Bezpieczeństwo informacji: historia i stan obecny

Wielkość: px
Rozpocząć pokaz od strony:

Download "Bezpieczeństwo informacji: historia i stan obecny"

Transkrypt

1 Bezpieczeństwo informacji: historia i stan obecny Autorem tego rozdziału jest dr Bolesław Szomański Wprowadzenie bezpieczeństwo informacji dawniej Problem bezpieczeństwa informacji pojawił się pewnie wtedy kiedy oceniono, że informacje są zbyt cenne, aby je udostępniać każdemu; albo gdy ktoś zapomniał ważnej inforacji a może błędnie ją przekazał. Na początku była to oczywiście informacja przekazywana słownie, stąd też za jej ochronę odpowiadali ludzie ją przekazujący. Oczywiście takich ludzi można było przekonać lub zmusić do ujawnienia informacji; co gorzej mogli oni informację zapomnieć, zmienić przypadkiem lub celowo. Nie przypadkiem wspomina się o utracie lub przekłamaniu informacji, a nie tylko o jej ochronie przed ujawnieniem, gdyż współczesna definicja bezpieczeństwa informacji obejmuje: poufność: właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom; integralność: zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; dostępność: właściwość polegająca na zapewnieniu dokładności i kompletności aktywów [ISO27001]. Przeważnie jednak nie poufność jest obecnie najważniejsza, a to co jest ważne zależy od obszaru zastosowania informacji. Wraz z pojawieniem się pisma pojawiły się nowe pomysły na naruszenie bezpieczeństwa informacji, np. chiński teoretyk wojskowości w V w.p.n.e. Sun Tzy [SunT400pne] wyróżnił 5 rodzajów szpiegów, z których ostatnim był szpieg martwy, czyli podrzucone zwłoki, zawierające nieprawdziwe informacje. Co ciekawe, podobne rozwiązanie zastosował wywiad brytyjski podczas II wojny światowej, podrzucając zwłoki oficera ze sfałszowanymi dokumentami, wskazującymi na miejsce lądowania plaże Calais, gdy tymczasem desant planowany był w Normandii. W wojskowości możliwość przesyłania informacji w postaci pisma przyjęła się ze względu na oczywiste korzyści, jakimi są zapewnienie integralności, ale konieczne było zachowanie jej poufności i zaczęto stosować szyfrowanie wiadomości. Pierwszy Strona 1 (26)

2 znany szyfr jest zwany szyfrem Cezara, polegał on na pisaniu meldunku wzdłuż na wąskim kawałku pergaminu owiniętym na kiju uzgodnionej z odbiorcą informacji grubości; szyfr taki obecnie jest niezwykle łatwy do złamania, ale w starożytności stanowił wyraźny postęp. Oprócz tajemnic wojskowych chroniono także tajemnice handlowe, czego charakterystycznym przypadkiem jest ochrona przez Chińczyków tajemnicy produkcji jedwabiu z jedwabników, która została ukradziona przez mnichów, a jedwabniki przeniesione do Europy. Niektórych tajemnic nie udało się odkryć do dziś, jak np. tajemnicy ognia greckiego najstraszniejszej broni Bizancjum. Jeżeli mówimy o poufności nie należy jednak zapominać o dostępności; większość najcenniejszych pergaminów zawierająca informacje ze starożytności spłonęła podczas dwóch pożarów biblioteki w Aleksandrii, wiele zwojów zostało zniszczonych ponieważ informacje na nich zawarte nie odpowiadały poglądom ówczesnej władzy kościelnej czy świeckiej. Zniszczono dorobek całej cywilizacji Majów, paląc sporządzone przez nich na papierze kodeksy, ponieważ były pogańskie (ocalały tylko 3). Żeby zachować informacje trzeba było je przed pojawieniem się druku ręcznie przepisywać, a to powodowało trudne do wykrycia błędy, najczęściej spowodowane ignorancją skrybów, którzy nie rozumieli starego tekstu albo po prostu się mylili. Czyli nawet to co dotrwało do naszych czasów nie zawsze odpowiada myślom i poglądom autora, a do tego dochodziły błędy tłumaczy i powszechna cenzura. Ale informacje zapisane przetrwały w mniejszym lub większym stopniu zwłaszcza dzięki trwałości nośników takich jak kamień, wypalane tabliczki gliniane, często odkopywane są dziś przez archeologów, natomiast z informacji przekazywanej słownie pozostały tylko mity i legendy. Po pojawieniu się druku zanikła potrzeba przepisywania, a wraz ze znaczną liczbą egzemplarzy wyraźnie podniosła się dostępność informacji podawanych w książkach, a później w gazetach. Nie dotyczyło to jednak poufności; nawet gdy informacje były chronione przed powszechnym dostępem poprzez szyfrowanie, to aby było ono bezpieczne trzeba było poświęcić dużo pracy i czasu. a na dodatek wymagało dobrze przygotowanych księg. kodowych. Ciekawy przykład skutków słabego szyfrowania przedstawiono na konferencji Enigma w 2007r. [Duda2007]. Pod koniec potopu szwedzkiego gdańszczanie, którzy cały czas nie poddali się Szwedom przejęli szwedzki okręt admiralski z całą bardzo słabo zaszyfrowaną korespondencją. Po jej odczytaniu okazało się, że zawiera plany zaatakowania przez Szwecję Danii; gdy władze Danii dowiedziały się o tym wypowiedziały wojnę Szwecji, co w konsekwencji doprowadziło do zakończenia najazdu szwedzkiego. Podobny, ale bardziej znany przypadek dotyczył Strona 2 (26)

