwa, jak bezpiecze-
ństwo informacyjne (w tym cyberbezpieczeństwo), bezpieczeństwo
antyterrorystyczne czy też antykorupcyjne”.
36 Pojęcia „bezpieczeństwo narodowe” i „obrona narodowa” mają konotacje historyczne:
urząd administracji rządowej zajmujący się sprawami wojskowymi w Polsce nosił
historycznie nazwę Ministerstwa Wojny (za czasów Księstwa Warszawskiego, Powstania
Listopadowego oraz częściowo Powstania Styczniowego), bądź Wydziału Wojny (1863)
oraz Ministerstwa Spraw Wojskowych (w II Rzeczpospolitej do 1942 r.). Od 1942 r. nosi
on nazwę Ministerstwa Obrony Narodowej. Pojęcie „obrona” może być w tym kontekście
rozumiane jako swojego rodzaju eufemizm (choć obowiązujące w Polsce przepisy,
a w szczególności art. 117 ustawy z 6.6.1997 r. Kodeks karny, Dz.U. z 1997 r. Nr 88, poz.
553; dalej jako: KK, zabraniają wszczynania wojny napastniczej, to działania polskich sił
zbrojnych – np. udział w operacjach NATO nie ograniczają się oczywiście do
bezpośredniej obrony własnego terytorium czy jego mieszkańców).
37 W niektórych krajach, np. na Słowacji czy w Czechach pojęcie „nauk policyjnych”
(ang. Police science) jest formalnie wyodrębnione w systemie nauki (zob. np.: European
Police Science and Research Bulletin, dostępny na: http://cepol.europa.
eu/index.php?id=science-research-bulletin; Porada V., Holcr K., et al.: Policejní vědy,
Vyd. Aleš Čeněk, Plzeň 2011; Meteňko J., Líška K., Riadenie operatívnych činností,
Akadémia Policajného Zboru, Bratislava 2003; Uhrín S., Selinger P., Bezpečnostné
służby, Žilinská univerzita, Žilina 2003). Niestety w Polsce kryminalistyka nie jest
explicite wymieniona w aktualnie obowiązującym wykazie dyscyplin naukowych. Zajęcia
w formie studiów podyplomowych z kryminalistyki prowadzą wydziały prawa
i administracji niektórych uniwersytetów, jak również szkoły policyjne.
z technicznymi aspektami zapewniania bezpieczeństwa (inżynieria
bezpieczeństwa)38. Tym cenniejsze jest stanowisko prezentowane przez
L.F. Korzeniowskiego, twórcę pojęcia „Securitologia”, który podkreśla
substancjalne znaczenie osoby ludzkiej i jej bezpieczeństwa39.
W literaturze można znaleźć oczywiście również szereg innych
definicji bezpieczeństwa. Na przykład Słownik terminów z zakresu
bezpieczeństwa narodowego wydany przez Akademię Obrony
Narodowej40podaje definicję znacznie bardziej ogólną:
„BEZPIECZEŃSTWO (ang. security) – stan, który daje poczucie
pewności, i gwarancje jego zachowania oraz szansę na doskonalenie.
Jedna z podstawowych potrzeb człowieka. Jest to sytuacja odznaczająca
się brakiem ryzyka utraty czegoś co człowiek szczególnie ceni, na
przykład: zdrowia, pracy, szacunku, uczuć, dóbr materialnych. Wyróżnia
się m. in. bezpieczeństwo globalne regionalne, narodowe; bezpieczeństwo
militarne, ekonomiczne, polityczne, publiczne, wewnętrzne, społeczne;
bezpieczeństwo fizyczne, psychiczne, socjalne; bezpieczeństwo stru-
kturalne i personalne” (w dalszej części tego hasła w słowniku następują
obszerne wyjaśnienia na temat etymologii słowa „bezpieczeństwo” oraz
roli państwa w jego zapewnianiu).
38 Szczególnie biorąc pod uwagę umiejscowienie nauk o bezpieczeństwie w obszarze
nauk społecznych.
39 „Stanowisko realistyczne przejawiające się w analizach reprezentantów securitologii
można scharakteryzować w ten sposób, że bytem substancjonalnym są jedynie osoby
ludzkie tworzące społeczeństwo, ale społeczności ludzkie także istnieją realnie, są
całościami różniącymi się od osób, które je tworzą. Czynnikiem jednoczącym osoby
ludzkie w społeczność jest zawsze jakiś wspólny cel np. podstawowe potrzeby
bezpieczeństwa. Jednostki mają więc prawo domagać się zaspokajania ich potrzeb
jednostkowych za pośrednictwem dobra wspólnego, ale także społeczności wymagają od
jednostek odpowiedniego działania na rzecz dobra wspólnego.” Zob.: Korzeniowski L. F.,
Securitologia. Nauka o bezpieczeństwie człowieka…, op. cit., s. 52; Korzeniowski L. F.,
Podstawy nauk…, op. cit., s. 83).
40 Zob.: Słownik terminów z zakresu bezpieczeństwa narodowego, Warszawa 2008,
dostępny na: http://mkuliczkowski.pl/static/pdf/slownik.pdf.
1.3 INFORMACJA I INFORMATYKA41
Słowo „informacja” ma źródłosłów łaciński zrostu informare
(„in”+”formare”) kształtować, odciskać formę, przedstawiać, wyobrażać,
określać. „Informatio oznaczało (w różnych epokach): wyobrażenie,
a także znaczenie pojedynczego wyrazu, proces formowania bądź
pouczenia i ich rezultaty42. Z praktycznego punktu widzenia warto
wyodrębnić dwa podejścia do pojęcia informacji: podejście
„infologiczne”43 (istotne szczególnie z uwagi na jego wpływ,
w szczególności dość drobiazgowe i nie zawsze intuicyjnie zrozumiałe
rozróżnienie pomiędzy „danymi” a „informacją”, na redakcję przepisów
polskiego prawa44), utożsamiające informację z treścią komunikatu45 oraz
punkt widzenia reprezentowany przez definicje zawarte w normach ISO.
41 W rozdziale wykorzystano fragmenty artykułu Lisiak-Felicka D., Szmit M., Czy istnieje
technologia informacyjna? [w:] Multimedia w biznesie i zarządzaniu, pod red. Kiełtyki L.,
Warszawa 2009 oraz książek Szmit M. (red.), Baworowski A., Kmieciak A., Krejza P.,
Niemiec A., Elementy Informatyki Sądowej, dostępne na: https://www.
researchgate.net/publication/235925801_Elementy_Informatyki_Sdowej i Szmit M.,
Wybrane zagadnienia opiniowania sądowo-informatycznego, Warszawa 2014, dostępne
na: https://www.researchgate.net/publication/269108722_Wybrane_zagadnienia_opinio
wania_sdowo-informatycznego._Wydanie_2_rozszerzone_i_uzupenione.
42 Łacińskie słowo „forma” odpowiada we współczesnej polszczyźnie słowu „treść”. Zob.
np.: Kister Ł., Bezpieczeństwo informacyjne infrastruktury krytycznej, „Terroryzm” Nr
1/2010, Warszawa 2010; Szmit M., Wybrane zagadnienia opiniowania…, op. cit., s. 114
i n.
43 Samo pojęcie „infologii” oraz rozróżnienie pomiędzy „datalogicznym” (informacja to
treść komunikatu, niezależnie od znaczenia jaki nadaje jej odbiorca komunikatu)
a „infologicznym” (informacja to subiektywne znaczenie, jakie treści komunikatu nadaje
jego odbiorca)poziomem ujęcia informacji zostało spopularyzowane przez Sundgrena B.
w pracy doktorskiej Sundgren B., An Infological Approach to Data Bases, Ph.D. Thesis,
dostępny na: https://sites.google.com/site/bosundgren/my-life/AnInfologicalApproachto
DataBases.pdf?attredirects=0. Zob. też Lotko A., Źródła różnorodności informacji
w marketingu relacyjnym, „Studia i Materiały Nr 5/2005, dostępny na:
http://www.sim.wz.uw.edu.pl/issue5/03.pdf.
44 Zob. np.: Szmit M., Politowska I., Mierniki bezpieczeństwa informatycznego…, op. cit.;
Szmit M., Wybrane zagadnienia opiniowania…, op. cit., s. 114 i n.
45 „Relacja definiowana na elementach komunikatu K (…). Jest to treść, czyli desygnat
oznaczony jako informacja. Informacja na tym poziomie nazywa się informacją
datalogiczną i jest zapisywana jako I(K), dla podkreślenia informacji, jaką dostarcza
komunikat K niezależnie od odbiorcy U. Aspekt pragmatyczny informacji wymaga
uwzględnienia procesu jej odbioru przez użytkownika. W tym celu stosuje się zapis (…):
I (K, U, Q) Stefanowicz B., Informacja, Warszawa 2004. K oznacza komunikat,
U-odbiorcę informacji, zaś Q-kontekst). Por.: Gościński J., Zarys sterowania
ekonomicznego, Warszawa 1977.
Polska Norma [PN-ISO/IEC 2382-1:1996] definiuje dane i informację,
jak poniżej:
„Dane reprezentacja informacji mająca interpretację, właściwa do
komunikowania się, interpretacji lub przetwarzania.
Uwagi
1. dane mogą być przetwarzane przez człowieka lub za pomocą środków
automatycznych
2. patrz rysunek 1”
PN-ISO/IEC 2382-1:1996-01.01.02
„Informacja (w przetwarzaniu informacji) – wiedza dotycząca obiektów,
takich jak fakty, zdarzenia, przedmioty, procesy lub idee, zawieraca
koncepcję, która w określonym kontekście ma określone znaczenie
Uwaga – patrz rysunek 1”
PN-ISO/IEC 2382-1:1996-01.01.01
definicje te uzupełnione są rysunkiem jak poniżej
Rysunek 1. Wzajemne relacje między informacją a danymi
w normie PN-ISO/IEC 2382:1996 (rysunek 1 z Polskiej Normy).
Słowo „informatyka”46 zostało wprowadzone do języka polskiego
w 1968 r.47, w wystąpieniu R. Marczyńskiego, opublikowanym następnie
w artykule „Maszyny matematyczne”48. Ma ono źródłosłów niemiecki
(słowo „Informatik” zostało po raz pierwszy użyte w 1957 r. w artykule
K. Steinbucha „Informatik: Automatische Informationsverarbeitung”, do
języka polskiego prawdopodobnie trafiło za pośrednictwem francuskiego
„informatique”49 po raz pierwszy użytego w 1962 r.50).
Słownik Języka Polskiego z 1979 r. podawał definicje „dyscyplina
naukowa zajmująca szastosowaniem maszyn matematycznych”51 oraz
„dyscyplina naukowa zajmująca się teorią informacji naukowej,
technicznej i ekonomicznej”. Drugie ze znaczeń jest zapożyczeniem
z języków takich jak rosyjski („информатика oznacza informację
naukowo-techniczną) czy angielski (amerykańskie słowo informatics”,
jak również information science”, oznacza gromadzenie, klasyfikację,
przechowywanie i rozpowszechnianie zapisanej wiedzy”52). Słownik
Wyrazów Obcych PWN z 1997 r. nazywa już informatykę „nauką
46 Sufiks -ika/ -yka jest, z punktu widzenia słowotwórstwa, formantem używanym
przeważnie do tworzenia słownictwa erudycyjnego, z dziedziny nauki i techniki, stąd
często rozróżnienie na „informacyjny” w sensie „dotyczący informacji”
i „informatyczny „dotyczący procesów i technicznych środków przetwarzania
informacji”. Zob. np.: Szmit M., Informatyka w Zarządzaniu, Warszawa 2003, s. 10 i n.
47 S. Lem (np. w „Summa technologiae” z 1964 r.) używał na określenie informatyków
słowa „informacjoniści”. Współcześnie „informacjonizm” albo „informacjonalizm” jest
pojęciem z dziedziny socjologii, związanym z osobą M. Castellsa, który używa tego
pojęcia dla określenia zasady działania „kapitalizmu informacyjnego”, który uznaje za
następcę „kapitalizmu industrialnego”: „Industrializm jest zorientowany na wzrost
gospodarczy, tj. na maksymalizację produkcji; informacjonizm jest zorientowany na
rozwój technologiczny, tj. na akumulację wiedzy oraz na wyższy poziom złożoności
w przetwarzaniu informacji.” Castells M., Himanen P., Społeczeństwo informacyjne
i państwo dobrobytu, Warszawa 2009. O „informacjonalizmie” mówi się również
w kontekście pojęcia „społeczeństwa informacyjnego” czy „społeczeństwa
informacjonistycznego”, a nawet epoki społeczno-kulturowej. Zob. np. Radomski A.,
Dziesięć tez na temat: informacjonalistycznej edukacji, Kultura i Historia, T. 19, Lublin
2011, dostępny na: http://www.kulturaihistoria.umcs.lublin.pl/archives/2514; Radomski
A., Wartości Hakerskie jako podstawa kultury Informacjonalizmu, Ogólnopolska
Konferencja Aksjologia(e) wobec współczesnych przemian kulturowych, Lublin 2011,
dostępne na: http://pl.scribd.com/doc/72485393/Warto%C5%9Bci-Hakerskie-jako-
podstawa-kultury-Informacjonalizmu.
48 Marczyński R., Maszyny matematyczne, Nr 1/1969, Warszawa 1969.
49 Akademia Francuska w komunikacie z 6.4.1967 r. zawarła następującą definicję:
„Informatyka nauka o racjonalnym przetwarzaniu, szczególnie przez maszynę
automatyczną, informacji traktowanej jako nośnik wiadomości i podstawa
komunikowania się w dziedzinach technicznych, ekonomicznych i społecznych”.
50 Zob. http://www.lemonde.fr/cgi-bin/ACHATS/685238.html.
51 Słownik Języka Polskiego, Warszawa, 1979.
52 Webster’s New Collegiate Dictionary. Merriam, Springfield 1980.
o tworzeniu i wykorzystywaniu systemów komputerowych”53 i jak się
wydaje ta definicja jest już ustaloną i powszechnie przyjętą w krajowym
piśmiennictwie, jakkolwiek w odniesieniu do poszczególnych tzw.
„informatyk szczegółowych” funkcjonuje jeszcze czasami pomieszanie
pojęć informatyki i dyscypliny zwanej do niedawna informacją
naukową”54. Próbę naprawienia tego stanu rzeczy, przynajmniej odnośnie
do klasyfikacji dyscyplin naukowych, podjęto we wspomnianym już
ROWDN, które wprowadziło w obszarze nauk humanistycznych,
w dziedzinie nauk humanistycznych dyscyplinę naukową „bibliologia
i informatologia”55. To samo rozporządzenie lokuje informatykę zarówno
w obszarze nauk ścisłych w dziedzinie nauk matematycznych, jak
i w obszarze nauk technicznych w dziedzinie nauk technicznych, co jak
się wydaje odpowiada dwojakiemu: teoretyczno-naukowemu (ang.
computer sciences) i naukowo-technicznemu (ang. computer
engineering) jej charakterowi.
