Common Courts and IT Good Practice in the Security Auditing of Workstations and Computers Devices
DOI:
https://doi.org/10.15678/ZNUEK.2018.0978.0612Keywords:
IT security, audit, checklists, IT good practices, judiciary, courtsAbstract
The article presents the concept of IT good practice on security controls for workstations and computing devices using checklists. The concept of good practice was formulated during implementation of the project “Education in time management and cost management of judicial proceedings – case management” (a part of the Human Capital Programme). This project was one of the components supporting the reform of the Polish judiciary and was aimed at increasing the efficiency of the judicial system by lowering costs and increasing the skills of those employed in the judiciary. The paper describes the use of checklists for security audits of computer systems at the level of computer workstations and computer equipment. It presents the conditions and background of this practice (legal acts, international security standards), the purpose and benefits of its implementation, and the basic assumptions, scope and functions that should be implemented at different maturity levels and the conclusions of the implementation of good practice.
Downloads
References
Badanie ewaluacyjne pilotażu wdrażania dobrego zarządzania jednostkami wymiaru sprawiedliwości w ramach projektu „PWP Edukacja w dziedzinie zarządzania czasem i kosztami postępowań sądowych – case management”. Raport końcowy (2015), ASM – Centrum Badań i Analiz Rynku, Kutno.
Baskerville R.L. (1999), Investigating Information Systems with Action Research, Communications of the Association for Information Systems, vol. 2, Article 19, http://aisel.aisnet.org/cais/vol2/iss1/19 (data dostępu: 15.09.2014). DOI: https://doi.org/10.17705/1CAIS.00219
Baskerville R.L., Wood-Harper A.T. (1996), A Critical Perspective on Action Research as a Method for Information Systems Research, „Journal of Information Technology”, vol. 11, nr 3, https://doi.org/10.1080/026839696345289. DOI: https://doi.org/10.1177/026839629601100305
COBIT 4.1. Metodyka. Cele kontrolne. Wytyczne zarządzenia. Modele dojrzałości (2010), IT Governance Institute, Stowarzyszenie Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych ISACA, Warszawa.
Cole M., Avison D. (2007), The Potential of Hermeneutics in Information Systems Research, „European Journal of Information Systems”, vol. 16, nr 6, https://doi.org/10.1057/palgrave.ejis.3000725. DOI: https://doi.org/10.1057/palgrave.ejis.3000725
Davis C., Schiller M., Wheeler K. (2011), IT Auditing Using Controls to Protect Information Assets, McGraw-Hill, New York.
Davison R.M., Martinsons M.G., Kock N. (2004), Principles of Canonical Action Research, „Information Systems Journal”, vol. 14, nr 1, https://doi.org/10.1111/j.1365-2575.2004.00162.x. DOI: https://doi.org/10.1111/j.1365-2575.2004.00162.x
Grabowski M., Madej J., Trąbka J. (2018), Koncepcja metodyki projektowania i wdrażania dobrych praktyk informatycznych dla sądów powszechnych, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 4(976), https://doi.org/10.15678/ZNUEK.2018.0976.0413. DOI: https://doi.org/10.15678/ZNUEK.2018.0976.0413
Informatyzacja postępowania cywilnego. Teoria i praktyka (2016), red. K. Flaga-Gieruszyńska, J. Gołaczyński, D. Szostek, Seria Monografie Prawnicze, C.H. Beck, Warszawa.
Landoll D. (2011), The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, CRC Press, Boca Raton, FL, USA.
Liderman K. (2008), Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN SA, Warszawa.
Liderman K., Patkowski A. (2003), Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego, „Biuletyn Instytutu Automatyki i Robotyki”, nr 19.
Madej J. (2009), Prawne wymogi bezpieczeństwa systemów informatycznych w polskich przedsiębiorstwach, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 770.
Madej J. (2010), Klasyfikacja zagrożeń bezpieczeństwa systemu informatycznego, „Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie”, nr 814.
Molski M., Łacheta M. (2006), Przewodnik audytora systemów informatycznych, Helion, Gliwice.
Paulk M.C., Weber C.V., Curtis B., Chrissis M.B. (1993), Capability Maturity Model for Software (Version 1.1), Technical Report CMU/SEI-93-TR-024 ESC-TR-93-177, February, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, https://resources.sei.cmu.edu/asset_files/TechnicalReport/1993_005_001_16211.pdf, (data dostępu: 13.04.2018).
Polaczek T. (2006), Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice.
Polska Norma PN-I-13335-1:1999. Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych (1999), Polski Komitet Normalizacyjny, Warszawa.
Polska Norma PN-ISO/IEC 17799:2007. Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji (2007), Polski Komitet Normalizacyjny, Warszawa.
Quinn S.D., Souppaya M., Cook M., Scarfone K. (2018), National Checklist Program for IT Products – Guidelines for Checklist Users and Developers, National Institute of Standards and Technology, https://doi.org/10.6028/NIST.SP.800-70r4. DOI: https://doi.org/10.6028/NIST.SP.800-70r4
Raport całościowy z wdrożenia za okres od 1 grudnia 2013 r. do 24 października 2014 r. (2014), oprac. WYG International, WYG Consulting, WYG PSDB, Uniwersytet Ekonomiczny w Krakowie, Instytut Allerhanda na zlecenie Krajowej Szkoły Sądownictwa i Prokuratury, http://www.efs2007-2013.gov.pl/Dokumenty (data dostępu: grudzień 2016).