3 I wojny światowej; gdy Stany Zjednoczone rozszyfrowały telegram do ambasadora Niemiec w Meksyku z zaleceniem namawiania władz tego kraju do wypowiedzenia wojny USA. Był to jeden z najważniejszych powodów odejścia Stanów Zjednoczonych od polityki neutralności i wypowiedzenia wojny Niemcom. Na początku XX w. świadomość konieczności ochrony tajemnic wojskowych była powszechna i skomplikowane działania służb wywiadowczych i kontrwywiadowczych miały za zadanie zdobycie lub ochronę informacji. Odczytanie informacji miało na przykład spore znaczenie w wojnie polsko-sowieckiej w 1920 roku, co jak niektórzy uważają mogło przyczynić się w znacznym stopniu do zwycięstwa Polski w czasie Bitwy Warszawskiej. W czasie I wojny światowej Brytyjczycy złamali szyfry niemieckie, stąd też konieczne było rozwijanie zarówno zagadnień szyfrowania, czyli kryptografii. a możliwość złamania szyfru wroga była powodem rozwoju kryptoanalizy, czyli nauki o łamaniu szyfrów. Znaczenie ochrony tajemnicy doprowadziło do powstania maszyn szyfrujących, z których pierwszą była Enigma opracowana przez Niemców. Wykorzystywany przez Enigmę mechanizm szyfrowania był przez twórców uważany za niemożliwy do złamania. Opracowanie przez polskich matematyków sposobu łamania szyfru Enigma jest przez niektórych specjalistów uważane za największy wkład Polski w zwycięstwo w II wojnie światowej [Iwan2003]. Warto też zwrócić uwagę, że wymagania kryptoanalizy doprowadziły do budowy pierwszego komputera, którym był nie jak się powszechnie sądzi - ENIAK, ale opracowany przez Turinga komputer do łamania szyfrów. Anglicy przez wiele lat nie przyznawali się do posiadania urządzenia do łamania szyfrów, a mechaniczne maszyny szyfrujące oparte na Enigmie sprzedawali mniej zaprzyjaźnionym krajom. Zaprojektowanie, a następnie szybki rozwój i wzrastające znaczenie komputerów spowodowało pojawienie się rosnących zagrożeń nie tylko dla tradycyjnych obszarów, jakim była obrona państwa, ale także dla firm, a nawet poszczególnych osób. Wraz z pojawieniem się komputerów gwałtownie wystąpiły problemy z bezpieczeństwem informacji i to zarówno z poufnością jak i z dostępnością i integralnością, co nie występowało w tak rażący sposób od czasu pojawienia się druku. Niestety wiele osób do dzisiaj kojarzy bezpieczeństwo informacji tylko z jej poufnością. Takie ograniczone podejście do bezpieczeństwa informacji stanowi poważny problem, na przykład na jednej z konferencji poświęconej bezpieczeństwu informacji w bankach, specjaliści na panelu dyskusyjnym rozwodzili się nad sposobami zapewnienia poufności kont klientów, gdy tymczasem dla przeciętnego Strona 3 (26)

4 klienta najważniejsza jest integralność, czyli zapewnienie, że stan konta zgadza się z rzeczywistością i dostępność do konta, wtedy gdy potrzebuje pieniędzy. Podstawowe sposoby zapewnienia bezpieczeństwa informacji zmieniały się jednak w miarę rozwoju techniki przetwarzania informacji. Z bezpieczeństwem informacji jest jednak tak jak z niektórymi przypadkami podanymi powyżej; mimo niewątpliwego rozwoju zabezpieczeń poprzednie problemy pozostają, są tylko w mniejszej skali widoczne, natomiast pojawiają się nowe. Nadal może się zdarzyć incydent powszechny dla poprzedniej fazy rozwoju bezpieczeństwa, na przykład. nadal można ukryć, zniszczyć lub podmienić informację papierową. Możemy - moim zdaniem - wyróżnić następujące fazy rozwoju bezpieczeństwa informacji: ochrona fizyczna informacji i konstruowanie niezawodnego sprzętu, zapewnienie jakości oprogramowania zapewnienie bezpieczeństwa oprogramowania, zapewnienie bezpieczeństwa systemów komputerowych, zarządzanie bezpieczeństwem informacji, systemy zarządzania bezpieczeństwem informacji. Konieczne jest jednak zrozumienie podstawowej zasady - zabezpieczenia stosowane w poprzedniej fazie są nadal potrzebne i użyteczne, zmienia się tylko ich proporcja w odniesieniu do całości zagadnień bezpieczeństwa informacji. Ochrona fizyczna i konstruowanie niezawodnego sprzętu Początkowo komputery pracowały wyłącznie w wydzielonych ośrodkach obliczeniowych, na które składały się specjalnie przygotowane i przeważnie klimatyzowane pomieszczenia. Wielkość komputerów wymagała dużych pomieszczeń, a stosowane układy - początkowo lampowe, a później tranzystorowe - charakteryzowały się przede wszystkim dużą zawodnością. Stąd też problemy niezawodnościowe były najpoważniejszym zagrożeniem dla poprawnego prowadzenia obliczeń. Na lata pięćdziesiąte XX wieku przypada też gwałtowny rozwój teorii niezawodności, która umożliwiła budowę w miarę sprawnego sprzętu z mniej sprawnych elementów poprzez stosowanie odpowiednio budowanych układów. Równocześnie jednak stosunkowo szybko poprawiała się niezawodność elementów, co umożliwiało coraz szersze wykorzystywanie komputerów. Bezpieczeństwo informacji opierało się Strona 4 (26)