Podsumowując, w języku polskim funkcjonuje aż pięć, pochodzą-
cych od słowa „informacja” rzeczowniki, będących nazwami dyscyplin
naukowych, poglądów bądź kierunków badawczych:
informacjonizmw latach 60. XX w. neologizm odnoszący się
do tego, co współcześnie nazywa się informatyką, współcześnie
– pojęcie socjologiczne dotyczące domniemanej zasady działania
„kapitalizmu informacyjnego” bądź „społeczeństwa informa-
cyjnego;
informacjonalizm informacjonalizm (w sensie współcze-
snym), socjologiczne określenie hipotetycznej współczesnej
epoki społeczno-kulturowej;
infologia – podejście do badania i analizy informacji za punkt
wyjścia przyjmujące jej znaczenie oraz proces komunikacji;
informatologia – neologizm na określenie „informacji nauko-
53 Zob.: Słownik Wyrazów Obcych PWN, Warszawa 1997. Ta sama definicja jest
również powtórzona w internetowym wydaniu (zob.: http://sjp.pwn.pl) Słownika Języka
Polskiego (odsyłacz spr. 12.11.2014 r.), jakkolwiek dodane jest drugie znaczenie „szeroko
rozumiana działalność informacyjna”.
54 Dotyczy to na przykład tzw. informatyki prawniczej. W pracy Petzel J., Informatyka
prawnicza. Zagadnienia teorii i praktyki, Warszawa 1999, s. 27 wymieniono między
innymi definicję „informatyki tradycyjnej” wg J. Wróblewskiego: „wszelkie procesy
gromadzenia, przechowywania i udostępniania informacji, a także nauka o tych procesach
obejmująca zarówno podstawy teoretyczne jak i wiedzę instrumentalną obejmującą
urządzenia i instytucje obsługujące te procesy”.
55 Jak się zdaje słowo „informatologia” jest zapożyczeniem z języka chorwackiego, zob.
np.: http://hrcak.srce.hr/index.php?show=casopis&id_casopis=129&lang=en. Dla porów-
nania np. w języku czeskim funkcjonuje wyrażenie „Informační věda”.
wej”, dziedzina wiedzy i subdyscyplina badawcza zajmująca się
całokształtem zagadnień teoretycznych i praktycznych związa-
nych z działalnością informacyjną;
Informatykanauka o tworzeniu i wykorzystywaniu systemów
komputerowych.
Osobną kwestią, wartą poruszenia na marginesie raczej z prakty-
cznego punktu widzenia, jest występujący w języku polskim związek
frazeologiczny „technologia informacyjna”56 (po części popularny za
sprawą działalności Ministerstwa Edukacji Narodowej i programów
nauczania przedmiotu o tej nazwie przez nie opracowanych57).
Technologia (gr. τέχνη „sztuka; rzemiosło” + λόγος „mówić”) według
Słownika Języka Polskiego58 to „metoda przeprowadzania procesu
produkcyjnego lub przetwórczego; dziedzina techniki zajmująca się
opracowywaniem nowych metod produkcji wyrobów lub przetwarzania
surowców”, technika59 (gr. τεχνικός „wykonany zgodnie ze sztuką” od
τέχνη „sztuka; rzemiosło”) jest to natomiast „wiedza na temat
praktycznego wykorzystania osiągnięć nauki w przemyśle, transporcie,
medycynie itp.; też: praktyczne wykorzystanie tej wiedzy; metoda;
wyuczona i wyćwiczona umiejętność wykonywania jakichś czynności”.
Polskojęzycznym odpowiednikiem angielskiego technology jest raczej
„technika” niż technologia60, zaś prawidłowe tłumaczenie angloję-
zycznego Information Technology to „technika informatyczna”61:
w procesie przetwarzania informacji trudno mówić o procesach
przetwarzania surowców czy wytwarzania dóbr. Informacja jest bowiem
nie rzeczą, ale relacją, jakkolwiek może być i jest – zasobem (ang. asset)
z punktu widzenia organizacji, która nią dysponuje.
56 Zob.: Lisiak-Felicka D., Szmit M., Czy istnieje technologia…, op. cit.
57 Jakkolwiek nie funkcjonuje tytuł zawodowy „technologa informatyka”, a – poprawny
technika informatyka.
58 Zob.: Słownik Języka Polskiego PWN, wersja elektroniczna, dostępny na:
http://sjp.pwn.pl/ (odsyłacz sprawdzony 12.11.2014 r.).
59 Zob.: http://sjp.pwn.pl/slownik/2577685/technika (odsyłacz sprawdzony 12.11.2014 r.).
60 Stąd np. „institute of technology” to po polsku „politechnika” a nie „politechnologia”.
61 Por. np.: Penc J., Leksykon biznesu, Warszawa 1997, s. 447, podobnie w tytułach norm
np. PN-ISO/IEC 17799:2007 Technika informatyczna – Techniki bezpieczeństwa –
Praktyczne zasady zarządzania bezpieczeństwem informacji. Z podobnymi problemami
można spotkać się w innych językach, np. tytuł czeskiej normy ČSN ISO/IEC 27001:2006
brzmi „Informační technologie Bezpečnostní techniky Systémy managementu
bezpečnosti informací – Požadavky” ale tytuł czeskiej normy ČSN ISO/IEC 9545:1996 –
„Informační technika. Propojení otevřených systémů. Struktura aplikační vrstvy”
(w odpowiadającej Polskiej Normie PN-ISO/IEC 9545:2003 tytuł brzmi „Technika
informatyczna – Współdziałanie Systemów Otwartych - Struktura Warstwy Aplikacji“).
1.4 POJĘCIA ANALOGOWY I CYFROWY62
Wyrażenie „analogowy” (z gr. νάλογον analogon – odpowiednik)
w odniesieniu do danych pochodzi od wyrażenia „komputer analogowy”.
Komputery analogowe były to urządzenia z pierwszej połowy XX w.,
których działanie opierało się na analogii modelowanego zjawiska do
innego zjawiska fizycznego, funkcjonowały np. komputery hydrauliczne
rozwiązania modelujące przepływy pieniądza na rynku poprzez
analogię z przepływami cieczy w zespole naczyń, czy też komputery
rozwiązujące równania różniczkowe poprzez pomiary napięcia
i natężenia prądu w układach elektronicznych, w których to układach
zmiany mierzalnych wielkości elektrycznych dane były równaniami
analogicznymi, jak równania opisujące modelowane zjawisko fizyczne.
Charakterystyczną cechą tych komputerów było posługiwanie się
zmiennymi analogowymi tj. sygnałami zmieniającymi s w sposób
ciągły. Zgodnie z definicjami normatywnymi63:
analogowy dotyczy wielkości fizycznych zmieniających się
w sposób ciągły lub dotyczy danych przedstawianych w sposób
ciągły, a także procesów i jednostek funkcjonalnych wykorzy-
stujących dane tego typu64;
cyfrowy dotyczy danych składających się z cyfr, a także
procesów i jednostek funkcjonalnych wykorzystujących dane
tego typu65.
Komplementarne do pojęcia „analogowy” jest – nie jak przyjęło się
w mowie potocznej – „cyfrowy” – ale „dyskretny” (dyskretny dotyczący
danych składających się z różnych elementów, takich jak znaki lub
dotyczy wielkości fizycznych o skończonej liczbie zróżnicowanych
rozpoznawalnych wartości, a także procesów i jednostek funkcjonalnych
wykorzystujących dane tego typu66).
Dane dyskretne mogą być danymi numerycznymi (składającymi się
z liczb) bądź alfanumerycznymi (składającymi się z liter, cyfr bądź
innych znaków, np. znaków przestankowych), zaś dane cyfrowe składają
62 Wykorzystano fragment książki Szmit M. (red.), Baworowski A., Kmieciak A., Krejza
P., Niemiec A., Elementy Informatyki…, op. cit.
63 Przez „akty normatywne” („definicje normatywne” itd.) będą w pracy rozumiane
normy (Polskie Normy, normy ISO itd.), nie zaś (jak to jest w języku prawniczym) akty
zawierające normy prawne.
64 [PN-ISO/IEC 2382-1:1996-01.02.06].
65 [PN-ISO/IEC 2382-1:1996-01.02.04].
66 [PN-ISO/IEC 2382-1:1996-01.02.02].
się z cyfr (a więc pojedynczych znaków reprezentujących nieujemne
liczby całkowite). Zatem ze względu na ciągłość danych, bądź jej brak,
dane dzielą sna analogowe i dyskretne, zaś z uwagi na sposób zapisu
zawartości na numeryczne (w tym cyfrowe) i alfanumeryczne.
W języku potocznym pojęcia „liczba” i „cyfra” są nagminnie mylone
(stąd zamiast „numeryczny” używa się często pojęcia „cyfrowy”67),
niemniej nie są to pojęcia tożsame68.
1.5 BEZPIECZEŃSTWO INFORMACJI PODSTAWOWE DEFINICJE
NORMATYWNE
Najważniejszymi, z punktu widzenia poruszanej tematyki normami
międzynarodowymi ISO jest seria norm oznaczona numerem 27000
i poprzedzające je normy ISO/IEC 17799 oraz BS 7799-1, BS 7799-2
i BS 7799-3. Spośród innych norm ISO należy wymienić normy
terminologiczne: PN-ISO/IEC 2382-8:2001 Technika informatyczna
Terminologia Bezpieczeństwo i PN-I-02000: 2002 Technika informa-
tyczna – Zabezpieczenia w systemach informatycznych – Terminologia.
W odniesieniu do systemów informatycznych zagadnieniom
bezpieczeństwa poświęcona była69 seria raportów technicznych ISO/IEC
TR 13335-X, tzw. GMITS (ang. Guidelines for Management of IT
Security):
ISO/IEC/TR 13335-1/ PN-I-13335-1: Wytyczne do zarządzania
bezpieczeństwem systemów informatycznych
ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpie-
czeństwem systemów informatycznych
ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem
systemów informatycznych
ISO/IEC/TR 13335-4: Wybór zabezpieczeń
ISO/IEC/TR 13335-5: Zabezpieczenia dla połączeń z sieciami
zewnętrznymi
67 Efekty procesu dyskretnego (operującego skończoną liczbą zróżnicowanych
rozpoznawalnych wartości) zapisuje się zazwyczaj w postaci liczb a te zapisywane
zazwyczaj przy pomocy cyfr.
68 Tym dziwnej brzmi nazwa – utworzonego w 2011 r. Ministerstwa Administracji
i Cyfryzacji.
69 Normy ISO/IEC z serii 13335-X pierwotnie miały status raportu technicznego
(Technical Report), później pierwsza z serii została przemianowana na ISO/IEC 13335-
1:2004. Norma ta została wycofana przez ISO w 2010 r., natomiast jej polski
odpowiednik, tj. PN-ISO/IEC 13335-1:1999 w chwili pisania pracy miał status
„aktualny”.
Bezpieczeństwo informacji definiowane jest w normie PN-ISO/IEC
27000:2014 – 2.33 jako zachowanie poufności, integralności i dostę-
pności informacji, dodatkowo można brać pod uwagę inne własności, jak
autentyczność, rozliczalność, niezaprzeczalność i niezawodność70.
W pracy przyjęto za powołanymi normami definicje podstawowych
atrybutów bezpieczeństwa informacji, to jest:
poufności (ang. confidentiality), czyli własności polegającej na
tym, że informacja nie jest udostępniana lub wyjawiana
nieupoważnionym osobom, przedmiotom lub procesom71;
integralności (ang. integrity), czyli własności polegającej na
zapewnieniu dokładności i kompletności aktywów72;
dostępności (ang. availability), to jest własności bycia
dostępnym i użytecznym na żądanie upoważnionego podmiotu73.
Trzy powyższe atrybuty (zwane CIA – Confidentiality, Integrity,
Availability) są najważniejszymi atrybutami bezpieczeństwa informacji.
Oprócz nich wyróżnia się między innymi atrybuty:
autentyczności (ang. authenticity), to jest właściwości zape-
wniającej, że tożsamość podmiotu lub zasobu jest taka, jak
deklarowana74;
rozliczalności (ang. accountability) – właściwości zapewniają-
cej, że działania jednostki mogą być przypisane w sposób
jednoznaczny tylko tej jednostce75;
niezaprzeczalności (ang. non-repudiation) właściwości
uniemożliwiającej nadawcy zaprzeczenie, że wysłana wiadomość
pochodzi od niego76;
70 W literaturze oraz niektórych aktach prawnych (np. ustawa z 5.8.2010 r. o ochronie
informacji niejawnych (Dz.U. z 2010 r. Nr 182, poz. 1228 ze zm.), Rozporządzenie
Prezesa Rady Ministrów z 20.7.2011 r. w sprawie podstawowych wymag
bezpieczeństwa teleinformatycznego (Dz.U. z 2011 r. Nr 159, poz. 948), pojawia się
również pojęcie bezpieczeństwa teleinformatycznego, które ma związek
z bezpieczeństwem systemów teleinformatycznych, w których przetwarzane
informacje. Bezpieczeństwo informacji jest pojęciem szerszym, obejmuje również
informacje przetwarzane poza systemami teleinformatycznymi, w postaci dokumentów
papierowych czy w postaci zapamiętanej i wymienianej przez człowieka, zob.: Białas A.,
Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Warszawa 2006.
71 PN-ISO/IEC 27000:2014 – 2.12.
72 PN-ISO/IEC 27000:2014 – 2.40.
73 PN-ISO/IEC 27000:2014 – 2.9.
74 PN-ISO/IEC 27000:2014 – 2.8.
75 PN-ISO/IEC 2382-8:2001.
76 PN-ISO/IEC 27000:2014 – 2.54.
niezawodności (ang. reliability) właściwość oznaczająca
spójne, zamierzone zachowanie i następstwa77.
Pojęcia: zagrożenia, podatności, zabezpieczeń, ryzyk, zasobów czy
wymagań w zakresie ochrony zdefiniowano w normie PN-ISO/IEC
13335-1:1999 (por. rysunek poniżej).
Rysunek 2. Związki pomiędzy podstawowymi pojęciami
z zakresu bezpieczeństwa.
Źródło: PN-I-13335-1:1999.
Użyte pojęcia powołana norma definiuje jak poniżej.
Podatność – słabość zasobu, lub grupy zasobów, która może być
wykorzystana przez zagrożenie78.
Ryzyko prawdopodobieństwo, że określone zagrożenie
wykorzysta podatność zasobu lub grupy zasobów, aby spowo-
dować straty lub zniszczenie zasobów79.
77 PN-ISO/IEC 27000:2014 – 2.62.
78 PN-I-13335-1:1999 - 3.20. W normie PN-ISO/IEC 17799:2007-2.17 napisano
(z powołaniem na normę międzynarodową ISO/IEC 13335-1:2004] „podatność –abość
aktywu lub grupy aktywów, która może być wykorzystana przez co najmniej jedno
zagrożenie”. Norma ISO/IEC 27000:2009 powtarzała tę definicję (już bez powołania na
wycofaną wcześniej) normę ISO/IEC 13335). W PN-ISO/IEC 27000:2014-2.89 definicja
brzmi „podatność – słabość aktywu lub zabezpieczenia, która może być wykorzystana
przez jedno lub więcej zagrożeń”. Nota bene użyta forma „aktywu” jest językowo
niepoprawna.
