Koncepcja dobrej praktyki informatycznej dla sądów powszechnych w zakresie kontroli zabezpieczeń stanowisk i urządzeń komputerowych

Jan Madej

Streszczenie


W artykule przedstawiono koncepcję dobrej praktyki IT z zakresu kontroli zabezpieczeń stanowisk i urządzeń komputerowych za pomocą list audytowych. Koncepcja dobrej praktyki powstała podczas realizacji projektu „PWP Edukacja w dziedzinie zarządzania czasem i kosztami postępowań sądowych – case management” programu operacyjnego „Kapitał ludzki”. Projekt ten był jednym z elementów wspierających reformę polskiego wymiaru sprawiedliwości i miał na celu podniesienie efektywności procesu orzecznictwa sądów poprzez skrócenie jego czasu, zmniejszenie kosztów oraz podniesienie kwalifikacji pracowników sądownictwa. Zaprezentowano koncepcję wykorzystania list audytowych do przeprowadzenia kontroli zabezpieczeń systemów informatycznych sądów na poziomie poszczególnych stanowisk i urządzeń komputerowych oraz warunki i tło zaproponowanej praktyki (akty prawne, międzynarodowe normy bezpieczeństwa), cele i korzyści wynikające z jej wdrożenia oraz podstawowe założenia, zakres i funkcje, które powinny być realizowane na różnych poziomach dojrzałości. Na zakończenie przedstawiono wnioski z wdrożenia dobrej praktyki.


Słowa kluczowe


bezpieczeństwo systemów informatycznych, audyt, listy kontrolne, dobre praktyki informatyczne, wymiar sprawiedliwości, sądy

Pełny tekst

PDF

Literatura


Badanie ewaluacyjne pilotażu wdrażania dobrego zarządzania jednostkami wymiaru sprawiedliwości w ramach projektu „PWP Edukacja w dziedzinie zarządzania czasem i kosztami postępowań sądowych – case management”. Raport końcowy (2015), ASM – Centrum Badań i Analiz Rynku, Kutno.

Baskerville R.L. (1999), Investigating Information Systems with Action Research, Communications of the Association for Information Systems, vol. 2, Article 19, http://aisel.aisnet.org/cais/vol2/iss1/19 (data dostępu: 15.09.2014).

Baskerville R.L., Wood-Harper A.T. (1996), A Critical Perspective on Action Research as a Method for Information Systems Research, „Journal of Information Technology”, vol. 11, nr 3, https://doi.org/10.1080/026839696345289.

COBIT 4.1. Metodyka. Cele kontrolne. Wytyczne zarządzenia. Modele dojrzałości (2010), IT Governance Institute, Stowarzyszenie Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych ISACA, Warszawa.

Cole M., Avison D. (2007), The Potential of Hermeneutics in Information Systems Research, „European Journal of Information Systems”, vol. 16, nr 6, https://doi.org/10.1057/palgrave.ejis.3000725.

Davis C., Schiller M., Wheeler K. (2011), IT Auditing Using Controls to Protect Information Assets, McGraw-Hill, New York.

Davison R.M., Martinsons M.G., Kock N. (2004), Principles of Canonical Action Research, „Information Systems Journal”, vol. 14, nr 1, https://doi.org/10.1111/j.1365-2575.2004.00162.x.

Grabowski M., Madej J., Trąbka J. (2018), Koncepcja metodyki projektowania i wdrażania dobrych praktyk informatycznych dla sądów powszechnych, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 4(976), https://doi.org/10.15678/ZNUEK.2018.0976.0413.

Informatyzacja postępowania cywilnego. Teoria i praktyka (2016), red. K. Flaga-Gieruszyńska, J. Gołaczyński, D. Szostek, Seria Monografie Prawnicze, C.H. Beck, Warszawa.

Landoll D. (2011), The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, CRC Press, Boca Raton, FL, USA.

Liderman K. (2008), Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN SA, Warszawa.

Liderman K., Patkowski A. (2003), Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego, „Biuletyn Instytutu Automatyki i Robotyki”, nr 19.

Madej J. (2009), Prawne wymogi bezpieczeństwa systemów informatycznych w polskich przedsiębiorstwach, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 770.

Madej J. (2010), Klasyfikacja zagrożeń bezpieczeństwa systemu informatycznego, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 814.

Molski M., Łacheta M. (2006), Przewodnik audytora systemów informatycznych, Helion, Gliwice.

Paulk M.C., Weber C.V., Curtis B., Chrissis M.B. (1993), Capability Maturity Model for Software (Version 1.1), Technical Report CMU/SEI-93-TR-024 ESC-TR-93-177, February, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, https://resources.sei.cmu.edu/asset_files/TechnicalReport/1993_005_001_16211.pdf, (data dostępu: 13.04.2018).

Polaczek T. (2006), Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice.

Polska Norma PN-I-13335-1:1999. Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych (1999), Polski Komitet Normalizacyjny, Warszawa.

Polska Norma PN-ISO/IEC 17799:2007. Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji (2007), Polski Komitet Normalizacyjny, Warszawa.

Quinn S.D., Souppaya M., Cook M., Scarfone K. (2018), National Checklist Program for IT Products – Guidelines for Checklist Users and Developers, National Institute of Standards and Technology, https://doi.org/10.6028/NIST.SP.800-70r4.

Raport całościowy z wdrożenia za okres od 1 grudnia 2013 r. do 24 października 2014 r. (2014), oprac. WYG International, WYG Consulting, WYG PSDB, Uniwersytet Ekonomiczny w Krakowie, Instytut Allerhanda na zlecenie Krajowej Szkoły Sądownictwa i Prokuratury, http://www.efs2007-2013.gov.pl/Dokumenty (data dostępu: grudzień 2016).




DOI: https://doi.org/10.15678/ZNUEK.2018.0978.0612