5 przede wszystkim na zapewnieniu niezawodności sprzętu, ochronie fizycznej ośrodka przetwarzania oraz ochronie informacji poprzez tworzenie kopii bezpieczeństwa. Bezpieczeństwo ośrodka przetwarzania miało podstawowe znaczenie, stąd też zaczęto ograniczać dostęp do ośrodka poprzez wprowadzenie kontroli na wejściu; rozwiązania te były oczywiste wobec wojskowego charakteru pierwszych komputerów, ogromnej wartości sprzętu, jak również wymagań stosowania klimatyzacji. Zwracano też uwagę na problem zasilania w energię, stąd też stosowano mechaniczne przetwornice umożliwiające podtrzymanie pracy przez krótki czas, a nawet zapasowe agregaty prądotwórcze. Początkowo programy i dane zapisywano na stosunkowo trwałych nośnikach, jakimi były taśmy i karty perforowane, ale urządzenia mechaniczne zapisu (mimo stosowania od wielu lat) były zawodne i powodowały błędy. Właśnie takie urządzenia wykorzystywane w wyborach prezydenta Stanów Zjednoczonych na Florydzie w 2000 roku doprowadziły do licznych protestów i opóźnienia ogłoszenia wyników przez parę tygodni. Podobno niektóre urządzenia miały prawie 100 lat. Wprowadzenie pamięci magnetycznej początkowo na taśmach, potem na bębnach, a później na dyskach magnetycznych umożliwiało przechowywanie dużych zbiorów danych, ale nośniki te były stosunkowo zawodne stąd też konieczność częstego wykonywania kopii zapasowych, zwykle na taśmach magnetycznych jako najtańszych z nośników o dużej pojemności. Zapisywanie kopii na taśmach magnetycznych jest z resztą powszechnie stosowane do dzisiaj, chociaż nastąpił ogromny postęp w dziedzinie urządzeń do archiwizowania. W przypadku kart perforowanych często oprócz dziurkarek stosowano sprawdzarki kart, co w istotny sposób zmniejszało liczbę błędów. Sprawdzanie polegało na powtórnym przepisywaniu zawartości przy równoczesnym automatycznym porównywaniu z zapisem na karcie. Takie porównywanie zapewniało najlepsze wyniki i chociaż obecnie uważa się je za zbyt kosztowne ze względu na znikomą liczbę błędów we współczesnych urządzeniach, to jednak w znakomity sposób eliminowało także błędy ludzkie, których liczba wcale nie uległa istotnemu zmniejszeniu wraz z obniżeniem przeciętnego poziomu przeszkolenia personelu wprowadzającego dane. Ważnym elementem zapewnienia bezpieczeństwa była ochrona ośrodka przetwarzania, co często realizowano przez budowę zapasowego ośrodka. Pierwszy okres ochrony fizycznej można datować na lata pięćdziesiąte do początku siedemdziesiątych XX w. Zapewnienie jakości oprogramowania Szybko następował rozwój oprogramowanie - od początkowego kodowania binarnego poprzez programowanie w asemblerze do języków wysokiego poziomu, Strona 5 (26)