Zabezpieczenie praktyka, procedura lub mechanizm
redukujący ryzyko80.
Zagrożenie potencjalna przyczyna niepożądanego incydentu,
którego skutkiem może być szkoda dla systemu lub instytucji81.
W innych normach pojęcia te zdefiniowane są nieco inaczej. I tak:
zagrożenie definiowane jest bądź to jako „potencjalne naruszenie
zabezpieczenia“82 bądź to jako z uwagą w postaci rysunku, jak poniżej:
„potencjalna możliwość naruszenia bezpieczeństwa systemu
informatycznego”83.
Rysunek 3. Poziomy naruszania bezpieczeństwa
w normie PN-ISO/IEC 2382-8:2001.
79 PN-I-13335-1:1999 - 3.14.
80 PN-I-13335-1:1999 - 3.17.
81 PN-I-13335-1:1999 - 3.19.
82 PN-T-20000:1994-Z.
83 PN-ISO/IEC 2382-8:2001-08.05.04.
Należy tu zwrócić uwagę, że czym innym jest naruszenie
bezpieczeństwa, a czym innym naruszenie zabezpieczenia: można
naruszyć bezpieczeństwo, a więc w tym kontekście któryś z atrybutów
bezpieczeństwa informacji, nie naruszając jego zabezpieczeń,
w szczególności jeśli tych nie ma lub jeśli są niekompletne (można je
ominąć, to jest wejść w interakcję z systemem w inny niż zabezpieczany
sposób). Ponadto, wyrażenie „potencjalna możliwość“ wydaje się być
pleonazmem: możliwość jest zawsze potencjalna, jeśli dochodzi do jej
realizacji, to można mówić o akcie a nie o możliwości. Zabezpieczenie
definiowane jest w PN-ISO/IEC 27000:2014-2.16 jako środek, który
modyfikuje ryzyko.
Ryzyko – będące zresztą pojęciem kluczowym, o tyle że zarządzanie
bezpieczeństwem informacji jest w normach z serii 27k determinowane
przez zarządzanie ryzykiem definiowane jest w szeregu norm
w najróżniejszy sposób. I tak PN-ISO/IEC 17799:2007-2.9 definiowała je
jako „kombinację prawdopodobieństwa zdarzenia i jego konsekwencji“
(za [ISO/IEC Guide 73:2002]) zaś ISO 31000:2009 jako skutek
niepewności w odniesieniu do ustalonych celów (za [ISO Guide
73:2009]), z szeregiem uwag, dotyczących tego, czym jest „skutek”
i „niepewność” oraz tego, że ryzyko bywa definiowane w różny sposób.
Definicję tę powtarza norma PN-ISO/IEC 27000:2014 (w punkcie 2.68).
Normy PN-I-02000:2002-3.1.096 oraz PN-ISO/IEC 2382-8:2001-
08.05.09 definiują ryzyko jako „możliwość, że konkretne zagrożenie
wykorzysta konkretną podatność system przetwarzania danych”.
Niespójności w definicjach ryzyka wynikają po części z różnego zakresu
norm: ISO 31000 jest normą najbardziej ogólną, odnoszącą się do
zarządzania ryzykiem w ogóle, a więc również w kontekstach innych niż
Systemy Zarządzania Bezpieczeństwem Informacji, ISO/IEC 27000
dotyczy właśnie SZBI, zaś normy słownikowe, jak PN-ISO/IEC 2382-X
odnoszą się do techniki informatycznej, stąd mówią np. nie
o podatnościach w ogóle ale o podatnościach systemu przetwarzania
danych.
Pojęcia: zasobów, zdarzenia związanego z bezpieczeństwem infor-
macji oraz incydentu związanego z bezpieczeństwem informacji
rozumiane są w normach, jak następuje:
zasoby – to wszystko, co ma wartość dla instytucji84;
incydent związany z bezpieczeństwem informacji pojedyncze
zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń
związanych z bezpieczeństwem informacji, które stwarzają
84 PN-I-13335-1:1999 -3.2.
znaczne prawdopodobieństwo zakłócenia działań biznesowych
i zagrażają bezpieczeństwu informacji85;
zdarzenie związane z bezpieczeństwem informacji jest wystą-
pieniem określonego stanu86, usługi lub sieci, który wskazuje na
możliwe naruszenie polityki bezpieczeństwa informacji, błąd
zabezpieczenia lub nieznaną dotychczas sytuację, która może być
związana z bezpieczeństwem.
1.6 NARUSZANIE BEZPIECZEŃSTWA INFORMACJI PODSTAWOWE
DEFINICJE NORMATYWNE
Zasadniczym problemem słownictwa z zakresu bezpieczeństwa
informatycznego jest nie niedobór, ale nadmiar standardów87, metodyk88
i ich propozycji. Dla przykładu U. Lindqvist, E. Jonsson89 dzielą próby
85 PN-ISO/IEC 27000:2014 – 2.36.
86 Polskojęzyczne tłumaczenie norm 27000 mówiło o „stanie”, a więc zawierało błąd (ten
sam błąd zawierały tłumaczenia normy ISO/IEC 17799 w swojej części słownikowej),
zdarzenie nie jest bowiem stanem, ale co najwyżej jego wystąpieniem. Anglojęzyczna
norma ISO/IEC 27000 (punkt 2.20) jest precyzyjna: „information security event
Identified occurrence of a system, service or network state indicating a possible breach of
information security (2.19) policy (2.28) or failure of controls (2.10), or a previously
unknown situation that may be security relevant”, w tłumaczeniu polskim zabrakło
odpowiednika słowa „occurrence”.
87 W artykule Szmit M., Politowska I., Mierniki bezpieczeństwa informatycznego..,
op. cit., podano statystyki z ośmiu krajowych zespołów reagowania CERT (ang.
Computer Emergency Response Team), z których każdy używał własnej nomenklatury,
jak również statystyki policyjne i statystyki skazanych. Niejednokrotnie ten sam rodzaj
ataku nosi kilka różnych nazw (np. arp-spoofing i arp cache poisoning). Odrębną
nomenklaturą posługują się akty prawne (w interesującym z punktu widzenia tej pracy
zakresie,
w odniesieniu do tzw. przestępstw komputerowych, są to znamiona czynów zabronionych
stypizowanych w KK nie do końca spójne z nimi znamiona z Konwencji
o Cyberprzestępczości). Jeszcze innym słownictwem operują niektóre metodyki (zob. np.:
Microsoft Course 2830A Designing Security for Microsoft Networks, materiały kursowe,
Microsoft 2007).
88 Obszerny przegląd metodyk zarządzania bezpieczeństwem informacji można znaleźć
w liczącej ponad pół tysiąca stron – pracy Białas A., Bezpieczeństwo informacji…,
op. cit. Z polskich prób tworzenia metodyk warto wymienić na przykład Total
Information Security Management autorstwa Byczkowskiego M. i Marciniaka P. (zob.:
European Network Security Institute, dostępny na: http://www.ensi.net/), czy SECFrame
opracowany w Instytucie Systemów Sterowania (zob.: Instytut Systemów Sterowania,
dostępny na: http://www.iss.pl).
89 Lindqvist U., Jonsson E., How to systematically classify computer security intrusions,
IEEE symposium on Security and privacy 1999 Proceedings, s. 154–163.
naruszenia bezpieczeństwa systemów informatycznych na włamania,
naruszenia i ataki, które definiują następująco:
włamanie ciąg podejmowanych przez agresora czynności,
mający na celu naruszenie bezpieczeństwa zasobów lub
nieautoryzowany dostęp do systemu komputerowego;
naruszenie – próba włamania zakończona sukcesem;
atak – próba włamania zakończona niepowodzeniem.
Są to definicje wątpliwe i na dodatek sprzeczne z intuicją. Zgoła
odmienną próbę
̨standaryzacji nomenklatury z zakresu naruszeń bezpie-
czeństwa zawiera dokument [RFC 2828]. Odpowiednie definicje brzmią
tamże:
attack (..) An assault on system security that derives from an
intelligent threat, i.e., an intelligent act that is a deliberate attempt
(especially in the sense of a method or technique) to evade
security services and violate the security policy of a system(..)”,
security violation An act or event that disobeys or otherwise
breaches security policy (..)”.
Pojęcie przełamania (ang. breach) nie jest w ogóle definiowane90,
natomiast pojęcie „złamania” (ang. break) jest używane tylko w znacze-
niu z zakresu kryptoanalizy szyfrów („złamanie szyfru”).
Inną próbą szczegółowego opisu zdarzeń związanych z bezpie-
czeństwem był – wykorzystywany w swoim czasie przez CERT Polska91
– standard Wspólnego Języka (ang. Common Language)92, operujący
pojęciami:
incydentu bezpieczeństwa rozumianego jako zdarzenie związane
z próbą naruszenia bezpieczeństwa, opisywanemu poprzez
szóstkę: Atakujący (ang. Attacker), Narzędzie (ang. Tool),
Podatność (ang. Vunerability), Cel (ang. Target), zamierzony
nieautoryzowany rezultat (ang. Unauthorized Result) oraz
zamierzony skutek (ang. Objectives);
ataku rozumianego jako ciąg podejmowanych przez agresora
czynności, mających na celu naruszenie bezpieczeństwa opisy-
90 Zob.: Shirey R., Internet Security Glossary, IETF 2000, RFC 2828, dostępne na:
https://www.ietf.org/rfc/rfc2828.txt
91 Cert.org statistics history, dostępne na: http://www.cert.org/stats/#vuls.
92 Zdefiniowany w pracy Howard J.D., Longstaff T.A., A Common Language for
Computer Security Incidents, dostępny na: http://prod.sandia.gov/techlib/access-
control.cgi/1998/988667.pdf. Por. np.: Maj M., Klasyfikacja i terminologia incydentów
naruszających bezpieczeństwo sieci, Warszawa 1999, dostępne na:
http://www.cert.pl/PDF/SECURE99_referatCP_klasyf.doc.
wany poprzez czwórkę: narzędzie, podatność, cel, zamierzony
nieautoryzowany rezultat;
zdarzenia, rozumianego jako konkretny rodzaj akcji podejmo-
wanej przeciwko określonemu celowi (np. modyfikacja danych).
W języku norm ISO/IEC, wreszcie, funkcjonują definicje:
atak – próba zniszczenia, ujawnienia, zmiany, uniemożliwienia
dostępu, kradzieży lub uzyskania nieautoryzowanego dostępu
albo nieautoryzowanego użycia aktywów93;
naruszenie ingerencja naruszająca bezpieczeństwo systemu
informatycznego w celu spowodowania tego, aby programy lub
dane mogły być modyfikowane, niszczone lub mogły stać się
dostępne dla nieuprawnionych podmiotów94;
włamanie, przełamanie – takie obejście lub zneutralizowanie
jakiegoś elementu bezpieczeństwa systemu informatycznego,
wykryte lub nie, którego skutkiem może być penetracja systemu
przetwarzania danych95.
W zależności więc od przyjętej nomenklatury, atak może być
rozumiany jako:
próba włamania zakończona niepowodzeniem;
próba naruszenia bezpieczeństwa systemu informatycznego
(udana bądź nie);
opis dział podejmowanych przez agresora (narzędzie,
podatność, cel, zamierzony nieautoryzowany rezultat).
W niniejszej monografii jako obowiązującą przyjęto przynajmniej
wszędzie tam, gdzie to było możliwe nomenklaturę z norm ISO/IEC
z serii 27x oraz PN 2382-x, które zawierają stosunkowo najbardziej
kompletny punkt widzenia i spójne nazewnictwo96, niemniej warto
zwrócić uwagę, że w innych źródłach i opracowaniach literaturowych te
same pojęcia mogą być używane w zupełnie innych znaczeniach.
93 PN ISO/IEC 27000:2014-2.3.
94 PN-I-02000:2002 – 3.5.021.
95 PN-ISO/IEC 2382-8:2001 – 08.05.17.
96 Wprawdzie również do języka norm można mieć pewne zastrzeżenia, niemniej
w porównaniu z terminologią tworzoną ad hoc jest on zdecydowanie bardziej precyzyjny.
W książce Szafrański B. i in.: Interoperacyjność i bezpieczeństwo systemów
informatycznych administracji publicznej, Katowice 2006, s. 38 Autorzy piszą:
„Podstawy metodologiczne analizowanych aktów normatywnych są poprawniejsze niż
aktów prawnych poddanych analizie (..) dlatego też postulujemy wykorzystanie norm
zarządzania bezpieczeństwem [systemu] informacyjnego jako platformy integracji
regulacji zawartych w ustawach z zakresu bezpieczeństwa teleinformatycznego”.
1.7 ANONIMOWOŚĆ, PSEUDOANONIMOWOŚĆ, PRYWATNOŚĆ
Normy ISO/IEC z serii 27k pisane są z punktu widzenia zarządzania
organizacją97, stąd też nie zostały w nich poruszone zagadnienia istotne
z punktu widzenia bezpieczeństwa pojedynczego użytkownika informa-
cji, w szczególności zagadnienia związane z ochroną prywatności.
W innych normach pojęcia te zdefiniowano częściowo i nie do końca
w tym aspekcie, o którym tutaj mowa. Znaczenia, jakie normy nadają
tym pojęciom odpowiadają raczej przedmiotowym uprawnieniom osób
bądź procesów w sensie technicznym niż prawnemu czy organiza-
cyjnemu aspektowi ochrony informacji. Odpowiednio definicje te brzmią
jak poniżej:
Anonimowość – zasada, z której wynika, że podmiot może
wykorzystywać zasób lub usługę bez ujawniania swojej tożsa-
mości98.
Pseudoanonimowość – zasada zgodnie, z którą podmiot może
wykorzystywać zasób lub usługę bez ujawniania swojej
tożsamości, lecz może nadal być rozliczany za to korzystanie99.
Prywatność posiada w terminologii znormalizowanej trzy
definicje:
prawo do kontrolowania lub wpływania na to, aby informacja
ich dotycząca mogła być zbierana i przechowywana oraz na
to, kto może to wykonywać i komu można udostępnić tę
informację100, przy czym definicja ta jest opatrzona
komentarzem „Uwaga Ponieważ termin jest związany
z prawem osób nie może on być precyzyjny. Należy unikać
używania tego terminu chyba, że kontekst odnosi się do
wymagań zabezpieczania informacji”;
97 Norma PN-ISO/IEC 17799:2007 w rozdziale 1 (Zakres normy) deklarowała:
„W niniejszej normie międzynarodowej przedstawiono zalecenia i ogólne zasady
dotyczące inicjowania działań́ , wdrażania, utrzymania i doskonalenia zarządzania
bezpieczeństwem informacji w organizacji. [] Niniejsza norma międzynarodowa może
służyć́ jako praktyczny przewodnik do opracowania norm bezpieczeństwa organizacji
i skutecznych praktyk zarządzania bezpieczeństwem oraz wspierać tworzenie związków
zaufania w relacjach między organizacjami”.
