OCHRONA INFORMACJI – odnosi się do narzędzi, procesów i metodologii zaprojektowanych i wdrażanych w celu zabezpieczenia informacji o charakterze poufności, danych prywatnych, informacji wrażliwych lub danych osobowych przed nieautoryzowanym dostępem, niewłaściwym wykorzystaniem, ujawnieniem, zniszczeniem, modyfikacją lub utratą; dotyczy informacji drukowanych, elektronicznych lub w jakiejkolwiek innej formie. Ochrona informacji [och.in.] dotyczy: 1. operacji wykonywanych z użyciem informacji; 2. technologii (agregujących treści, fakty i dane), których zadaniem jest odpowiednie zestawianie danych; 3. skutecznego eliminowania luk w wykorzystywanych systemach – zarówno tradycyjnych, jak i informacyjnych/teleinformatycznych oraz w zasobach informacyjnych w przestrzeni cyfrowej. Ochrona obejmuje zarówno informacje, jak i procesy korzystania z nich, bez względu na sposób przetwarzania, a zatem dotyczy systemów prowadzonych tradycyjnie (archiwa, kartoteki, dokumenty papierowe), systemów komputerowych (aplikacje, oprogramowanie, bazy danych) oraz sieci, a ponadto funkcjonowania personelu, który z tych systemów korzysta.

Celem zabezpieczania informacji jest ograniczenie uzyskania nieautoryzowanego dostępu, złamania zabezpieczeń lub kradzieży informacji czy danych. Och.inf. może obejmować zarządzanie lukami w zabezpieczeniach, testy penetracyjne, rozwiązania technologiczne (np. zapory, oprogramowanie antywirusowe, zapobieganie utracie danych, szyfrowanie), a także inne nowoczesne formy i sposoby zabezpieczenia zasobów informacyjnych. Zasoby informacyjne stanowią współcześnie najistotniejszy składnik struktury zasobów dowolnej organizacji. Informacja chroniona jest jako dobro materialne, jako że stanowi podstawę do efektywnego działania większości podmiotów w różnych wymiarach – państwowych, międzynarodowych, życia społecznego, gospodarczego, a także kształtującego się społeczeństwa informacyjnego. Informacja jest czynnikiem wyzwalanych reakcji społecznych, tak w wymiarze narodowym, jak i międzynarodowym, w sferze politycznej, biznesowej, społecznej czy kulturalnej.

Zestaw zagrożeń, jakie muszą być brane pod uwagę w ramach och.inf., jest bardzo zróżnicowany i zmienny w czasie. Zagrożenia te można sklasyfikować ze względu na lokalizację (umiejscowienie) źródła ich pochodzenia (wewnętrzne i zewnętrzne) oraz przyczynę ich powstawania – mogą być następstwem działania człowieka bądź środowiska naturalnego. Zagrożenia związane z czynnikiem ludzkim można podzielić na przypadkowe, wynikające z błędu, pomyłki, braku świadomości (np. przypadkowe skasowanie pliku, uszkodzenie nośnika danych) oraz celowe, umyślne (z różnych powodów ‒ złej woli bądź działania na rzecz innego podmiotu, np. kradzież danych, szpiegostwo przemysłowe). Do zagrożeń środowiskowych (zdarzeń losowych) zaliczyć można m.in. powódź, pożar, wyładowania atmosferyczne, epidemie.

Istotnym aspektem och.inf. i zarządzania ryzykiem (szacowaniem ryzyka wystąpienia zagrożenia) oraz rozpoznaniem wartości informacji jest opracowanie i wdrożenie odpowiednio skutecznych procedur tejże ochrony. W polskim porządku prawnym przewidziana została szczególna → ochrona informacji niejawnych, których ujawnienie mogłoby mieć szkodliwy wpływ lub wywołać szkodę dla RP. Informacje niejawne mogą być udostępniane jedynie osobom dającym rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych.

Na gruncie polskiego prawa wprowadzono kilka ustaw regulujących różne kategorie informacji i obligatoryjność ich zabezpieczenia. Szczególną ochronę informacji przypisano informacjom istotnym z punktu widzenia bezpieczeństwa państwa, tworząc narzędzia zapewniające dochowanie tajemnicy. Jeśli chodzi o szpiegostwo przemysłowe czy wywiad gospodarczy, obowiązują regulacje prawne dotyczące zwalczania nieuczciwej konkurencji. W świetle przepisów prawa och.in. opiera się na pięciu głównych elementach (zestandaryzowanych i określonych przepisami ustaw, unormowaniami wykonawczymi oraz międzynarodowymi standardami zarządzania bezpieczeństwem informacji): poufności, integralności, dostępności, autentyczności i niezaprzeczalności. Poufność rozumiana jest jako właściwość polegająca na tym, że informacje nie są udostępniane ani ujawniane nieupoważnionym osobom, podmiotom lub procesom. Integralność oznacza utrzymanie i zapewnienie dokładności i kompletności danych przez cały cykl ich życia. Oznacza to, że dane (informacje) nie mogą być modyfikowane w sposób nieuprawniony. Dostępność zakłada, że systemy wykorzystywane do przechowywania i przetwarzania informacji, środki kontroli bezpieczeństwa stosowane do ich ochrony oraz kanały komunikacji wykorzystywane do uzyskiwania do nich dostępu muszą działać prawidłowo i w określonych granicach. Systemy o wysokiej gwarantowanej dostępności mają na celu zarówno zapewnienie dostępności przez cały czas, zapobiegając przerwom w świadczeniu usług (spowodowanym przerwami w dostawie prądu, awariami sprzętu czy aktualizacjami systemu), jak również rozliczalność użytkowników. Zapewnienie dostępności obejmuje również zapobieganie atakom typu „odmowa usługi”, takim jak nadmiar wiadomości przesyłanych do systemu docelowego powodujący dysfunkcję, blokadę lub zamknięcie dostępu. Autentyczność sprowadza się do weryfikacji tożsamości użytkownika, procesu lub urządzenia jako warunku wstępnego zezwolenia na dostęp do zasobów w systemie informacyjnym. Niezaprzeczalność odnosi się do usługi, która zapewnia dowód pochodzenia danych i integralności danych. Innymi słowy, niezaprzeczalność w znacznym stopniu utrudnia skuteczne zaprzeczenie, od kogo/skąd pochodzi informacja, a także zapewnia jej autentyczność i integralność. [→ bezpieczeństwo informacyjne; cyberbezpieczeństwo; cyberzagrożenie] [Alicja Żukowska]

Literatura: J. Janczak, A. Nowak, Bezpieczeństwo informacyjne: wybrane problemy, Warszawa 2013 • K. Liderman, Bezpieczeństwo informacyjne: nowe wyzwania, Warszawa 2017.