Koncepcja dobrej praktyki informatycznej dla sądów powszechnych w zakresie kontroli zabezpieczeń stanowisk i urządzeń komputerowych

• Authors: Jan Madej

Title variants

EN

Common Courts and IT Good Practice in the Security Auditing of Workstations and Computers Devices

• Languages of publication: PL

Abstracts

PL

W artykule przedstawiono koncepcję dobrej praktyki IT z zakresu kontroli zabezpieczeń stanowisk i urządzeń komputerowych za pomocą list audytowych. Koncepcja dobrej praktyki powstała podczas realizacji projektu „PWP Edukacja w dziedzinie zarządzania czasem i kosztami postępowań sądowych – case management” programu operacyjnego „Kapitał ludzki”. Projekt ten był jednym z elementów wspierających reformę polskiego wymiaru sprawiedliwości i miał na celu podniesienie efektywności procesu orzecznictwa sądów poprzez skrócenie jego czasu, zmniejszenie kosztów oraz podniesienie kwalifikacji pracowników sądownictwa. Zaprezentowano koncepcję wykorzystania list audytowych do przeprowadzenia kontroli zabezpieczeń systemów informatycznych sądów na poziomie poszczególnych stanowisk i urządzeń komputerowych oraz warunki i tło zaproponowanej praktyki (akty prawne, międzynarodowe normy bezpieczeństwa), cele i korzyści wynikające z jej wdrożenia oraz podstawowe założenia, zakres i funkcje, które powinny być realizowane na różnych poziomach dojrzałości. Na zakończenie przedstawiono wnioski z wdrożenia dobrej praktyki.

EN

The article presents the concept of IT good practice on security controls for workstations and computing devices using checklists. The concept of good practice was formulated during implementation of the project “Education in time management and cost management of judicial proceedings – case management” (a part of the Human Capital Programme). This project was one of the components supporting the reform of the Polish judiciary and was aimed at increasing the efficiency of the judicial system by lowering costs and increasing the skills of those employed in the judiciary. The paper describes the use of checklists for security audits of computer systems at the level of computer workstations and computer equipment. It presents the conditions and background of this practice (legal acts, international security standards), the purpose and benefits of its implementation, and the basic assumptions, scope and functions that should be implemented at different maturity levels and the conclusions of the implementation of good practice.

Keywords

PL

bezpieczeństwo systemów informatycznych; audyt; listy kontrolne; dobre praktyki informatyczne; wymiar sprawiedliwości; sądy

EN

IT security; audit; checklists; IT good practices; judiciary; courts

• Publisher: Wydawnictwo Uniwersytetu Ekonomicznego w Krakowie
• Journal: Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie
• Year: 2018
• Issue: 6(978)
• Pages: 205-220

Contributors

author

Jan Madej

• Uniwersytet Ekonomiczny w Krakowie, Wydział Zarządzania, Katedra Informatyki, ul. Rakowicka 27, 31-510 Kraków, Poland

References

• Badanie ewaluacyjne pilotażu wdrażania dobrego zarządzania jednostkami wymiaru sprawiedliwości w ramach projektu „PWP Edukacja w dziedzinie zarządzania czasem i kosztami postępowań sądowych – case management”. Raport końcowy (2015), ASM – Centrum Badań i Analiz Rynku, Kutno.
• Baskerville R.L. (1999), Investigating Information Systems with Action Research, Communications of the Association for Information Systems, vol. 2, Article 19, http://aisel.aisnet.org/cais/vol2/iss1/19 (data dostępu: 15.09.2014).
• Baskerville R.L., Wood-Harper A.T. (1996), A Critical Perspective on Action Research as a Method for Information Systems Research, „Journal of Information Technology”, vol. 11, nr 3, https://doi.org/10.1080/026839696345289.
• COBIT 4.1. Metodyka. Cele kontrolne. Wytyczne zarządzenia. Modele dojrzałości (2010), IT Governance Institute, Stowarzyszenie Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych ISACA, Warszawa.
• Cole M., Avison D. (2007), The Potential of Hermeneutics in Information Systems Research, „European Journal of Information Systems”, vol. 16, nr 6, https://doi.org/10.1057/palgrave.ejis.3000725.
• Davis C., Schiller M., Wheeler K. (2011), IT Auditing Using Controls to Protect Information Assets, McGraw-Hill, New York.
• Davison R.M., Martinsons M.G., Kock N. (2004), Principles of Canonical Action Research, „Information Systems Journal”, vol. 14, nr 1, https://doi.org/10.1111/j.1365-2575.2004.00162.x.
• Grabowski M., Madej J., Trąbka J. (2018), Koncepcja metodyki projektowania i wdrażania dobrych praktyk informatycznych dla sądów powszechnych, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 4(976), https://doi.org/10.15678/ZNUEK.2018.0976.0413.
• Informatyzacja postępowania cywilnego. Teoria i praktyka (2016), red. K. Flaga-Gieruszyńska, J. Gołaczyński, D. Szostek, Seria Monografie Prawnicze, C.H. Beck, Warszawa.
• Landoll D. (2011), The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, CRC Press, Boca Raton, FL, USA.
• Liderman K. (2008), Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN SA, Warszawa.
• Liderman K., Patkowski A. (2003), Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego, „Biuletyn Instytutu Automatyki i Robotyki”, nr 19.
• Madej J. (2009), Prawne wymogi bezpieczeństwa systemów informatycznych w polskich przedsiębiorstwach, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 770.
• Madej J. (2010), Klasyfikacja zagrożeń bezpieczeństwa systemu informatycznego, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 814.
• Molski M., Łacheta M. (2006), Przewodnik audytora systemów informatycznych, Helion, Gliwice.
• Paulk M.C., Weber C.V., Curtis B., Chrissis M.B. (1993), Capability Maturity Model for Software (Version 1.1), Technical Report CMU/SEI-93-TR-024 ESC-TR-93-177, February, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, https://resources.sei.cmu.edu/asset_files/TechnicalReport/1993_005_001_16211.pdf, (data dostępu: 13.04.2018).
• Polaczek T. (2006), Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice.
• Polska Norma PN-I-13335-1:1999. Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych (1999), Polski Komitet Normalizacyjny, Warszawa.
• Polska Norma PN-ISO/IEC 17799:2007. Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji (2007), Polski Komitet Normalizacyjny, Warszawa.
• Quinn S.D., Souppaya M., Cook M., Scarfone K. (2018), National Checklist Program for IT Products – Guidelines for Checklist Users and Developers, National Institute of Standards and Technology, https://doi.org/10.6028/NIST.SP.800-70r4.
• Raport całościowy z wdrożenia za okres od 1 grudnia 2013 r. do 24 października 2014 r. (2014), oprac. WYG International, WYG Consulting, WYG PSDB, Uniwersytet Ekonomiczny w Krakowie, Instytut Allerhanda na zlecenie Krajowej Szkoły Sądownictwa i Prokuratury, http://www.efs2007-2013.gov.pl/Dokumenty (data dostępu: grudzień 2016).

Identifiers

DOI

10.15678/ZNUEK.2018.0978.0612