98 PN-I-02000:2002-3.1.002.
99 PN-I-02000:2002-3.4.070.
100 PN-T-20000:1994-P.
nieingerowanie w życie prywatne osoby lub jej sprawy, jeśli
ta ingerencja byłaby związana z niewłaściwym lub
nielegalnym zbieraniem i wykorzystywaniem danych o tej
osobie101;
prawo do nadzoru lub wpływu na to, jakie dane osobowe
mogą być zbierane i przechowywane oraz komu mogą być
ujawnione102. przy czym definicja ta jest opatrzona
komentarzem „Uwaga Należy unikać ywania tego
terminu chyba, że kontekst odnosi się do wymagań
zabezpieczania informacji”.
W szerszym znaczeniu prywatność (ang. privacy z łac. privus
pojedynczy, własny) jest jednym z praw człowieka. Normatywnym
wyrazem prawa do prywatności w prawie międzynarodowym na
przykład:
art. 12 Powszechnej Deklaracji Praw Człowieka:
„Nie wolno ingerować samowolnie w czyjekolwiek życie
prywatne, rodzinne, domowe, ani w jego korespondencję, ani też
uwłaczać jego honorowi lub dobremu imieniu. Każdy człowiek
ma prawo do ochrony prawnej przeciwko takiej ingerencji lub
uwłaczaniu”;
art. 17 Międzynarodowego Paktu Praw Obywatelskich
i Politycznych:
„1. Nikt nie może być narażony na samowolną lub bezprawną
ingerencję w jego życie prywatne, rodzinne, dom czy
korespondencję ani też na bezprawne zamachy na jego cześć
i dobre imię.
2. Każdy ma prawo do ochrony prawnej przed tego rodzaju
ingerencjami i zamachami.”;
art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych
Wolności:
„1. Każdy ma prawo do poszanowania swojego życia prywatnego
i rodzinnego, swojego mieszkania i swojej korespondencji.
2. Niedopuszczalna jest ingerencja władzy publicznej
w korzystanie z tego prawa, z wyjątkiem przypadków
przewidzianych przez ustawę i koniecznych w demokratycznym
społeczeństwie z uwagi na bezpieczeństwo państwowe,
bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju,
101 PN-ISO/IEC 2382-8:2001 08.01.23, PN-I-02000:2002 3.1.088.
102 PN-I-02000:2002 – 3.1.089, PN-T-20000:1994 – P.
ochronę porządku i zapobieganie przestępstwom, ochronę
zdrowia i moralności lub ochronę praw i wolności innych osób.”;
ochronę prywatności gwarantuje również Konstytucja RP w art.
47:
„Każdy ma prawo do ochrony prawnej życia prywatnego,
rodzinnego, czci i dobrego imienia oraz do decydowania o swoim
życiu osobistym”
oraz w art. 49:
„Zapewnia się wolność i ochronę tajemnicy komunikowania się.
Ich ograniczenie może nastąpić jedynie w przypadkach
określonych w ustawie i w sposób w niej określony.“.
Zagadnienie prywatności zdaje się więc dotyczyć co najmniej dwóch
kwestii: ochrony życia prywatnego oraz ochrony korespondencji.
Z punktu widzenia niniejszych rozważań znacznie bardziej interesującą
jest kwestia ochrony korespondencji (a więc wymiany informacji).
Nie sposób w tym miejscu nie zauważyć kwestii możliwego (i często,
pojawiającego się w rzeczywistości) konfliktu wartości, jaki może mieć
miejsce pomiędzy prywatnością poszczególnych osób, a – tak czy inaczej
rozumianymi interesami państwa. Prawodawstwo polskie zdecy-
dowanie preferuje interes społeczny czy państwowy kosztem interesu
osobistego103, stąd też względny charakter prawnej ochrony prywatności
budzi liczne wątpliwości (tym bardziej, że zdarzają się sytuacje
nadużycia obowiązujących przepisów, które mają ochronę prywatności
gwarantować). Tym większe znacznie zyskują techniczne środki
umożliwiające zapewnienie prywatności, przynajmniej w kontekście
wymiany informacji, a w pierwszym rzędzie możliwość anonimowej104
komunikacji105.
Od strony prawnej nie istnieje pozytywne, stanowione prawo (łac. ius
positum) do anonimowości. Z technicznego punktu widzenia prywatność
można zapewnić np. poprzez odpowiednie przepisy dotyczące retencji
danych (tak jak ma to miejsce w przypadku danych telekomunikacyjnych
103 Jest to jeszcze jedno oblicze konfliktu Securitas/Libertas.
104 Anonimowość, zgodnie z przytoczoną powyżej definicją, staje się więc swoiście
rozumianym atrybutem bezpieczeństwa informacji polegającym na tym, że nie ma
możliwości identyfikacji podmiotu (w szczególności osoby która wykonuje jakąś
czynność, np. przegląda stronę WWW, publikuje jakieś dane, czy osoby, której dotyczą
informacje, np. zebrane w czasie badania). Anonimowość w odniesieniu do działań jest
więc przeciwieństwem rozliczalności – właściwości zapewniającej, że działania podmiotu
mogą być przypisane w sposób jednoznaczny temu podmiotowi.
105 Przez „komunikację” rozumie się zazwyczaj proces wymiany informacji pomiędzy
uczestnikami tego procesu.
czy danych z monitoringu miejskiego), zasad dostępu do danych
chronionych, ich wykorzystywania itd. Praktyka pokazuje jednak, że tego
rodzaju ochrona bywa nieszczelna106, stąd mogą się rodzić uzasadnione
wątpliwości, czy rzeczywiście środkami prawno-administracyjnymi
można w sposób efektywny zrealizować prawo do prywatności.
W przeciwieństwie do tego, przy pomocy środków technicznych można
skutecznie zapewnić anonimowość107 komunikacji108.
Negatywną konsekwencją skutecznej anonimizacji jest uniemożli-
wienie ochrony dóbr naruszonych w procesie komunikacji (np. nie można
ustalić sprawcy pomówienia, czy osoby rozpowszechniającej nielegalne
treści), co może stanowić problem (szczególnie w krajach, w których
obowiązuje restrykcyjne prawo zabraniające pewnych rodzajów
wypowiedzi czy dystrybucji określonych treści). Problem konfliktu
pomiędzy wolnością wypowiedzi a odpowiedzialnością za słowo budzi
czasami skrajne emocje, szczególnie wśród przeciwników prawa do
anonimowości109.
106 Można podać mnóstwo nagłaśnianych przez media przypadków związanych
z naruszeniem rozmaitego rodzaju tajemnic (śledztwa, lekarskiej, dziennikarskiej itd.).
107 Czasami używa się pojęcia „anonimizacji”, to jest procesu, w którym z danych
umożliwiających identyfikację podmiotów otrzymuje się dane nie umożliwiające takiej
identyfikacji. Anonimizację stosuje się np. w badaniach statystycznych, w których istotne
są prawidłowości dotyczące całej badanej grupy, a nie informacje o poszczególnych
jednostkach. Anonimizacją w informatyce nazywa się wykorzystanie odpowiednich
rozwiązań informatycznych, np. anonimowego Proxy, sieci TOR (por. np. Szmit M.,
Routing cebulowy, „Hakin9” Nr 3/2008; Lisiak-Felicka D., Anonimowość w sieci,
„Hakin9” Nr 1/2009 (44)) do ukrycia tożsamości osoby korzystającej z serwisów
internetowych, zarówno przed tymi serwisami jak i przed ewentualnym podsłuchem ze
strony administratorów sieci i hakerów. W sieci TOR możliwe jest również anonimowe
publikowanie informacji na anonimowych serwerach (tj. serwerach, których rzeczywista
lokalizacja pozostaje ukryta).
108 Oczywiście anonimizacja środkami technicznymi, opartymi o zaawansowane metody
kryptograficzne jest skuteczna dopóty, dopóki nie zostanie znaleziona metoda łamania
odpowiedniego algorytmu kryptograficznego, bądź inny sposób technicznego przełamania
czy obejścia zabezpiecz (np. poprzez atak na system operacyjny komputera
szyfrującego).
109 „Przez anonimowość rodzi się bezpieczeństwo dla diabła, dla tego, co jest złe. Dla
demonów i dla możliwości niszczenia.” M. Boni, Minister administracji i cyfryzacji
rządu RP, wypowiedź w wywiadzie telewizyjnym z 22.11.2012 r. („Anonimowość daje
bezpieczeństwo”, dostępny na: http://www.tvn24.pl/wiadomosci-z-kraju,3/anonimowosc-
daje-bezpieczenstwo-diablu-temu-co-zle,290299.html).
1.8 ATRYBUTY BEZPIECZEŃSTWA A PROCESY BEZPIECZEŃSTWA
Mówiąc o problemach semantycznych związanych z bezpieczeń-
stwem informacji, należy wspomnieć o konieczności rozróżniania
atrybutów bezpieczeństwa informacji od procesów związanych
z zapewnianiem tegoż (w szczególności od procesów zachodzących
w systemie informatycznym, czy funkcjach realizowanych przez ten
system). I tak na przykład – obok wspomnianej wyżej anonimizacji
przy okazji pseudoanonimowości można mówić o pseudonimizacji (z gr.
pseudōnymosfałszywie nazwany), czyli użyciu w miejsce rzeczywistej
nazwy procesu bądź osoby, nazwy przybranej tj. pseudonimu110.
Pseudonimizacja utrudnia identyfikację (ustalenie danych) działającego
podmiotu, natomiast umożliwia przypisanie różnych czynności tej samej
osobie (bez znajomości jej danych osobowych). Stosowana jest ona np.
do opisu przypadków medycznych, gdzie istotne jest jednoznaczna
informacja, który z pacjentów jak reagował na często wieloetapową
terapię. Oczywiście przykładem pseudonimizacji są też różne tradycyjne
sposoby pisania pod pseudonimem.
Procesem prowadzącym do stwierdzenia autentyczności jest
uwierzytelnienie (ang. authentication). Oznacza ono działanie weryfiko-
wania deklarowanej tożsamości jednostki PN-I-02000:2002 – 3.4.105,
PN-ISO/IEC 2382-8:2001 – 08.01.11. Polskojęzyczne „uwierzytelnienie”
jest tłumaczeniem kontrowersyjnym o tyle, że zmienia źródłosłów.
Zarówno bowiem angielskie authentication jak i francuskie
autentification” pochodzą od starogreckiego αυθεντικός (authentikós),
czyli „autentyczny”, które z kolei pochodzi od słowa αυθέντης
(authéntēs) oznaczajacego „sprawcę” (a nawet „mordercę”), czyli tego,
który coś zrobił sam αὐτός (autos), natomiast „uwierzytelnienie”
pochodzi od słowa „wiara”. Słownik Języka Polskiego podaje trzy
definicje uwierzytelniania111:
1. «uczynić coś wiarygodnym»;
2. «stwierdzić autentyczność dokumentu lub podpisu, zgodność
z prawem jakiejś czynności prawnej»;
3. «zaopatrzyć kogoś w dokumenty stwierdzające powierzenie mu
funkcji dyplomatycznej»;
110 Zob. np.: Pfitzmann A., Hansen M., Anonymity, Unlinkability, Unobservability,
Pseudonymity, and Identity Management – A Consolidated Proposal for Terminology
(Version v0.23 Aug. 25, 2005) TU Dresden ULD Kiel, dostępny na:
http://freehaven.net/anonbib/cache/terminology.pdf.
111 Zob.: Słownik Języka Polskiego PWN…, op. cit.
natomiast w stronie zwrotnej (uwierzytelnić się) – j tylko jedną
«okazać się wiarygodnym»112.
Samo „wiara” w języku polskim pochodzi od „wiere”, które jest
spolonizowanym łacińskim vere(zaprawdę), stąd też Słownik Języka
Polskiego w pierwszym znaczeniu podaje, że „wierzyć” to «uznawać coś
za prawdę»113. Jako ciekawostkę można wspomnieć, że
w staropolszczyźnie funkcjonowało pojęcie rekognicji. Słownik Języka
Polskiego PWN podaje dwa znaczenia:
daw. «uznanie tożsamości jakiejś osoby»;
daw. «stwierdzenie prawdziwości dokumentu».
Współcześnie słowo to dotyczy przede wszystkim procedury
stosowanej przy ekshumacji zwłok świętego, bądź kandydata na
ołtarze114, ale oczywiście można dokonać rekognicji również osoby
żyjącej (takie znaczenie pojawiło się np. w kryminalistyce, gdzie określa
się tak – choć rzadko – okazanie w celu rozpoznania). Odpowiedni
czasownik odrzeczownikowy to rekognoskować (ma on też drugie
znaczenie „badać, rozpoznawać”115.
Z tego samego źródłosłowu pochodzi słowo autoryzacja (ang.
authorization), które w bezpieczeństwie informacji oznaczają funkcję,
która potwierdza, czy dany podmiot jest uprawniony do korzystania
z żądanego zasobu, dotyczą więc procesu kontroli dostępu. Proces
kontroli dostępu zazwyczaj składa się z trzech etapów:
identyfikacji: użytkownik bądź proces podaje swój identyfikator,
czyli ciąg znaków lub wzorzec, który jest używany przez system
przetwarzania danych do identyfikowania użytkownika116;
112 Zob.: Słownik Języka Polskiego PWN…, op. cit.
113 Zob.: Ibidem.
114 Zob. np.: http://www.nasza-arka.pl/2010/rozdzial.php?numer=10&rozdzial=5,
http://www.patrimonium.chrystusowcy.pl/kandydaci-na-oltarze/sluga-bozy-ks-ignacy-
posadzy/proces-beatyfikacyjny/rekognicja/#.VSHBLBdHU-8.
115 Zob. np.: Encyklopedia Gutenberga, dostępna na: http://www.gutenberg.
czyz.org/word,65489; ; Słownik Języka Polskiego, Wersja Elektroniczna, dostępny na:
sjp.pl.
116 PN-ISO/IEC 2382-8:2001 – 08.04.02.
uwierzytelnienia, które może odbywać się na różne sposoby,
zazwyczaj według jednego ze schematów: „coś wiedzieć” (np.
hasło-odzew), coś mieć” (np. kartę bankomatową), bądź kimś
być (np. poprzez pomiar biometryczny). Dane przesyłane w celu
poświadczenia tożsamości noszą nazwę danych uwierzytel-
niających117 (ang. credential)118;
autoryzacji.
1.9 PRZYKŁADY DEFINICJI LEGALNYCH
Podstawowym aktem prawnym, który miał za zadanie uporządko-
wanie definicji pojęć informatycznych używanych w polskim
prawodawstwie jest ustawa z 4.9.2008 r. o zmianie ustaw w celu
ujednolicenia terminologii informatycznej119, która wprowadziła pojęcia
„informatyczny nośnik danych”, „dokument elektroniczny”, „system
teleinformatyczny” oraz „środki komunikacji elektronicznej” użyte w art.