6 jakimi na początku, był FORTAN a potem COBOL. Rozwijało się także projektowanie systemów operacyjnych i właśnie w tym obszarze zaczęły pojawiać się kłopoty. Podaje się, że katastrofa jednej z pierwszych misji bezzałogowych na Marsa było postawienie kropki zamiast przecinka w programie sterownika napisanym w FORTRAN-ie. Problemy te zresztą nie zniknęły nawet obecnie; podawano, że jedna z niedawnych misji na Marsa zakończyła się katastrofą, bo część programu liczyła wysokość w stopach, a wykonana w Europie - w metrach. Rozwiązania kryptologiczne nie były początkowo wykorzystywane, ale wraz z rozwojem przetwarzania z podziałem czasu i rosnącą liczbą sieci lokalnych i terminali sprawa stawała się coraz pilniejsza. Coraz ważniejsze były także informacje przetwarzane w systemach komputerowych firm, które zaczęły domagać się możliwości stosowania kryptografii w zastosowaniach komercyjnych, na co przez wiele lat nie wyrażały zgody rządy poszczególnych państw. [Levy2001] W celu zapewnienia jakości oprogramowania zaczęto starannie je testować, były nawet próby dowodzenia poprawności oprogramowania. Niektóre algorytmy opracowane i oprogramowane w latach sześćdziesiątych i początku siedemdziesiątych są używane do dziś. Gwałtowny rozwój oprogramowania doprowadził do występującego do dziś kryzysu oprogramowania, przejawiającego się między innymi nienadążaniem oprogramowania za rozwojem sprzętu oraz zwiększającymi się problemami inżynierii oprogramowania [Broo1995]. Właśnie w latach siedemdziesiątych i początku osiemdziesiątych ubiegłego wieku powstało współczesne oprogramowanie, takie jak język C, język SQL, system operacyjny UNIX. Problemy związane z niezadowalającą jakością oprogramowania, mimo że ta faza dotyczy raczej lat siedemdziesiątych i początku osiemdziesiątych ubiegłego wieku pozostały; niektóre mniej bezpieczne, ale bardziej elastyczne rozwiązania wyparły bardziej sformalizowane. Nadal dużo czasu poświęca się jakości w inżynierii oprogramowania, czemu zresztą dedykowana jest ta książka. Zapewnienie bezpieczeństwa oprogramowania Wraz z rozwojem mikrokomputerów pojawiło się wiele innych rozwiązań, obecnie prawie nieużywanych, pozostały niektóre, nie zawsze doskonalsze ze względu na bezpieczeństwo. Wzrosły też zagrożenia spowodowane łatwiejszym dostępem, błędami oprogramowania i użytkowników. Wraz z pojawieniem się mikrokomputerów gwałtownie wzrosła liczba nie przygotowanych użytkowników. W latach osiemdziesiątych rozpowszechniły się pierwsze programy celowo napisane dla szkodzenia użytkownikom, takie jak wirusy, konie trojańskie, robaki internetowe. Strona 6 (26)

7 W miarę rozwoju sieci komputerowych i systemów operacyjnych stawało się jasne, że dotychczasowe rozwiązania, oparte głównie na ochronie fizycznej sprzętu, testowaniu oprogramowania i wykonywaniu kopii bezpieczeństwa nie są wystarczające. Każda z liczących się firm stosowała zresztą swoje rozwiązania, które stanowiły tajemnicę firmy, przez co nie mogły być sprawdzane przez osoby z zewnątrz. Pojawienie się mini a potem mikrokomputerów spowodowało, że konieczne stało się zbudowanie jednolitych zasad oceny bezpieczeństwa oprogramowania. Prace rozpoczęto już w 1967 r., ale dopiero w 1983 r., opracowano w USA pierwszy zbiór kryteriów oceny bezpieczeństwa systemów informatycznych, zwany orange book [TCSEC1983], w Polsce wydany jako norma PN-92 T-20001/02 [PN T20001]. W normie tej określono poziomy bezpieczeństwa systemów informatycznych. Kryteria bezpieczeństwa podzielono na cztery kategorie: D, C, B i A, z których C została podzielona na dwie klasy (Cl i C2), a następne w porządku wzrastających ograniczeń to B (Bl, B2, B3) oraz A1. Kategoria D: zapewnia minimalny poziom ochrony. Zawiera tylko jedną klasę, w której występują systemy oceniane, ale nie spełniające wymagań klas wyższych. Kategoria C: ochrona dyskrecjonalna, poprzez kontrolę zdarzeń. W tej kategorii za poufność informacji odpowiada użytkownik. Cl - Dyskrecjonalna ochrona. C2 - Kontrolowana ochrona dostępu. Kategoria B: Obowiązkowa ochrona. Wymogiem tej kategorii jest wymuszanie ustalonych zasad obowiązkowej kontroli dostępu. Kategoria ta zapewnia wielopoziomowość zabezpieczeń. Bl - C2). Ochrona bazująca na etykietach bezpieczeństwa (musi spełniać wymagania B2 Ochrona strukturalna. Poza cechami klasy B1 wymaga: ścisłej strukturalizacji części jądra systemu odpowiedzialnego za realizację funkcji zabezpieczających; kontroli kanałów komunikacyjnych systemu informatycznego, wraz ze śledzeniem ich adresów; sformalizowanej matematycznie dokumentacji zabezpieczeń; Strona 7 (26)

8 podziału roli głównego administratora systemu wśród kilku administratorów o mniejszych uprawnieniach. B3 Domeny ochrony. Posiada wszystkie cechy klasy B2 a ponadto posiada zminimalizowane jądro systemowe odpowiedzialne za realizację funkcji zabezpieczeń. Kategoria A: Ochrona weryfikowana. Charakteryzuje się zastosowaniem sformalizowanych metod weryfikacji wymagań ochrony. Al Weryfikowane projektowanie. W innych krajach (poza USA) również opracowano własne kryteria oceny bezpieczeństwa systemów informatycznych np. ITSEC. Historię opracowania tych rozwiązań przedstawiono na rys. 1. [Cend1997] Rok CC ISO 1983 TCSEC 1987 Blue Book UK E Levels 1989 CTCSEC IT SK C dc 1990 ITSEC ITSEC Federal Criteria 1996 Common Criteria Common Criteria ISO/IEC Common ISO/IEC Criteria Common Criteria :2005 ISO/IEC w przygotowaniu Tabela 1 Historia powstawania kryteriów oceny zabezpieczeń źródło: opracowanie na podstawie [Cend1997] z uzupełnieniami Obecnie za obowiązujące uważa się Common Criteria w wersji 2.3, natomiast normą obowiązującą jest ISO/IEC 15408:2005 [ISO15408], która jest oparta na poprzedniej wersji; trwają prace na przyjęciem ostatniej wersji Common Criteria jako normy ISO. W normie ISO/IEC 15408:2005 wyróżniono ocenę funkcjonalną oraz ocenę zabezpieczeń. Każde oprogramowanie może uzyskać określony poziom zabezpieczeń. W normie stosowane są klasy funkcjonalności: FCO transmisja; FCS - funkcje kryptograficzne; FDP - ochrona danych użytkowników; FIA - identyfikacja i Strona 8 (26)

