Cykl, składający się z trzech artykułów publikowanych w kolejnych numerach Zabezpieczeń, ma (w zamierzeniu autora) w sposób prosty, łatwy i przyjemny – przy wykorzystaniu zasad analizy funkcjonalnej – przybliżyć PT Czytelnikom rolę inżynierii bezpieczeństwa w ochronie informacji. Jest to więc rodzaj ściągi tematycznej przeznaczonej dla najwyższego kierownictwa firm

1. Wstęp
W bezpiecznym społeczeństwie informacyjnym („trzeciej fali” wg A. H. Tofflerów¹) wszelkie działania muszą i powinny opierać się na świadomym kontrolowaniu bezpieczeństwa ogólnego przez nadzorowanie bezpieczeństwa informacji – tej, którą gromadzimy, wykorzystujemy i udostępniamy otoczeniu. Inżynieria bezpieczeństwa informacji to przede wszystkim umiejętność analizowania otoczenia pod względem zbierania i wykorzystywania każdej z wielu dostępnych danych [Ross Anderson² i jego analizy] na potrzeby bieżące bezpieczeństwa instytucji/organizacji/grupy społecznej. 

Użycie systemowej metody analizy funkcjonalnej³ na potrzeby opisu przedstawionego zagadnienia i jego rozwiązania wydaje się tu ze wszech miar zasadne. Sama metoda charakteryzuje się wyjątkową prostotą pętli podstawowego algorytmu postępowania w prowadzonym procesie analizy problemu i w podejściu do generacji praktycznie sprawdzalnego rozwiązania, którego warunkowe przyjęcie jest przede wszystkim zobligowane możliwościami pomyślnego wdrożenia. Takie postępowanie ma zarazem zachowane wszelkie pierwiastki rozwiązań a posteriori, tych ujawnionych w trakcie analizy, a zarazem z różnych względów (organizacyjnych, materialnych, osobowych itp.) niezbyt możliwych do bezpośredniego włączenia we wdrażane rozwiązanie (mimo ich słuszności i zgodności z wybraną dobrą ideą).

Analiza funkcjonalna składa się z siedmiu etapów:

1. percepcji potrzeby;
2. badania otoczenia;
3. wyznaczenia funkcji;
4. poszukiwania idei rozwiązania;
5. wyboru dobrej idei;
6. dopracowania rozwiązania;
7. wdrożenia rozwiązania.

Schemat realizacji algorytmu metody przedstawia rys. 1.

Należy zwrócić szczególną uwagę na zgodność formalną między oceną stanu przeżywanego będącą inspiracją działania oraz wskazywane mierniki wartości wykorzystywane w budowaniu kolejnych ocen – ich podstawa powinna być ujednolicona (dopuszcza się określoną na wstępie prac kompatybilność pojęć).

Pragnę zwrócić tutaj szczególną uwagę zarówno na wielokrotne czerpanie informacji z zasobu wiedzy podstawowej (2. i 4. krok), jak i na wykorzystanie doświadczeń oraz wyników objętych ogólnie znanymi rozwiązaniami standardowymi (6. krok), bez których trudno by było mówić o wdrożeniu jakiegokolwiek rozwiązania (nieufność przełożonych wobec nowości, nawet dla najbardziej słusznych nowatorskich rozwiązań, jest ogólnie znana).

Technologie obronne i bezpieczeństwa informacji są obecnie na etapie bardzo intensywnego rozwoju we wszystkich warstwach społeczeństwa (od gminy po władze centralne państwa), choć nie wszyscy z nas zdają sobie sprawę ze skutków i wagi przypadkowego (zbędnego) ujawniania nawet drobnych „okruchów informacyjnych”, dotyczących rzeczy istotnych dla bezpieczeństwa danej społeczności (jej spraw życiowych), stąd też niniejszy cykl.

Jego ideą jest pokazanie znaczenia prawidłowej oceny każdego (nawet drobnego) incydentu z zakresu naruszania bezpieczeństwa i uświadomienie (sobie i innym), jak ważne jest niedopuszczenie do powstawania ryzyk i ich materializacji w postaci widocznych szkód i (czasami nieodwracalnych) strat materialnych oraz osobowych.

Podstawą są teoretyczne (securitologia – dziedzina nauki od 1989 roku zajmująca się wieloaspektowością postrzegania i „odczytywania” bezpieczeństwa jako obiektu badań) oraz praktyczne (materiały seminaryjne Polalarm, Techom, OSPOIN, Instytutu Bezpieczeństwa Biznesu Grupy Konsalnet, Komitetu Bezpieczeństwa Biznesu Krajowej Izby Gospodarczej oraz informatory Biura Prewencji Komendy Głównej Policji) opracowania związane z aspektami ochrony informacji o osobach i rzeczach (nie tylko w rozumieniu biznesowym).

Odniesienia do problemu pokazywane są w zmieniającym się pod względem komunikacji oraz współdziałania otoczeniu ludzkim, ze szczególnym zwróceniem uwagi na konieczność wyjścia na przeciw tym (nie zawsze korzystnym) zmianom w danym środowisku. Uzupełnieniem odniesień są okresowo przywoływane zobowiązania o charakterze biznesowym (np. OECD, ale nie tylko) wynikające z sojuszy (NATO, EUMS), unii (UZE/WE/UE) i umów międzynarodowych, zasadniczo związane z ochroną i obroną państwowości, porządkiem publicznym i zobowiązaniami militarnymi.

1. Alvin Toffler (1928) – socjolog i publicysta, jest jednym z najbardziej znanych w świecie futurologów. Jego książka Szok przyszłości (1970, wyd. polskie: 1975) została przełożona na ponad 30 języków i ukazała się w łącznym nakładzie ponad 10 milionów egzemplarzy. Wydał też m.in. Ekospazm (1975) i, wspólnie z żoną Heidi, Trzecią falę (1980, wyd. polskie: 1989). Laureat wielu nagród i doktoratów honoris causa.

2. Ross Anderson: Inżynieria zabezpieczeń, WNT, Warszawa, 2005.

3. Michel Fustier: Analiza funkcjonalna, rozdz. 4., zbiór 4. serii „Techniki twórczego myślenia” pod red. A. Góralskiego, WNT, Warszawa, 1982, s. 80–109.