3 pkt 1–4 ustawy z 17.2.2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne120 do szeregu innych ustaw. Sama
UoIDPP została zresztą później, to jest już po uchwaleniu UoZUTI,
znowelizowana121 (ustawą z 12.2.2010 r. o zmianie ustawy o infor-
matyzacji działalności podmiotów realizujących zadania publiczne oraz
niektórych innych ustaw122), w interesującym z punktu widzenia tego
rozdziału zakresie (zmieniły się definicje „informatycznego nośnika
danych” oraz „systemu teleinformatycznego”). Odpowiednie definicje
w momencie uchwalenia ustawy brzmiały:
informatyczny nośnik danych materiał lub urządzenie
służące do zapisywania, przechowywania i odczytywania danych
w postaci cyfrowej lub analogowej”;
117 Ściśle rzecz biorąc definicja normatywna odnosi się do uwierzytelniania stacji: Dane
uwierzytelniające – dane przesłane celu ustalenia poświadczonej tożsamości stacji PN-T-
20000:1994 – D.
118 Jako ciekawostkę można podać, że w języku polskim słowa „kredencjał” (nieznanego
większości słowników) używa się w odniesieniu do dokumentu pielgrzyma dróg
św. Jakuba, pełniącego rolę legitymacji lub paszportu pielgrzymiego.
119 Dz.U. z 2008 r. Nr 171, poz. 1056; dalej jako: UoZUTI.
120 T. jedn.: Dz.U. z 2014 r. poz. 1114; dalej jako: UoIDPP.
121 Była to zresztą jej już trzecia nowelizacja.
122 Dz.U. z 2010 r. Nr 40, poz. 230.
system teleinformatyczny system teleinformatyczny
w rozumieniu art. 2 pkt 3 ustawy z dnia 18.7.2002 r.
o świadczeniu usług drogą elektroniczną123”.
Powołana UoSUDE w swoim pierwotnym brzmieniu definiowała
system teleinformatyczny jako „system teleinformatyczny — zespół
współpracujących ze sobą urządzeń informatycznych i oprogramowania,
zapewniający przetwarzanie i przechowywanie, a także wysyłanie
i odbieranie danych poprzez sieci telekomunikacyjne za pomocą
właściwego dla danego rodzaju sieci urządzenia końcowego w rozu-
mieniu ustawy z 21.7.2000 r. — Prawo telekomunikacyjne124”, w brzmie-
niu obecnym natomiast zmianie uległo jedynie odwołanie do
PrTelekom2000 (która w międzyczasie również została znowelizowana).
Natomiast po nowelizacji UoIDPP definicje, o których mowa brzmią:
informatyczny nośnik danych materiał lub urządzenie
służące do zapisywania, przechowywania i odczytywania danych
w postaci cyfrowej”;
system teleinformatyczny zespół współpracujących ze sobą
urządzeń informatycznych i oprogramowania zapewniający
przetwarzanie, przechowywanie, a także wysyłanie i odbieranie
danych przez sieci telekomunikacyjne za pomocą właściwego dla
danego rodzaju sieci telekomunikacyjnego urządzenia końco-
wego w rozumieniu przepisów ustawy z 16.7.2004 r. – Prawo
telekomunikacyjne125”.
Definicja dokumentu elektronicznego brzmi: „dokument elektro-
niczny stanowiący odrębną całość́ znaczeniową zbiór danych
uporządkowanych w określonej strukturze wewnętrznej i zapisany na
informatycznym nośniku danych”, natomiast zamiast definicji środków
komunikacji elektronicznej UoIDPP zawiera kolejne odesłanie do
UoSUDE: „środki komunikacji elektronicznej – środki komunikacji
elektronicznej w rozumieniu art. 2 pkt 5 UoSUDE. Ta zaś ustawa zawiera
definicję w brzmieniu: środki komunikacji elektronicznejrozwią-
zania techniczne, w tym urządzenia teleinformatyczne i współpracujące
z nimi narzędzia programowe, umożliwiające indywidualne porozumie-
wanie się
̨na odległość przy wykorzystaniu transmisji danych między
123 T. jedn.: Dz.U. z 2013 r. poz. 1422; dalej jako: UoSUDE oraz z ustawa z 20.4.2004 r.
o zmianie i uchyleniu niektórych ustaw w związku z uzyskaniem przez Rzeczpospolitą
Polską członkostwa w Unii Europejskiej (Dz.U, z 2004 r. Nr 96, poz. 959) i Nr 173 poz.
1808
124 Dz.U. z 2000 r. Nr 73, poz. 852.; dalej jako: PrTelekom2000.
125 T. jedn.: Dz.U. z 2014 r. poz. 243.
systemami teleinformatycznymi, a w szczególności pocztę elektro-
niczną”.
Abstrahując od specyfiki języka prawnego, który wybitnie zmniejsza
komunikatywność przytoczonych definicji, nie można pominąć faktu, że
wprowadzenie w UoZUTI czterech, stosunkowo prostych, definicji
zostało osiągnięte poprzez odesłania do dwóch innych ustaw (UoIDPP
oraz UoSUDE). Biorąc pod uwagę, że sama UoZUTI wprowadzała
zmiany w trzydziestu różnych ustawach wydaje się, niewiele
większym nakładem pracy byłoby zamieszczenie odpowiednich definicji
w jednym akcie prawnym (o charakterze glosariusza) i umieszczenie
odwołań do niego również w trzydziestu dwóch ustawach. Niewątpliwie
poprawiłoby to klarowność tego fragmentu systemu prawnego i ułatwiło
wykładnię przepisów tych ustaw, która obecnie komplikuje się po każdej
zmianie którejś z ustaw, do której odwołanie (albo odwołanie do
odwołania do której) zawiera UoZUTI 126.
126 Powyższe rozważania mają znaczenie choćby przy okazji art. 268 § 2 KK, w którym
po wejściu w życie UoZUTI, na skutek której zwrot „komputerowy nośnik informacji”
zamieniony został na „informatyczny nośnik danych”:
„art. 268. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub
zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie
utrudnia osobie uprawnionej zapoznanie się
̨z nią̨, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych,
sprawca podlega karze pozbawienia wolności do lat 3.”
Informatyczny nośnik danych pierwotnie zdefiniowany był jako „materiał lub urządzenie
służące do zapisywania, przechowywania i odczytania danych w postaci cyfrowej lub
analogowej” (art. 3 pkt 1 UoIDPP, w ten sposób – gdyby trzymać się rozumienia
słownikowego – obejmował więc również np. kartkę papieru zapisaną literami. Sytuacja
prawna zmieniła się po nowelizacji w 2010 r. UoIDPP i zawartej w niej definicji
informatycznego nośnika danych). Definicja informatycznego nośnika danych przyła
wówczas postać „informatyczny nośnik danych – materiał lub urządzenie służące do
zapisywania, przechowywania i odczytywania danych w postaci cyfrowej” (można więc
zastanawiać się, czy za informatyczny nośnik danych można uznać np. kartkę papieru,
o ile jest ona zapisana cyframi). Taka zmiana powodować może zmianę kwalifikacji
karnej czynu polegającego na zniszczeniu zapisu istotnej informacji, znajdującego się np.
na klasycznej (analogowej) taśmie magnetofonowej. Znacznie bardziej czytelne
definicje z Polskich Norm. Powołana wielokrotnie norma [PN-ISO/IEC 2382-1:1996-
01.01.51] definiuje po prostu „nośnik danych – przedmiot, w którym lub na którym
można zapisać dane oraz z którego dane można odzyskać”. Wprowadzenie dookreślenia
„informatyczny” jest zatem z technicznego punktu widzenia wątpliwe, szczególnie, że
trudno sobie wyobrazić aby intencją ustawodawcy było zróżnicowanie kar za utrudnianie
osobie uprawnionej zapoznania się z informacją zawartą np. na zdjęciu, w zależności od
tego, czy było ono wydrukowane na papierze, czy wyświetlone na urządzeniu typu
„fotoramka” albo czy do jego zapisu wykorzystano urządzenie kodujące informacje
w postaci liczb jedno- czy wielocyfrowych. Należy raczej spodziewać się, że
ustawodawca chciał rozróżnić nielegalne operacje wykonywane na danych zapisanych na
1.10 CYBERNETYKA, CYBERPRZESTRZEŃ
I CYBERBEZPIECZEŃSTWO
Cybernetyka (ang. cybernetics z gr. κυβερνητικός – kybernētikόs
„sternik”) jest nauką127 zajmującą się systemami sterowania oraz
związanym z tym przetwarzaniem i przekazywaniem informacji.
Stosunkowo często cybernetyka jest mylona z informatyką, w szcze-
gólności przez osoby zajmujące się innymi dziedzinami wiedzy128. Prefix
„cyber-” jest niezwykle popularny w mowie potocznej, z której
przeniknął do języka prawnego i prawniczego. Stało się tak np.
z pojęciem cyberprzestrzeni (ang. cyberspace). Samo słowo zostało
użyte po raz pierwszy w opowiadaniu „Burning Chrome” autorstwa
W. Gibsona129, przy czym desygnat tego słowa był pierwotnie
nieokreślony. Pojęcie „cyberprzestrzeni”, gdyby rozumieć je zgodnie
z jego etymologią, jest z technicznego punktu widzenia co najmniej
wątpliwe, po pierwsze z uwagi na – opisane wcześniej – rozróżnienie
między cybernetyką a informatyką, po wtóre z uwagi na to, że trudno
jakimś nośniku od operacji wykonywanych na danych przesyłanych (np. w sieci
komputerowej).
127 Na marginesie można zauważyć, że z niewiadomych względów, w powoływanym już
ROWDN cybernetyki nie ma, jest za to – w obszarze nauk technicznych, dziedzinie nauk
technicznych dyscyplina biocybernetyka i inżynieria biomedyczna.
128 W pracy Kolasińska E., Rot H., Podstawy cybernetyki i informatyki prawniczej,
Wrocław 1983 znajduje się następujące rozróżnienie:
„Jedyne kryterium rozdzielania zagadnień zaliczanych do cybernetyki prawniczej od
zagadnień stanowiących przedmiot badawczy informatyki prawniczej może stanowić
stopień ich przydatności do ewentualnego przetwarzania informacji o prawie (..) Należy
więc uznać, że im stopień tej przydatności jest większy, tym rozważania są bliższe
informatyce prawniczej, a zarazem bardziej techniczne. Przy małym stopniu przydatności
mamy do czynienia z cybernetycznymi analizami modelowymi (prowadzonymi z reguły
na wyższym stopniu abstrakcji)”. W pracy Petzel J., Informatyka prawnicza…, op. cit.,
Autor pisze wręcz, że „część autorów stoi na stanowisku, iż cybernetyka i informatyka są
jedną dyscypliną naukową (..) Ma to swoje konsekwencje dla określenia wzajemnego
stosunku cybernetyki prawniczej i informatyki prawniczej, które są w tym rozumieniu
również jedną dyscypliną naukową”.
129 Część źródeł podaje, że miało to miejsce w powieści „Neuromancer” (zob. np.:
Dziwisz S., Odpowiedzialność karna za przestępstwa popełnione w cyberprzestrzeni [w:]
Podraza A., Potakowski P., Wiak K. (red.), Cyberterroryzm zagrożeniem XXI wieku,
Warszawa 2013).
mówić o „przestrzeni cybernetycznej” (czy nawet „informatycznej”)130,
stąd też trudno byłoby dywagować o potrzebie bezpieczeństwa
i możliwościach ochrony takiego hipotetycznego tworu. Akty prawne
dotyczące bezpieczeństwa próbują jednak definiować cyberprzestrzeń na
podobieństwo przestrzeni powietrznej, morskiej, czy dowej. I tak
ustawa z 30.8.2011 r. o zmianie ustawy o stanie wojennym oraz
o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego
podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz
niektórych innych ustaw131 definiuje ją jako
przestrzeń przetwarzania i wymiany informacji tworzoną przez
systemy teleinformatyczne, określone w art. 3 pkt 3 UoIDPP,
130 W pracy Liderman K., O zagrożeniach dla skutecznej ochrony informacji,
Przetwarzanej w sieciach i systemach teleinformatycznych, powodowanych nowomową,
Konferencja „Cyberspace 2009” Autor dość emocjonalnie nazywa podobne określenia
„nowomową”: „Oczywiście, ta swoista >>nowomowa<< nie wzięła się znikąd. Przyszła
do nas zza Wielkiej Wody od naszego aktualnego Wielkiego Brata jako proste
tłumaczenie angielskojęzycznych określeń: cybersecurity, cyberdefense itd. zawartych
w dokumentach administracji USA. () Przy panującym imperializmie językowym, gd y
to, co jest napisane po angielsku jest święte, a to samo sformułowane w innym języku, np.
polskim, się
̨nie liczy i jest pogardzane, takie podejście nie dziwi. Przyswajanych jest
wiele takich słów-wytrychów (najczęściej bezkrytycznie), bo uważa się powszechnie, że
ich używanie świadczy o znajomości najnowszych światowych trendów. () Niestety,
zapomina się
̨przy tym często, że w języku angielskim głupstwa można wypisywać́
i wygłaszać́ równie dobrze jak np. w języku polskim”. Kosiński J. w monografii
habilitacyjnej (Kosiński J., Paradygmaty cyberprzestępczości, Warszawa 2015 s. 31)
pisze: „»Cyber« jest idealnym prefiksem – większość czytelników i słuchaczy nie ma
pojęcia, co znaczy, ale może poprzedzać dowolne słowo, aby całość wydawała się nowa,
atrakcyjna i jednocześnie dziwna, straszna lub naukowa (…) określenie »przestępstwa
cybernetyczne«, często używane w tłumaczeniach i literaturze wojskowej wydaje się
niewłaściwe. Przegląd definicji określeń zaczynających się od członu »cyber-«
potwierdza jedynie, że nie ma jednolitych definicji tych określeń w mediach,
w dokumentach strategicznych, a nawet w publikacjach naukowych”. Podobnie
argumentuje Berdel-Dudzińska M., Pojęcie cyberprzestrzeni we współczesnym polskim
porządku prawnym, dostępne na: http://www.ksiegarnia.lexisnexis.pl/gfx/lexisnexis/
userfiles/files/pojecie_cyberprzestrzeni_we_wspolczesnym_polskim_porzadku_prawnym.
pdf przytaczając opinię z analizy sejmowej: Mróz M., Informacja nt. pojęcia
cyberprzestrzeni oraz bezpieczeństwa i zagrożenia cyberprzestrzeni wprawie
międzynarodowym i w ustawodawstwie wybranych państw demokratycznych (w zw.
z Drukiem sejmowym nr 4355.), Warszawa 2011 r., Druk sejmowy nr 1757,
http://orka.sejm.gov.pl/rexdomk6.nsf/0/B73334CDA51F11A1C12578CC0047C0E2/$file/
i1757-11.rtf, mianowicie, że pojęcie „cyberprzestrzeń” w prawie międzynarodowym,
prawie Unii Europejskiej i w ustawodawstwie narodowym poszczególnych państw
przywoływane jest rzadko, a w tekstach o treści ściśle normatywnej jedynie
sporadycznie. Por.: Szmit M., Cyberbezpieczeństwo jako zagadnienie interdyscyplinarne
[w:] Bezpieczeństwo w administracji i biznesie jako czynnik europejskiej integracji
i rozwoju, Gdynia 2015 s. 391–413.