9 uwierzytelnienie; FAU audyt bezpieczeństwa; FMT zarządzanie bezpieczeństwem; FPR prywatność FPT ochrona funkcji zabezpieczających; FRU wykorzystanie zasobów; FTA dostęp; FPT wiarygodne kanały i ścieżki. Klasy zapewnienia bezpieczeństwa: ACM zarządzanie konfiguracją; ADO dostawy i operacje; ADV rozwój; AGD instrukcje i dokumentacja; ACL wsparcie w cyklu życia; ASE ocena bezpieczeństwa; ATE testy; AVA ocena podatności; AMA utrzymanie zapewniania. Wyróżnione są również poziomy oceny zapewnienia bezpieczeństwa: EAL1 testowane funkcjonalnie; EAL2 - testowane strukturalnie; EAL3 metodycznie testowane i sprawdzane; EAL4 metodycznie projektowane, testowane i przeglądane; EAL5 semiformalne projektowane i testowane; EAL6 semiformalne weryfikowane projektowanie i testowanie; EAL7 formalnie weryfikowane i testowane. Common Criteria jest najważniejszym standardem oceny bezpieczeństwa oprogramowania w oparciu o nie przeprowadza się certyfikację oprogramowania. Praktycznie wszystkie istotne systemy operacyjne są certyfikowane na zgodność z Common Criteria. Unia Europejska w 2002 roku [UE2002] zalecała stosowanie Common Criteria do oceny bezpieczeństwa oprogramowania. Niestety norma mimo że dostępna bezpłatnie [common2008] jest bardzo słabo znana poza środowiskami specjalistycznymi. Jest rozwiązaniem bardzo rozbudowanym i zapisanym w języku pseudoformalnym trudnym do stosowania, a uzyskanie certyfikacji jest bardzo długie i czasochłonne, a na dodatek wymaga dostępu do kodu źródłowego. Oczywiście, można wykorzystywać tylko niektóre fragmenty normy jak np. w opracowaniu dotyczącym bezpieczeństwa komunikatorów internetowych, [Bock2007] ale takie podejście jest niestety niepopularne. Można zatem uznać, że Common Criteria to pierwszy prawdziwy standard niestety - mimo sporego poparcia - słabo znany i wykorzystywany. Na przykład w Polsce przetłumaczone są tylko dwa z trzech tomów normy ISO/IEC i to na dodatek w wersji z 2000roku. Wymagania dotyczące bezpieczeństwa spowodowały opracowanie szeregu zabezpieczeń dla transmisji danych w sieci Internet, której oryginalny protokoł TCP/IP nie przewidywał żadnych zabezpieczeń. Rozwiązania, takie jak shttp, SSL, SSH [MoOp2002], umożliwiły w miarę bezpieczną transmisję danych w Internecie. Bezpieczna transmisja danych nie byłaby jednak możliwa bez ich szyfrowania. NSA w roku 1978 wyraziła zgodę na szyfrowanie i udostępniła zaprojektowany przez IBM algorytm DES. Równocześnie zostały opracowane algorytmy szyfrowania asymetrycznego, takie jak Diffie-Hellmana i RSA [Levy2001]. Strona 9 (26)

10 Obecnie jednak powszechnie uważa się za konieczne zastąpienie tych algorytmów przez nowocześniejsze i tak DES nie jest zalecany do stosowania, a zastępuje go AES, a dla RSA minimalna zalecana długość klucza to 1024bity. Zapewnienie bezpieczeństwa systemów informatycznych Na początku lat dziewięćdziesiątych ubiegłego wieku mikrokomputery zaczęto powszechnie łączyć w sieci lub dołączać do istniejących rozwiązań sieciowych; spośród wielu rozwiązań dominującym okazał się Internet, do którego podłączali się wszyscy. Ochrona fizyczna ośrodka, jak i zapewnienie jakości i bezpieczeństwa oprogramowania okazało się jednak niewystarczające, ponieważ jedną z głównych przyczyn naruszania bezpieczeństwa są ludzie, którzy przypadkowo, np. na skutek niewiedzy, braku czasu lub zwykłej, pomyłki powodują poważne zagrożenia bezpieczeństwa, albo celowo atakują systemy lub tworzą szkodliwe oprogramowanie. Próbą zaradzenia tego rodzaju zagrożeniom miało być budowanie polityki bezpieczeństwa, obejmującej nie tylko środki techniczne, ale także zbiór zaleceń organizacyjnych, narzucających tworzenie odpowiednich dokumentów, takich jak zasady, procedury i instrukcje. Zalecenia budowy polityki bezpieczeństwa dla każdego sytemu informatycznego pojawiają się już na początku lat dziewięćdziesiątych, a nawet i wcześniej, ale dopiero wydanie raportu technicznego ISO/IEC określiło formalne zasady budowy takiej polityki. Raport ten składał się z 5 części [ISO13335] Przykładowy układ zasad i hierarchii polityk przedstawiono na rys. 1 Strona 10 (26)

