Kryteria oceny bezpieczeństwa

Kryteria oceny bezpieczeństwa

Podejmując próbę oceny poziomu bezpieczeństwa systemu należy wziąć pod uwagę nie tylko zabezpieczenia poszczególnych typów informacji, ale także funkcjonowanie całego systemu informacyjnego oraz jego wpływ na działanie całej organizacji. Z tego powodu można wskazać trzy grupy kryteriów związanych z:

  • bezpieczeństwem informacji,
  • funkcjonowaniem systemu informacyjnego,
  • funkcjonowaniem organizacji.

Poszczególne kryteria zaprezentowane w tab. 3-5 zostały opracowane na podstawie zaprezentowanej przez K. Woźniaka listy atrybutów informacji oraz systemu informacyjnego [2005, s. 157-161].

Kryteria grupy bezpieczeństwa informacji służą sprawdzeniu podstawowych możliwości systemu zarówno w warunkach normalnej pracy, jak i w sytuacjach awaryjnych. Poprzez ich pomiar i analizę, organizacja dąży do zapewnienia, że

  • informacje docierają do wszystkich stanowisk, na których są niezbędne i tylko do nich,
  • system informacyjny posiada niezbędne rezerwy dla celów przyszłego rozwoju,
  • w sytuacji awaryjnej nie nastąpi zatrzymanie pracy w organizacji.

Tab. 1. Kryteria oceny poziomu bezpieczeństwa systemu – grupa bezpieczeństwo informacji

Kryterium oceny

Sposoby pomiaru

Dostępność

  • liczba dostępnych portów logowania w systemie informatycznym w stosunku do liczby użytkowników,
  • liczba miejsc, w których można uzyskać dostęp do informacji

Niezawodność

  • poziom awaryjności urządzeń,
  • częstotliwość wykonywania kopii zapasowych,
  • liczba urządzeń zastępczych na wypadek awarii,
  • czas wykonania procedur awaryjnych

Adresowalność

  • odsetek informacji, dla których stosuje się jednoznaczne adresowanie,
  • stosowanie zabezpieczeń dostępu osób niepowołanych,
  • stopień kontroli dystrybucji

Poufność

  • poziom technologii zarządzania prawami dostępu,
  • zróżnicowanie metod i poziomów zabezpieczeń,
  • skalowalność systemu zabezpieczeń

Wydajność

  • poziom średniego i maksymalnego obciążenia systemu,
  • poziom obciążenia w komórkach organizacji

Stabilność

  • liczba urządzeń posiadających awaryjne zasilanie,
  • liczba urządzeń posiadających zabezpieczenia programowe,
  • liczba alternatywnych dróg komunikacji

Elastyczność

  • skalowalność systemu informacyjnego,
  • możliwość redefiniowania procesów,
  • poziom rezerw przewidzianych w celu dalszego rozwoju systemu

Czas reakcji (oczekiwania)

  • średni czas dostępu do informacji,
  • średni czas wyszukiwania informacji,
  • średni czas podejmowania decyzji

Źródło: opracowanie własne

Kryteria grupy funkcjonowania systemu informacyjnego pozwalają ocenić poziom jakości informacji przesyłanych w systemie. Ich pomiar umożliwia pozyskanie wiedzy o możliwościach optymalizacji przepływów informacyjnych.

Tab. 2. Kryteria oceny poziomu bezpieczeństwa systemu – grupa funkcjonowanie systemu informacyjnego

Kryterium oceny

Sposoby pomiaru

Jednoznaczność

  • przeciętna liczba źródeł informacji niezbędnych do podjęcia decyzji,
  • liczba typów informacji w systemie

Porównywalność

  • odsetek typów informacji stosujących szablony,
  • odsetek typów informacji umożliwiających automatyczne generowanie raportów i zestawień

Przetwarzalność

  • odsetek typów informacji w postaci elektronicznej

Priorytetowość

  • stosowanie kategoryzacji typów informacji

Łatwość użytkowania

  • liczba błędów wprowadzania lub przetwarzania informacji popełnianych przez użytkowników

Źródło: opracowanie własne

 

Uzupełnieniem dla omówionych kryteriów, jest grupa trzecia, która zawiera takie kryteria jak: aktualność, rzetelność, kompletność, koszt, użyteczność, wartość i klarowność. Kryteria te odnoszą funkcjonowanie systemu informacyjnego do działania całej organizacji.

Omówione sposoby pomiaru stanowią jedynie przykłady i muszą zostać dostosowane do specyficznych warunków występujących w organizacji badającej swój system informacyjny.

Zdjęcie: Mike Cohen, Flicker.com, CC