131 Dz.U. z 2011 r. Nr 222, poz. 1323.
wraz z powiązaniami pomiędzy nimi oraz relacjami z ytko-
wnikami”.
Natomiast Rządowy program ochrony cyberprzestrzeni Rzeczy-
pospolitej Polskiej na lata 2011–2016 (jak również Polityka ochrony
cyberprzestrzeni Rzeczypospolitej Polskiej) jako:
Cyberprzestrzeń – cyfrowa przestrzeń przetwarzania i wymiany
informacji tworzona przez systemy i sieci teleinformatyczne wraz
z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami.
Cyberprzestrzeń RP – cyberprzestrzeń w obrębie terytorium
państwa Polskiego i w lokalizacjach poza terytorium, gdzie
funkcjonują przedstawiciele RP (placówki dyplomatyczne,
kontyngenty wojskowe).
Próba literalnego rozumienia powyższych definicji legalnych
prowadziłaby do paradoksów: zdają się one być nazwami pustymi
(pozbawionymi desygnatu) o tyle, że systemy informatyczne nie tworzą
przestrzeni, choć poszczególne nośniki informacji, urządzenia służące do
jej przesyłania czy przetwarzania, czy użytkownicy systemów oczywiście
jakąś przestrzeń zajmują, ewentualnie (jeśli za tworzenie przestrzeni”)
przyjąć miejsce zachodzenia owych procesów przetwarzania i wymiany
informacji, „cyberprzestrzeń RP” będzie rozciągała się na cały świat,
a przynajmniej na tę jego część, w której znajdują się przedstawiciele RP
(użytkownicy powiązani relacjami z systemami informatycznymi,
bowiem trudno sobie współcześnie wyobrazić jakiegoś przedstawiciela
RP, który nie jest użytkownikiem jakichkolwiek systemów informa-
tycznych).
Pojęcia cyberprzestrzeni i cyberbezpieczeństwa zostały również
zdefiniowane w normie międzynarodowej132 ISO/IEC 270032, w ten
sposób, że cyberprzestrzeń133 zdefiniowano jako złożone środowisko
będące rezultatem oddziaływań ludzi, oprogramowania i usług w Inter-
necie prowadzonych za pomocą urządzeń i sieci przyłączonych do niego,
które nie istnieje w formie materialnej.
Można się domyślać, że twórcom tej definicji zależało na
podkreśleniu efektów synergicznych134 jakie niesie ze sobą Internet,
132 W chwili pisania niniejszej książki nie było jeszcze odpowiedniej Polskiej Normy, stąd
też definicje z normy międzynarodowej przytoczono in extenso w przypisach.
133 „The Cyberspace – the complex environment resulting from the interaction of people,
software and services on the Internet by means of technology devices and networks
connected to it, which does not exist in any physical form” [ISO/IEC 270032-3.21].
134 Posługując się pojęciami cybernetycznymi (sensu stricto): synergia jest to zjawisko
polegające na tym, że własności danego systemu (rozumianego jako zbiór elementów
i relacji pomiędzy nimi zob. np.: Szmit M., Informatyka…, op. cit., s. 6 i n.) nie da się
szczególnie w jego wymiarze społecznym, niemniej definicja mówiąca
o oddziaływaniach (interakcjach), a więc zjawiskach nieistniejących
w formie fizycznej, musi budzić wątpliwości metodologiczne135. Warto
natomiast zwrócić uwagę, że rzeczywiście znacznie lepiej od słowa
„przestrzeń” do „cyberprzestrzeni” przystaje słowo „środowisko”.
Definicja normatywna pojęcia cybersecurity136 jest zaadaptowaną
wersją przytoczonej wcześniej normatywnej definicji bezpieczeństwa
informacji, precyzującą, że chodzi o bezpieczeństwo informacji
w cyberprzestrzeni. Norma definiuje jako zachowanie poufności,
integralności i dostępności informacji (przy czym mogą być brane także
pod uwagę inne atrybuty) w cyberprzestrzeni.
sprowadzić do prostej sumy własności jego składowych. Obrazowo oddaje tę własność
systemów parafraza cytatu z „Metafizyki” Arystotelesa mówiąca, że całość to więcej niż
suma jej części (zob. np.: Penc J., Leksykon…, op. cit., s. 434). Fakt istnienia relacji
pomiędzy składowymi systemu powoduje powstanie szeregu jego własności, których nie
mają same te składowe, ani nawet nie miałaby suma tych składowych nie połączonych
tymi relacjami. Innym zjawiskiem, które należy uwzględnić mówiąc o systemie jest fakt,
że rozpatrywanie go ma zawsze sens jedynie w szerszym kontekście (pewnego meta-
systemu) – zależność ta nosi nazwę paradoksu hierarchiczności: system można opisać
tylko pod warunkiem, że będziemy go traktować jako element systemu szerszego,
z drugiej strony, w jego ramach można zazwyczaj łatwo wydzielić szereg elementów
dających się zakwalifikować jako podsystemy (zob. np.: Flakiewicz W., Oleksiński J.,
Cybernetyka ekonomiczna, Warszawa 1989 s. 21 i n.).
W normie ISO/IEC 270032 wyjaśniono, że cyberprzestrzeń może być opisana jako
wirtualne złożone środowisko będące wynikiem rozwoju Internetu wraz z osobami,
organizacjami, ich działalnością, technologiami, sieciami i urządzeniami podłączonymi
do niego, jak się więc wydaje rozumienie pojęcia „Cyberprzestrzeni” jako tak
rozumianego metasystemu dla pojęcia „Internet” jest uprawnione.
135 Budowanie definicji przez odwołanie się do atrybutu, którego definiowane pojęcie nie
posiada jest praktyką, której należy w miarę możliwości unikać.
136„Cybersecurity, Cyberspace security – preservation of confidentiality, integrity and
availability of information in the Cyberspace.
NOTE 1 In addition, other properties, such as authenticity, accountability, non-
repudiation, and reliability can also be involved.
NOTE 2 Adapted from the definition for information security in ISO/IEC 27000:2009.”
[ISO/IEC 270032-3.20].
Norma zawiera jeszcze definicję pojęcia cybersafety137, na którą
warto zwrócić uwagę w kontekście dyskutowanych wcześniej pojęć
safety i security. Przyjęte przez normę znaczenie mówi o byciu chronio-
nym i o poczuciu bycia chronionym przed szeregiem zagrożeń najróżniej-
szej natury (zdrowotnymi, duchowymi, psychologicznymi etc.). Wzaje-
mny stosunek pomiędzy różnymi rodzajami bezpieczeństwa został zilu-
strowany w powołanej normie rysunkiem, jak poniżej (zob. Rysunek 4).
Rysunek 4. Relacje pomiędzy różnymi rodzajami bezpieczeństwa informacji.
Warto zwrócić uwagę, że podejście normatywne rozgranicza
ochronę infrastruktury krytycznej od cyberbezpieczeństwa (nie mają one
na powyższym rysunku części wspólnych). Natomiast na przykład
Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej definiuje
„bezpieczeństwo cyberprzestrzeni RP” następująco: „część cyberbezpie-
czeństwa państwa, obejmująca zespół przedsięwzięć organizacyjno-
prawnych, technicznych, fizycznych i edukacyjnych mających na celu
zapewnienie niezakłóconego funkcjonowania cyberprzestrzeni RP wraz
ze stanowiącą jej komponent publiczną i prywatną teleinformatyczną
infrastrukturą krytyczną oraz bezpieczeństwa przetwarzanych w niej
137 „Cybersafety – the condition of being protected against physical, social, spiritual,
financial, political, emotional, occupational, psychological, educational or other types or
consequences of failure, damage, error, accidents, harm or any other event in the
Cyberspace which could be considered non-desirable.
NOTE 1 This can take the form of being protected from the event or from exposure to
something that causes health or economical losses. It can include protection of people or
of assets.
NOTE 2 Safety in general is also defined as the state of being certain that adverse effects
will not be caused by some agent under defined conditions”. [ISO/IEC 270032-3.19].
zasobów informacyjnych”. „Doktryna…” zatem dołącza zagadnienie
ochrony przynajmniej części – infrastruktury krytycznej do pojęcia
cyberbezpieczeństwa. Użyte pojęcie „cyberbezpieczeństwa państwa”
pozostaje w powołanym dokumencie niezdefiniowane.
Już zatem nawet pobieżna lektura trzech podstawowych
dokumentów: Doktryny Cyberbezpieczeństwa Rzeczypospolitej Polskiej,
Rządowego Programu Ochrony Cyberprzestrzeni RP na lata 2011–2016
oraz Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej
wzbudza poważne wątpliwości odnośnie do nawet tak elementarnych
kwestii jak poprawność użytej terminologii. Tym bardziej wskazane
wydawało się podjęcie próby analizy, jak owo „cyberbezpieczeństwo”
zostało w praktyce zapewnione w urzędach administracji rządowej
i samorządowej.
2.
SYSTEMY ZARZĄDZANIA
BEZPIECZEŃSTWEM INFORMACJI
W ADMINISTRACJI PUBLICZNEJ
W POLSCE
2.1 CHARAKTERYSTYKA ADMINISTRACJI PUBLICZNEJ
Termin „administracja” pochodzi od łacińskiego słowa ministrare,
oznaczającego służyć (przedrostek „ad” wzmacnia jego służebny sens)138.
Istnieje wiele definicji tego pojęcia. J. Starościak139 definiuje je jako
„funkcję organizatorską o cechach takich jak: inicjatorski charakter
działalności, rozwiązywanie konkretnych sytuacji, prowadzenie pracy
organizatorskiej nie tylko przez tworzenie obowiązujących norm
porządku prawnego, szczególne prawem określone formy działalności
administracyjnej państwa”. J. Boć140 określa administrację jako „przyjęte
przez państwo i realizowane przez jego zawiłe organy, a także przez
organy samorządu terytorialnego, zaspokajanie zbiorowych i indywidual-
nych potrzeb obywateli, wynikających ze współżycia w społecznościach”
Najogólniej, za E. Ochendowskim141, pod tym pojęciem rozumie s
wszelką zorganizowaną działalność zmierzającą do osiągania poszcze-
gólnych celów.
Administracja publiczna (ang. public administration), określana jest
przez Autorów142 jako zespół działań, czynności oraz przedsięwzięć
138 Zob.: Iserzon E., Prawo administracyjne, Wydawnictwo, Warszawa, 1968 s. 19;
Ochendowski E.: Prawo administracyjne: część ogólna, Toruń 2002 s. 18; Izdebski H.,
Kulesza M., Administracja publiczna – zagadnienia ogólne, Warszawa 2004 s. 23 oraz
Hausner J., Administracja publiczna, Warszawa 2005.
139Zob.: Starościak J., Prawo administracyjne, Warszawa 1975 s.10.
140 Zob.: Błaś A., Boć J., Jeżewski J., Administracja publiczna, pod red. Boć J., Poznań
2004, s. 16.
141 Zob.: Ochendowski E.: Prawo administracyjne…, op. cit.
142 Definicje tego pojęcia zostały zebrane m.in. w publikacji: Monarcha-Matlak A.,
Obowiązki administracji w komunikacji elektronicznej, Warszawa 2008 s. 19–20.
Definicja administracji publicznej rozpatrywana jest przez Ochendowskiego E. w ujęciu
przedmiotowym (materialnym), podmiotowym (organizacyjnym) oraz formalnym.
organizatorskich i wykonawczych prowadzonych na rzecz realizacji
interesu publicznego przez różne podmioty, organy i instytucje, na
podstawie ustawy i w określonych prawem formach. Ma ona wymiar
ogólnospołeczny i obejmuje zakres spraw o charakterze publicznym.
Istnieje wiele podziałów administracji publicznej. Niektórzy
Autorzy143 prezentują podzi na zdecentralizowaną, centralną oraz
upoważnione podmioty prawa prywatnego (zob. Rysunek 5). Według tej
klasyfikacji zadania wykonywane są:
w ramach administracji państwowej – przez scentralizowaną
i zbudowaną hierarchicznie administrację rządową;
na zasadach zdecentralizowanych przez inne podmioty
i samodzielne instytucje administracji publicznej;
jako zadania zlecane różnym organizacjom, instytucjom i innym
podmiotom, zwłaszcza spoza sektora publicznego.
Rysunek 5.System podmiotów administracji publicznej według
E. Ochendowskiego.
Źródło: opracowanie własne na podstawie: Ochendowski E.:
Prawo administracyjne…, op. cit. s. 213.
Natomiast Izdebski H. i Kulesza M. (Izdebski H., Kulesza M., Administracja publiczna…,
op. cit.) wyróżniają również aspekt funkcjonalny administracji.
143 Podział zadań administracji publicznej zaproponowany w pracy Izdebski H., Kulesza
M., Administracja publiczna…, op. cit., s. 130–131.
Inny podział przedstawia Boć J. (zob. Rysunek 6).
Rysunek 6. Podział administracji państwowej według J. Bocia.
Źródło: opracowanie własne na podstawie: Błaś A., Boć J., Jeżewski J.,
Administracja publiczna…, op. cit.
Zgodnie z podziałem zaproponowanym przez J. Bocia z całości
administracji publicznej wyróżnia się administrację państwową, rządową
i samorządową.
Administrację państwową (ang. state administration) można
wyodrębnić ze względu na jej stabilność, trwałość i zasięg historyczny.
Obecnie w Polsce zalicza się do niej144:
Prezydenta;
Najwyższą Izbę Kontroli;
Krajową Radę Radiofonii i Telewizji;
Rzecznika Praw Obywatelskich;
Krajową Radę Sądownictwa;
organy Narodowego Banku Polskiego, w tym Radę Polityki
Pieniężnej;
centralne organy administracji podległe Sejmowi;
ambasadorów i konsulów Rzeczpospolitej Polskiej jako organy
administracji państwowej funkcjonujące za granicami państwa.
Administrację rządową (ang. government administration) można
podzielić ze względu na zakres jej działania na:
central obsługującą rząd, pełniącą funkcję rządzenia krajem
i kierującą całością administracji rządowej, obejmującą obok
144 Zob.: Błaś A., Boć J., Jeżewski J., Administracja publiczna…, op. cit., s. 48 oraz
Ochendowski E.: Prawo administracyjne…, op. cit., s. 214–223.
premiera, czyli Prezesa Rady Ministrów, również ministrów
kierujących określonymi działami administracji rządowej oraz
ministrów wykonujących zadania wyznaczone im przez Prezesa
Rady Ministrów;
terenową145, dla której można wyróżnić jeszcze dodatkowy
podział na zespoloną i niezespoloną.