11 Ilustracja 1 Hierarchia zapewniania bezpieczeństwa informacji [PN 13335] Polityki bezpieczeństwa informacji opracowane zgodnie z założeniami tej normy były obszerne i bardzo złożone, szczególnie jeżeli opracowało się oddzielnie politykę dla każdego systemu informatycznego, a opracowaniem zajmowali się różni specjaliści. Opracowanie polityki bezpieczeństwa nie gwarantowało przy tym jej wdrożenia, a zwłaszcza funkcjonowania w dłuższym okresie. Konieczne było zapewnienie skutecznej kontroli proponowanych rozwiązań. Przy czym kontrola nie powinna mieć na celu ukaranie winnych zaniedbań, lecz wykrycie potencjalnych zagrożeń dla bezpieczeństwa systemu komputerowego, a szerzej całej firmy. Rozwiązaniem było przeprowadzenie audytu bezpieczeństwa systemów informatycznych, zawierającego oprócz sprawdzenia funkcjonowania dokumentacji polityki bezpieczeństwa, także przeprowadzenie odpowiednich testów, w tym także testów odporności systemów informatycznych na ataki z zewnątrz, czyli testów penetracyjnych. Poszczególne firmy opracowywały własne procedury przeprowadzenia audytów, stąd też konieczne stało się opracowanie jednolitego standardu. Przy okazji stwierdzono, Strona 11 (26)

12 że sam audyt bezpieczeństwa może okazać się dla potrzeb firmy niewystarczający, toteż wskazane byłoby opracowanie zasad kompleksowego audytu systemów informatycznych, uwzględniającego oprócz zagadnień bezpieczeństwa także zasady jakości, efektywności oraz zgodności z prawem i wymaganiami finansowymi. Opracowano kilka zasad i standardów, z których najpopularniejszym jest standard COBIT, opracowany przez stowarzyszenie ISACA. COBIT ułatwia badanie i opis relacji pomiędzy wymaganiami biznesowymi, zasobami systemów informatycznych i procesami informacyjnymi. Zgodnie z COBIT informacja powinna spełniać określone kryteria (wymagania biznesowe), takie jak: Kryteria jakości: Jakość, Koszty, Dostarczanie. Kryteria zaufania: Efektywność i wydajność operacji, Wiarygodność informacji, Zgodność z prawem i przepisami wewnętrznymi. Kryteria bezpieczeństwa: Poufność, Integralność, Dostępność. COBIT opisuje procesy w działalności organizacji związane z IT, zgromadzone w 4 grupach: Planowanie i organizacja. Nabywanie i wdrażanie. Dostawa i wsparcie. Monitorowanie. Obecnie aktualna jest wersja 3.1 COBIT-u. Proponowane rozwiązania dotyczące zapewnienia bezpieczeństwa tylko systemów informatycznych były stosowane w latach dziewięćdziesiątych ubiegłego wieku i na początku obecnego. Okazały się jednak niezupełnie skuteczne. Przede wszystkim były niezwykle pracochłonne, ograniczały się do systemów informatycznych, gdy tymczasem informacje były przekazywane coraz częściej za pomocą sieci komórkowych i rozwiązań bezprzewodowych; nadal jednak wiele z nich (i to często te najważniejsze) są tylko w postaci papierowej. Najcenniejszą sprawą w normie było zwrócenie uwagi na analizę i szacowanie ryzyka wraz z informacjami na temat znanych zagrożeń i podatności. W roku 2008 pozostała tylko jedna norma z 5 arkuszy norm ISO [ISO 13335] (wprowadzająca i terminologiczna :2004 ale polskie wydanie z 1998 roku), wszystkie pozostałe zostały już uchylone. Warto zwrócić na to uwagę, gdyż wiele Strona 12 (26)