Zgodnie z ustawą z 5.6.1998 r. o administracji rządowej146
w województwach utworzono wojewódzką administrację zespoloną,
którą poza wojewodą stanowią kierownicy zespolonych służb, inspekcji
i straży. Powiatowe służby, inspekcje i straże działają pod zwierzchni-
ctwem starosty. Ustanowienie organów administracji niezespolonej może
następować wyłącznie w drodze ustawy, jeśli jest to uzasadnione
ogólnopaństwowym charakterem wykonywanych zadań lub terytor-
ialnym zasięgiem działania przekraczającym obszar jednego woje-
wództwa. Z załączonego do powoływanej ustawy wykazu wynika, że
organy administracji niezespolonej występują w następujących działach
administracji rządowej: wojskowa, skarbowa, górnicza, miar, probiercza,
gospodarki wodnej, celna i inspekcja celna, morska, statystyki publicznej,
żeglugi śródlądowej i straży granicznej147. W 2009 r. wprowadzono nową
ustawę o wojewodzie i administracji rządowej w województwie148
uchylającą UoAR. Określa ona zakres działania oraz zasady funkcjo-
nowania wojewody, tryb jego powoływania i odwoływania oraz
organizację rządowej administracji zespolonej i niezespolonej. Zgodnie
z ustawą zadania administracji rządowej w województwie wykonują:
1) wojewoda;
2) organy rządowej administracji zespolonej w województwie,
w tym kierownicy zespolonych służb, inspekcji i straży;
3) organy niezespolonej administracji rządowej;
4) jednostki samorządu terytorialnego i ich związki, jeżeli wykony-
wanie przez nie zadań administracji rządowej wynika z odrę-
bnych ustaw lub z zawartego porozumienia;
5) starosta, jeżeli wykonywanie przez niego zadań administracji
rządowej wynika z odrębnych ustaw;
6) inne podmioty, jeżeli wykonywanie przez nie zadań administracji
rządowej wynika z odrębnych ustaw.
145 Zob.: Izdebski H., Kulesza M., Administracja publiczna…, op. cit., s. 131–135.
146 Dz.U. 1998 Nr 91, poz. 577 ze zm.; dalej jako: UoAR.
147 Zob.: Ochendowski E.: Prawo administracyjne…, op. cit., s. 291 i 292.
148 Zob.: ustawa z 23.1.2009 r. o wojewodzie i administracji rządowej w województwie
(t. jedn.: Dz.U. z 2015 r. poz. 525.
Administracja samorządowa (ang. local government administration)
w Polsce na podstawie ustawy z 24.7.1998 r. o wprowadzeniu zasa-
dniczego trójstopniowego podziału terytorialnego państwa149, została
ukształtowana na trzech szczeblach. Podział został wprowadzony z dniem
1.1.1999 r. Jednostkami zasadniczego podziału terytorialnego są:
gminy;
powiaty;
województwa150.
Zgodnie z art. 164 ust. 1 Konstytucji Rzeczpospolitej Polskiej
podstawową jednostką samorządu terytorialnego jest gmina151. Przez
pojęcie gminy należy rozumieć „lokalną wspólnotę samorządową oraz
odpowiednie terytorium”152. Przez określenie „powiat” należy rozumieć
„lokalną wspólnotę samorządową oraz odpowiednie terytorium”153.
Z dniem 1.1.1999 r. zostały utworzone (ponownie) powiaty (obecnie 314
powiatów) i miasta na prawach powiatu – 66 gmin miejskich wyłączono
z powiatów, z uwagi na przyznanie im prawa powiatu (miasta na prawach
powiatu, powiaty grodzkie). Są to miasta powyżej 100 000 mieszkańców,
kilka mniejszych, ze względu na ich położenie geograficzne oraz byłe
miasta wojewódzkie, z wyjątkiem tych, które zrezygnowały z tego
prawa154. Natomiast przez „województwo lub samorząd województwa”
należy rozumieć „regionalną wspólnotę samorządową oraz odpowiednie
terytorium”155. Na mocy UoWZTPT, utworzonych zostało z dniem
1.1.1999 r. 16 województw. Ustawa określiła ich nazwy, siedziby
wojewodów i sejmików województwa. Nazwy województw tylko
w trzech przypadkach (w województwach: lubelskim, łódzkim
i opolskim) pochodzą od nazwy stolicy województwa, w pozostałych
przypadkach od nazw ziem czy regionów156.
149 Dz.U. z 1998 r. Nr 96, poz. 603; dalej jako: UoWZTPT.
150 Ochendowski E.: Prawo administracyjne…, op. cit., s. 291 i 292, UoWZTPT.
151 Konstytucja Rzeczpospolitej Polskiej z 2.4.1997 r. (Dz.U. z 16.7.1997 r. Nr 78, poz.
483 z późn. zm.).
152 Zob.: art. 1 ust. 2 ustawy z 8.3.1990 r. o samorządzie gminnym (t. jedn.: Dz.U. z 2015
r. poz. 1515; dalej jako: UoSG).
153 Zob.: art. 1 ust. 2 ustawy z 5.6.1998 r. o samorządzie powiatowym (t. jedn.: Dz.U.
z 2015 r. poz. 1445; dalej jako: UoSP).
154 Zob.: Izdebski H., Kulesza M., Administracja publiczna…, op. cit., s. 250 oraz zasady
tworzenia powiatów w UoSP.
155 Zob.: art. 1 ust. 2 ustawy z 5.6.1998 r. o samorządzie województwa (t. jedn.: Dz. U.
z 2015 r. poz. 1392; dalej jako: UoSW).
156 Zob.: Ochendowski E.: Prawo administracyjne…, op. cit., s. 284 oraz art. 2
UoWZTPTP.
Wśród wykonywanych przez jednostki samorządu terytorialnego
wyróżnia się zadania własne i zadania zlecone:
zadaniami własnymi jednostek samorządu terytorialnego
zadania publiczne służące zaspokajaniu potrzeb wspólnoty
samorządowej;
zadaniami zleconymi są inne zadania publiczne, których wyko-
nywanie ustawa zleca jednostkom samorządu terytorialnego, gdy
to wynika z uzasadnionych potrzeb państwa157.
Konstytucja Rzeczypospolitej Polskiej określa w art. 169 ust. 1158, że
samorząd wykonuje swoje zadania za pośrednictwem organów
stanowiących i wykonawczych. Na stopniu gminy organem stanowiącym
jest rada gminy, zaś organem wykonawczym wójt (burmistrz, prezydent).
W przypadku powiatu, organem stanowiącym jest rada powiatu,
natomiast organami wykonawczymi starosta i zarząd powiatu.
W przypadku województwa organem stanowiącym jest sejmik woje-
wództwa, a organem wykonawczym zarząd województwa. W strukturach
gminnych wójt (burmistrz, prezydent miasta) jest wybierany bezpo-
średnio przez uprawnionych obywateli w gminie159 (zob. Rysunek 7).
Rysunek 7 Organy oraz urzędy administracji samorządowej.
Źródło: opracowanie własne na podstawie UoSG, UoSP i UoSW.
157 Zob.: Ochendowski E.: Prawo administracyjne…, op. cit., s. 316.
158 Zgodnie z KRP.
159 Zob.: Błaś A., Boć J., Jeżewski J., Administracja publiczna…, op. cit., s. 60 oraz
ustawy: UoSG, UoSP, UoSW.
W niniejszej monografii przedmiotem badań będą:
urzędy wojewódzkie;
urzędy marszałkowskie;
starostwa powiatowe i urzędy miast na prawach powiatu;
urzędy gmin.
Przedmiotem działalności urzędów gmin jest świadczenie pomocy
wójtowi, burmistrzowi, prezydentowi miasta w zakresie realizacji uchwał
rady miasta i zadań miasta określonych przepisami prawa państwowego.
Starostwo powiatowe jest jednostką pomocniczą, powołaną w celu
wykonywania zadań powiatu. W miastach na prawie powiatu funkcję
starostwa powiatowego pełni urząd miasta. Urzędy marszałkowskie
wojewódzkimi jednostkami organizacyjnymi i organami pomocniczymi
marszałka województwa. W zakresie administracji rządowej na szczeblu
wojewódzkim urząd wojewódzki jest jednostką pomocniczą wojewody
oraz organów rządowej administracji zespolonej (zob. Rysunek 8).
Rysunek 8. Administracja rządowa i samorządowa.
Źródło: https://mac.gov.pl/files/administracja_prezentacja.pdf.
2.2 SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
Przez „system zarządzania bezpieczeństwem informacji” (SZBI, ang.
Information Security Management System, ISIM) rozumie się (według
definicji zawartych w normach ISO/IEC z serii 27000), część systemu
zarządzania, opierającą się na koncepcji zarządzania ryzykiem bizne-
sowym, odpowiedzialną za ustanowienie, wdrożenie, funkcjonowanie,
monitorowanie, przeglądy, utrzymanie i doskonalenie bezpieczeństwa
informacji160, przy czym sam system zarządzania jest rozumiany jako
zbiór wytycznych, polityk, procedur, procesów i związanych z nimi
zasobów (a więc zarówno zasobów materialnych, takich jak komputery
czy maszyny, zasobów ludzkich – jak pracownicy wraz z ich umie-
jętnościami i doświadczeniem, jak i zasobów niematerialnych jak
programy komputerowe czy kultura organizacyjna) mających na celu
zapewnienie organizacji spełnienia swoich zadań161. Na podkreślenie
zasługują przynajmniej dwa elementy definicji normatywnych:
podejście systemowe, w szczególności związane z tym, że
system zarządzania bezpieczeństwem informacji tworzą nie tylko
same papierowe” zapisy (procedury, normy, zarządzenia itd.),
ale i wszelkie zasoby mające związek z bezpieczeństwem
informacji oraz
oparcie bezpieczeństwa informacji na koncepcji zarządzania
ryzykiem biznesowym162. Zgodnie z tym podejściem, elementami
zarządzania ryzkiem163 są: jego oszacowanie oraz zaplanowanie
odpowiedniego postępowania z nim (a więc podjęcie decyzji
o jego uniknięciu, akceptacji, przeniesieniu itp.). Podejście
biznesowe prowadzi do wniosku, że wartość środków ponie-
sionych na wybrany sposób postąpienia z danym ryzykiem nie
160 ISO/IEC 27000:2014 Information technology – Security techniques – Information
security management systems – Overview and vocabulary.
161 Zob.: Gillies A., Improving the quality of information security management systems
with ISO27000, „TQM Journal”, Vol. 23, Issue 4, 2011, s. 367–376; Humphreys E.,
Implementing the ISO/IEC 27001 Information Security Management System Standard,
Artech House, Norwood 2007, s. 11–44.
162 PN-ISO/IEC 31000:2012 – Zarządzanie ryzykiem – Zasady i wytyczne.
163 Rozumianym w ogólności jako skutek niepewności, a w szczególności – w odniesieniu
do ryzyka zagrożeń jako kombinacja prawdopodobieństwa zmaterializowania się
potencjalnego zagrożenia i jego skutków, a więc jako wartość oczekiwana potencjalnych
strat wynikających ze zrealizowania się potencjalnego zagrożenia.
6
3
może przekraczać spodziewanej wartości strat wynikłych
z konsekwencji ewentualnego zmaterializowania się zagrożeń164.
Ten ostatni element może budzić wątpliwość w odniesieniu do
zarządzania bezpieczeństwem informacji w organizacjach niebizne-
sowych, w tym w urzędach administracji państwowej i samorządowej.
O ile bowiem dla organizacji gospodarczej stosunkowo łatwo (przyna-
jmniej co do zasady) jest oszacować ekonomiczną wartość naruszenia
bezpieczeństwa poszczególnych informacji165, o tyle administracja
państwowa, rządowa czy samorządowa nie kieruje się zasadą maksyma-
lizacji zysku. Jednostki samorządu terytorialnego, finansowane
z budżetu państwa (w postaci dotacji celowej i subwencji ogólnej) oraz
z dochodów własnych166, przy czym dochody własne stanowią zdecy-
dowanie mniejszą część wpływów. Dlatego też, kategoria ryzyka
biznesowego, w przypadku tych jednostek, może nie być najlepszą dla
szacowania potencjalnych skutków naruszenia bezpieczeństwa. Niemniej
jednak podejście opisane w normach z serii ISO/IEC 27k stosuje się
również (zresztą zgodnie z określonym w nich zakresem) we wszystkich
typach organizacji, a więc w szczególności również w urzędach.
Zgodnie z § 20 ust 1. Rozporządzenia Rady Ministrów z 12.4.2012 r.
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań
dla rejestrów publicznych i wymiany informacji w postaci elektronicznej
oraz minimalnych wymagań dla systemów teleinformatycznych167
podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża
i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system
zarządzania bezpieczeństwem informacji zapewniający poufność,
dostępność i integralność informacji z uwzględnieniem takich atrybutów,
jak: autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
Przy czym wymagania w zakresie systemu zarządzania bezpieczeństwem
informacji w RozpKRI uznaje się za spełnione, jeżeli system ten „został
opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001,
a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie
odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:
164 Zob.: Staniec I., Zawiła-Niedźwiecki J., Zarządzanie ryzykiem operacyjnym,
Warszawa 2008, s. 201–228.
165 Zob. np.: McCandless D., World’s Biggest Data Breaches & Hacks, dostępny na:
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/.
166 Ustawa z 13.11.2003 r. o dochodach jednostek samorządu terytorialnego (t. jedn.:
Dz.U. z 2015 r. poz. 513); Jastrzębska M., Finanse jednostek samorządu terytorialnego,
Warszawa 2012, s. 106–130.
167 T. jedn.: Dz.U. z 2016 r. poz. 113; dalej jako: RozpKRI.
1. PN-ISO/IEC 17799168 w odniesieniu do ustanawiania
zabezpieczeń;
2. PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
3. PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki
informatycznej po katastrofie w ramach zarządzania ciągłością
działania”.
W zakresie systemu zarządzania bezpieczeństwem informacji
najważniejsze normy to:
PN-ISO/IEC 27001:2014-12 Technika informatyczna Tech-
niki bezpieczeństwa Systemy zarządzania bezpieczeństwem
informacji Wymagania, określa wymagania dotyczące ustano-
wienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu
zarządzania bezpieczeństwem informacji w odniesieniu do
organizacji. Obejmuje również wymagania dotyczące szacowania
i postępowania z ryzykiem dotyczącym bezpieczeństwa infor-
macji. Dokument składa się z następujących rozdziałów:
Wprowadzenie, Zakres normy, Powołania normatywne, Terminy
i definicje, Kontekst organizacji, Przywództwo, Planowanie,
Wsparcie, Działania operacyjne, Ocena wyników, Doskonalenie.
Normatywny załącznik A określa zabezpieczenia, które należy
stosować. Wykaz tych zabezpieczeń jest bezpośrednio związany
z normą 27002:
A.5 Polityki bezpieczeństwa informacji,
A.6 Organizacja bezpieczeństwa informacji,
A.7 Bezpieczeństwo zasobów ludzkich,
A.8 Zarządzanie aktywami,
A.9 Kontrola dostępu,
A.10 Kryptografia,
A.11 Bezpieczeństwo fizyczne i środowiskowe,
A.12 Bezpieczna eksploatacja,
A.13 Bezpieczeństwo komunikacji,
A.14 Pozyskiwanie, rozwój i utrzymanie systemów,
A.15 Relacje z dostawcami,
A.16 Zarządzanie incydentami związanymi
z bezpieczeństwem informacji,
A.17 Aspekty bezpieczeństwa informacji w zarządzaniu
ciągłością działania,
A.18 Zgodność.
168 Obecnie obowiązuje norma PN-ISO/IEC 27002:2014. Rozporządzenie nie zostało
jeszcze zmienione.
PN-ISO/IEC 27002:2014-12 Technika informatyczna
Techniki bezpieczeństwa Praktyczne zasady zabezpieczania
informacji, zawiera zalecenia dotyczące standardów bezpie-
czeństwa informacji w organizacjach i praktyki zarządzania
bezpieczeństwem informacji, w tym wyboru, wdrażania
i zarządzania zabezpieczeniami, z uwzględnieniem środowiska
(środowisk) w którym (których) w organizacji występuje (-ą)
ryzyko w bezpieczeństwie informacji. Rozdziały normy od 5 do
18 odnoszą się do wymienionych w załączniku A normy 27001
zabezpieczeń.
Powyższe normy PN-ISO/IEC 27001:2014 i PN-ISO/IEC
27002:2014 polskimi odpowiednikami norm ISO/IEC 27001
i ISO/IEC 27002, które to wywodzą się z brytyjskiego standardu BS
7799. Ewolucja tego standardu została przedstawiona na rysunku
(Rysunek 9).
Rysunek 9. Ewolucja standardu BS 7799.
Źródło: opracowanie własne na podstawie Molski M., Łacheta M.,
Przewodnik audytora systemów informatycznych, Gliwice 2007, s. 201.
Sama rodzina norm ISO/IEX 27x obejmuje szereg norm poświę-
conych różnym aspektom bezpieczeństwa informacji i bardzo inten-
sywnie się rozwija. Poniżej wymienione zostały międzynarodowe normy
z serii 27k z obszaru „information technology – security techniques”:
ISO/IEC 27000, Information security management systems
Overview and vocabulary,
ISO/IEC 27001, Information security management systems
Requirements,
ISO/IEC 27002, Code of practice for information security
controls,
ISO/IEC 27003, Information security management system
implementation guidance,
ISO/IEC 27004, Information security management
Measurement,
ISO/IEC 27005, Information security risk management,
ISO/IEC 27006, Requirements for bodies providing audit and
certification of information security management systems,
ISO/IEC 27007, Guidelines for information security management
systems auditing,
ISO/IEC TR 27008, Guidelines for auditors on information
security controls,
ISO/IEC 27010, Information security management for inter-
sector and inter-organizational communications,
ISO/IEC 27011, Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002,
ISO/IEC 27013, Guidance on the integrated implementation of
ISO/IEC 27001 and ISO/IEC 20000-1,
ISO/IEC 27014, Governance of information security,
ISO/IEC TR 27015, Information security management guidelines
for financial services,
ISO/IEC TR 27016, Information security management
Organizational economics,
ISO/IEC 27017:2015, Code of practice for information security
controls based on ISO/IEC 27002 for cloud services,
ISO/IEC 27018:2014, Code of practice for protection of
personally identifiable information (PII) in public clouds acting
as PII processors,
ISO/IEC TR 27019:2013, Information security management
guidelines based on ISO/IEC 27002 for process control systems
specific to the energy utility industry,
ISO/IEC TR 27023:2015, Mapping the revised editions of
ISO/IEC 27001 and ISO/IEC 27002,
ISO/IEC 27031:2011, Guidelines for information and
communication technology readiness for business continuity,
ISO/IEC 27032:2012, Guidelines for cybersecurity,
ISO/IEC 27033-1:2015, Network security – Part 1: Overview and
concepts,
ISO/IEC 27033-2:2012, Network security Part 2: Guidelines
for the design and implementation of network security,
ISO/IEC 27033-3:2010, Network security – Part 3: Reference
networking scenarios - Threats, design techniques and control
issues,
ISO/IEC 27033-4:2014, Network security - Part 4: Securing
communications between networks using security gateways,
ISO/IEC 27033-5:2013, Network security – Part 5: Securing
communications across networks using Virtual Private Networks
(VPNs),
ISO/IEC 27034-1:2011, Application security – Part 1: Overview
and concepts,
ISO/IEC 27034-2:2015, Application security Part 2:
Organization normative framework,
ISO/IEC 27035:2011, Information security incident management,
ISO/IEC 27036-1:2014, Information security for supplier
relationships – Part 1: Overview and concepts,
ISO/IEC 27036-2:2014, Information security for supplier
relationships – Part 2: Requirements,
ISO/IEC 27036-3:2013, Information security for supplier
relationships Part 3: Guidelines for information and
communication technology supply chain security,
ISO/IEC 27037:2012, Guidelines for identification, collection,
acquisition and preservation of digital evidence,
ISO/IEC 27038:2014, Specification for digital redaction,
ISO/IEC 27039:2015, Selection, deployment and operations of
intrusion detection systems (IDPS),
ISO/IEC 27040:2015, Storage security,
ISO/IEC 27041:2015, Guidance on assuring suitability and
adequacy of incident investigative method,
ISO/IEC 27042:2015, Guidelines for the analysis and
interpretation of digital evidence,
ISO/IEC 27043:2015, Incident investigation principles and
processes.
2.3 BEZPIECZEŃSTWO INFORMACJI W URZĘDACH
ADMINISTRACJI PUBLICZNEJ
Zagadnienia zarządzania bezpieczeństwem informacji w urzędach
jest interesujące z szeregu powodów:
bezpieczeństwo informacyjne urzędów ma bezpośredni związek
z bezpieczeństwem obywateli. O ile każdy samodzielnie
decyduje czy zostać użytkownikiem takiego, czy innego systemu
komercyjnego informatycznego, czy powierzyć swoje dane
organizacji gospodarczej, w jaki sposób przechowywać i prze-
twarzać informacje w swoim gospodarstwie domowym, o tyle
kontakt obywateli z urzędami i przetwarzanie przez nie danych
dotyczących poszczególnych osób i podmiotów są obowiązkowe
z mocy prawa;
urzędy mają ściśle zdefiniowany zakres swoich zadań i kom-
petencji, stosunkowo łatwe jest więc przeprowadzenie analizy
porównawczej dotyczącej zarządzania bezpieczeństwem infor-
macji w różnych urzędach; rola bowiem „specyfiki przedsię-
biorstwa” tak ważna w organizacjach komercyjnych jest
w przypadku urzędów minimalna169;
urzędy, z uwagi na zasadę jawności i możliwość dostępu do
informacji publicznej stanowią szczególnie wygodny materiał
badawczy i choć praktyka pokazuje, że tendencja do ukrywania
informacji jest wśród pracowników urzędów obecna, to jednak
responsywność badań jednostek organizacyjnych administracji
publicznej jest zdecydowanie wyższa niż w przypadku orga-
nizacji komercyjnych;
zarządzanie bezpieczeństwem informacji170 jest wielkim wyzwa-
niem dla współczesnych organizacji i instytucji. Urzędy
169 Zob.: Calder A., Nine Steps to Success: an ISO 27001 Implementation Overview, IT
Governance Publishing, UK, 2005, s. 107–112; Kister Ł., Significance of information
security in a company [w:] Riešenie krízových situácií v špecifickom prostredí, Žilinska
univerzita, Žilina 2009 s. 329–334; Robinson N., IT excellence starts with governance,
„Journal of Investment Compliance”, Vol. 6 Issue: 3, 2005, s. 45–49.
170 Zob.: Ilvonen I., Information security culture or information safety culture - What do
words convey?, 10th European Conference on Information Warfare and Security 2011,
ECIW, Tallinn 2011 s. 148–154; Jašek R., The information security of enterprises and
citizens' security context, „Komunikacie”, Vol. 7, Issue 3, 2005 s. 45–48; Korzeniowski
L., Securitology – The concept of safety, „Komunikacie”, Vol. 7, Issue 3, 2005, s. 20–23;
Stoll M., Breu R., Information security measurement roles and responsibilities, 6th
International Joint Conference on Computer, Information and Systems Sciences and
Engineering, „Lecture Notes in Electrical Engineering”, Vol. 151/2013, s. 11–23.
administracji publicznej nie stanowią w tym względzie wyjątku,
wystarczy wspomnieć o licznych wyciekach informacji i włama-
niach do różnych organizacji państwowych i samorządowych;
istnieją akty prawne, które zwracają szczególną uwagę na wymóg
odpowiedniego zarządzania bezpieczeństwem informacji. Jed-
nym z nich jest RozpKRI171. Zgodnie z § 20 tego rozporządzenia
„podmiot realizujący zadania publiczne opracowuje i ustanawia,
wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje
i doskonali system zarządzania bezpieczeństwem informacji
zapewniający poufność, dostępność i integralność informacji
z uwzględnieniem takich atrybutów, jak autentyczność,
rozliczalność, niezaprzeczalność i niezawodność”. Zarządzanie
bezpieczeństwem informacji realizowane jest w szczególności
przez zapewnienie przez kierownictwo podmiotu publicznego
warunków umożliwiających realizację i egzekwowanie określo-
nych działań wymienionych w rozporządzeniu polegających na:
zapewnieniu aktualizacji regulacji wewnętrznych
w zakresie dotyczącym zmieniającego się otoczenia;
utrzymywaniu aktualności inwentaryzacji sprzętu
i oprogramowania służącego do przetwarzania informacji
obejmującej ich rodzaj i konfigurację;
przeprowadzaniu okresowych analiz ryzyka utraty
integralności, dostępności lub poufności informacji oraz
podejmowaniu działań minimalizujących to ryzyko,
stosownie do wyników przeprowadzonej analizy;
podejmowaniu działań zapewniających, że osoby
zaangażowane w proces przetwarzania informacji posia-
dają stosowne uprawnienia i uczestniczą w tym procesie
w stopniu adekwatnym do realizowanych przez nie zadań
oraz obowiązków mających na celu zapewnienie
bezpieczeństwa informacji;
bezzwłocznej zmiany uprawnień, w przypadku zmiany
zadań osób zaangażowanych w proces przetwarzania
informacji;
zapewnieniu szkoleń osób zaangażowanych w proces
przetwarzania informacji ze szczególnym uwzględnie-
niem takich zagadnień, jak: zagrożenia bezpieczeństwa
informacji, skutki naruszenia zasad bezpieczeństwa
informacji, w tym odpowiedzialność prawna, stosowanie
171 Zob.: RozpKRI.
środków zapewniających bezpieczeństwo informacji,
w tym urządzenia i oprogramowanie minimalizujące
ryzyko błędów ludzkich;
zapewnieniu ochrony przetwarzanych informacji przed
ich kradzieżą, nieuprawnionym dostępem, uszkodze-
niami lub zakłóceniami, przez: monitorowanie dostępu
do informacji, czynności zmierzające do wykrycia
nieautoryzowanych działań związanych z przetwarza-
niem informacji, zapewnienie środków uniemożliwiają-
cych nieautoryzowany dostęp na poziomie systemów
operacyjnych, usług sieciowych i aplikacji;
ustanowieniu podstawowych zasad gwarantujących
bezpieczną praprzy przetwarzaniu mobilnym i pracy
na odległość;
zabezpieczeniu informacji w sposób uniemożliwiający
nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie
lub zniszczenie;
zawieraniu w umowach serwisowych podpisanych ze
stronami trzecimi zapisów gwarantujących odpowiedni
poziom bezpieczeństwa informacji;
ustaleniu zasad postępowania z informacjami, zapewnia-
jących minimalizację wystąpienia ryzyka kradzieży
informacji i środków przetwarzania informacji, w tym
urządzeń mobilnych;
zapewnieniu odpowiedniego poziomu bezpieczeństwa
w systemach teleinformatycznych, polegającego
w szczególności na: dbałości o aktualizację oprogramo-
wania, minimalizowaniu ryzyka utraty informacji
w wyniku awarii, ochronie przed błędami, utratą,
nieuprawnioną modyfikacją, stosowaniu mechanizmów
kryptograficznych w sposób adekwatny do zagrożeń lub
wymogów przepisu prawa, zapewnieniu bezpieczeństwa
plików systemowych, redukcji ryzyk wynikających
z wykorzystania opublikowanych podatności techni-
cznych systemów teleinformatycznych, niezwłocznym
podejmowaniu działań po dostrzeżeniu nieujawnionych
podatności systemów teleinformatycznych na możliwość
naruszenia bezpieczeństwa, kontroli zgodności systemów
teleinformatycznych z odpowiednimi normami i polity-
kami bezpieczeństwa;
bezzwłocznego zgłaszania incydentów naruszenia bez-
pieczeństwa informacji w określony i z góry ustalony
sposób, umożliwiający szybkie podjęcie działań korygu-
jących;
zapewnienia okresowego audytu wewnętrznego
w zakresie bezpieczeństwa informacji, nie rzadziej niż
raz na rok.
2.4 CEL I METODA BAD
Celem badania było zidentyfikowanie, w których urzędach
wojewódzkich, urzędach marszałkowskich, starostwach powiatowych
i urzędach gmin wdrożone systemy zarządzania bezpieczeństwem
informacji, według jakich norm są one opracowane i certyfikowane oraz
zebranie informacji m.in. o:
czynnikach ułatwiających wdrożenie systemu zarządzania
bezpieczeństwem informacji;
problemach przy wdrażaniu systemu;
czynnościach dotyczących funkcjonowania systemu, z którymi
urzędnicy mają najwięcej problemów;
szkoleniach z zakresu bezpieczeństwa informacji;
przeprowadzanych przeglądach bezpieczeństwa;
zarządzaniu incydentami bezpieczeństwa informacji;
dokumentacji dotyczącej bezpieczeństwa informacji.
W ramach prac badawczych przeprowadzono badania CAWI (ang.
Computer-assisted web interviewing). Wiadomość z prośbą o wzięcie
udziału w badaniu została wysłana do wszystkich 16 urzędów woje-
wódzkich i 16 urzędów marszałkowskich, 314 starostw powiatowych i 66
urzędów miast na prawach powiatu oraz do 800 losowo wybranych
urzędów gmin.
Kwestionariusz ankiety stanowi załącznik nr 1 do niniejszej
monografii.
Badania były przeprowadzone w okresie 12.2012–12.2015.
3.
WYNIKI BADAŃ
3.1 SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
W ADMINISTRACJI PUBLICZNEJ
3.1.1 URZĘDY WOJEWÓDZKIE
Z 16 urzędów, do których wysłano wiadomości z prośbą o wzięcie
udziału w badaniu, otrzymano 11 pozytywnych odpowiedzi. Kujawsko-
Pomorski Urząd Wojewódzki w Bydgoszczy nie udzielił odpowiedzi na