13 osób nadal je stosuje, często nawet nieświadomie; nie zdając sobie nawet sprawy, że nowe rozwiązania są nie tylko lepsze, ale na dodatek mniej pracochłonne. Zarządzanie bezpieczeństwem informacji Proponowane w normach ISO/IEC objęcie ochroną tylko systemów informatycznych jest niewystarczające w sytuacji ogromnego nasycenia informatyką całej firmy, czyli nie tylko komputerów, ale także urządzeń przenośnych, takich jak PDA czy telefony komórkowe, rozpowszechnienia faksów i kserokopiarek oraz możliwości kopiowania na przenośne nośniki zawarte w urządzeniach, takich jak aparaty fotograficzne czy urządzenia MP3. Zupełnie niekontrolowalne, jeżeli chodzi o groźbę ataków i wycieku informacji, stały się sieci komórkowe i sieci WIFI. Równocześnie wzrosła liczba systemów informacyjnych, które powinny być rozważane. Nie było już sensu budowania od podstaw polityk bezpieczeństwa informacji dla poszczególnych systemów informatycznych, lecz konieczne jest budowanie zarządzania bezpieczeństwem. Nowe podejście do zarządzania bezpieczeństwem informacji zaproponowali w końcu XX wieku Brytyjczycy przygotowując normę BS 7799, która została z wielkim trudem przyjęta w 2000 roku jako norma ISO [Andr2001]. Norma ta podawała wytyczne do zarządzania bezpieczeństwem informacji, a nie tylko bezpieczeństwem systemów informatycznych. Norma spotkała się z ogromnym zainteresowaniem na świecie i uważano, że ułatwi rozwiązywanie problemów bezpieczeństwa informacji. Normę tę przetłumaczono na język polski jako PN ISO/IEC 17799:2003 [ISO17999] Praktyczne zasady zarządzania bezpieczeństwem informacji. Norma zawierała 10 rozdziałów merytorycznych: 3. Polityka bezpieczeństwa 4. Organizacja bezpieczeństwa 5. Klasyfikacja i kontrola aktywów 6. Bezpieczeństwo osobowe 7. Bezpieczeństwo fizyczne i środowiskowe 8. Zarządzanie systemami i sieciami 9. Kontrola dostępu do systemu 10. Rozwój i utrzymanie systemu 11. Zarządzanie ciągłością działania Strona 13 (26)

14 12. Zgodność [ISO17799] Zastosowane w normie rozwiązania stanowiły wytyczne dla zarządzania bezpieczeństwem informacji i nadawały się do zastosowania w praktycznie każdej organizacji. Zaczęto je wdrażać szczególnie tam gdzie zagadnienia bezpieczeństwa informacji odgrywały znaczącą rolę (np. w bankach). Zalecenia podawane w normie umożliwiały budowę polityki bezpieczeństwa informacji, organizację bezpieczeństwa informacji, objęcie bezpieczeństwem informacji spraw osobowych, a personel to główna przyczyna problemów w bezpieczeństwie informacji, ciągłości działania i zgodności z prawem. Norma stanowiła przełom w podejściu do bezpieczeństwa informacji poprzez wyraźne określenie, że najważniejszą sprawą jest zarządzanie, a nie tylko rozwiązania techniczne i dokumenty organizacyjne. Norma miała jednak wiele drobnych mankamentów; była zapisana czasami w sposób chaotyczny, nie uwzględniała najnowszych zagrożeń, brakowało w niej podejścia do zarządzania ryzykiem (które zostało obszernie scharakteryzowane jeszcze w ISO ), oceny skuteczności zabezpieczeń; nie został zaproponowany sposób audytowania bezpieczeństwa informacji, audyty tradycyjnie odnosiły się do systemów informatycznych. W roku 2005 wydano kolejne wydanie normy ISO 17799:2005 [ISO27002], które zostało w roku 2007 przetłumaczone na język polski jako PN ISO/IEC 17799:2007. [PN17799]. W nowej edycji zmieniono ponad 5000 elementów, ale najważniejsze było dodanie rozdziału o zarządzaniu ryzykiem, poprawa struktury zapisu wytycznych w normie, usunięcie kilku przestarzałych i wprowadzenie nowych zalecanych zabezpieczeń. Wydzielono także rozdział zarządzanie incydentami, który wywodził się z porozrzucanych po normie zaleceń w tym zakresie. Z tego, że rozwiązania proponowane w normie BS są niewystarczające, zdawali sobie sprawę już sami twórcy, proponując na wzór systemów zarządzania jakością systemy zarządzania bezpieczeństwem informacji. Systemy zarządzania bezpieczeństwem informacji według norm ISO serii W roku 2002 opracowano normę BS :2002 [BS ], będącą zbiorem wymagań, których spełnienie jest niezbędne do certyfikacji systemu zarządzania bezpieczeństwem informacji. Norma ta wywodzi się także z normy ISO 9001, co ułatwia certyfikacje w przeciwieństwie do ISO [Szom2001]. Liczba certyfikatów na zgodność z tą normą powoli rosła i w końcu 2006 roku osiągnęła na świecie ponad 2500, przynajmniej tyle było podane na oficjalnej stronie [xisec2007] Strona 14 (26)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

Komunikat nr 115 z dnia 12.11.2012 r.

Komunikat nr 115 z dnia 12.11.2012 r. Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo danych i systemów informatycznych. Wykład 1 Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane

Bardziej szczegółowo

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1) Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Filozofia prezentacji wymagań i zabezpieczeń zgodnie z załącznikiem A Nagłówek rozdziały

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

I. O P I S S Z K O L E N I A

I. O P I S S Z K O L E N I A Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka

Bardziej szczegółowo

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną Andrzej Kaczmarek Biuro GIODO 1 Plan prezentacji: Przepisy określające wymagania w zakresie bezpieczeństwa

Bardziej szczegółowo

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH SPIS TREŚCI O autorach 11 Od autorów 13 Bezpieczeństwo systemów informatycznych 15 Wprowadzenie do bezpieczeństwa systemów

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting

Bardziej szczegółowo

DLA SEKTORA INFORMATYCZNEGO W POLSCE

DLA SEKTORA INFORMATYCZNEGO W POLSCE DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej

Bardziej szczegółowo

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa

Bardziej szczegółowo

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

KLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami

KLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami SYSTEM ZARZĄDZANIA JAKOŚCIĄ ISO Jakość samą w sobie trudno jest zdefiniować, tak naprawdę pod tym pojęciem kryje się wszystko to co ma związek z pewnymi cechami - wyrobu lub usługi - mającymi wpływ na

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna 1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych

Bardziej szczegółowo

Imed El Fray Włodzimierz Chocianowicz

Imed El Fray Włodzimierz Chocianowicz Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.

Bardziej szczegółowo

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik

Bardziej szczegółowo

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Warszawa, dnia 28 czerwca 2012 r. Poz. 93 Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych

Bardziej szczegółowo

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,

Bardziej szczegółowo

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie

Bardziej szczegółowo

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security. Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski

Bardziej szczegółowo

epolska XX lat później Daniel Grabski Paweł Walczak

epolska XX lat później Daniel Grabski Paweł Walczak epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe

Bardziej szczegółowo

Symantec Enterprise Security. Andrzej Kontkiewicz

Symantec Enterprise Security. Andrzej Kontkiewicz Symantec Enterprise Security Andrzej Kontkiewicz Typowe pytania o bezpieczeństwo Jak... 2 Cztery kroki do bezpieczeństwa Jak chronić informację, gdy informację, obrzeże Jak stanowią to ludzie chronić sieci?

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP. 2011 IMMUSEC Sp. z o.o.

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP. 2011 IMMUSEC Sp. z o.o. Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora Jakub Syta, CISA, CISSP Warszawa 28 luty 2011 1 Oberwanie chmury Jak wynika z badania Mimecast Cloud Adoption Survey, 74

Bardziej szczegółowo

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.

Bardziej szczegółowo

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013 Wersja Jednostka realizująca Typ Poziom Program Profil Blok Grupa Kod Semestr nominalny Język prowadzenia zajęć Liczba punktów ECTS Liczba godzin pracy studenta związanych z osiągnięciem efektów Liczba

Bardziej szczegółowo

Audyt systemów informatycznych w świetle standardów ISACA

Audyt systemów informatycznych w świetle standardów ISACA Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy

Bardziej szczegółowo

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Wykładowca mgr prawa i mgr inż. elektronik Wacław Zimny audyt

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji: 2 Plan studiów podyplomowych Systemy Zarządzania Bezpieczeństwem Informacji Edycja II w roku akademickim 2015/2016 Semestr I Lp. ECTS F. zaj. F. zal. Godz. 1. Istota informacji we współczesnych organizacjach

Bardziej szczegółowo

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Strategia i Polityka Bezpieczeństwa Systemów Informatycznych Wykład Aleksander Poniewierski 1 Plan wykładu Informacja w firmie Bezpieczeństwo w firmie Zarządzanie

Bardziej szczegółowo

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA Wstęp Biznes Dane Aplikacje Infrastruktura Wirtualizacja Systemy operacyjne Pytania Funkcjonalności środowiska IT: Czy obecnie moje środowisko IT ma

Bardziej szczegółowo

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi

Bardziej szczegółowo

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 1 Bezpieczeństwo systemu informatycznego banku 2 Przyczyny unikania bankowych usług elektronicznych 60% 50% 52% 40% 30% 20% 10% 20% 20% 9% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi

Bardziej szczegółowo

Bezpieczeńtwo informacji

Bezpieczeńtwo informacji Bezpieczeńtwo informacji Czy chronisz istotne aktywa twojej firmy? Normy dotyczące bezpieczeństwa informacji to nowoczesne standardy zachowania poufności, integralności i dostępności informacji. Bezpieczeńtwo

Bardziej szczegółowo

Dokument obowiązkowy IAF

Dokument obowiązkowy IAF IAF MD 4:2008 International Accreditation Forum, Inc. Dokument obowiązkowy IAF Dokument obowiązkowy IAF dotyczący stosowania wspomaganych komputerowo technik auditowania ( CAAT ) w akredytowanej certyfikacji

Bardziej szczegółowo

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Normy ISO serii 9000 Zostały uznane za podstawę wyznaczania standardów zarządzania jakością Opublikowane po raz

Bardziej szczegółowo

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006 ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005

Bardziej szczegółowo

Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez

Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez KONCEPCJA SYSTEMU JAKOŚCI zgodnie z wymaganiami norm ISO serii 9000 dr Lesław Lisak Co to jest norma? Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez upoważnioną

Bardziej szczegółowo

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach Wdrożony Zintegrowany System Zarządzania obejmuje swoim zakresem wszystkie komórki organizacyjne Urzędu Dobczyce, dnia 15 listopada 2013 roku Rozdział Opis normy/wymaganie Sposób realizacji A.5 Polityka

Bardziej szczegółowo

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Spis treści. Analiza Ryzyka Instrukcja Użytkowania Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.

Bardziej szczegółowo

Zarządzanie Jakością. System jakości jako narzędzie zarządzania przedsiębiorstwem. Dr Mariusz Maciejczak

Zarządzanie Jakością. System jakości jako narzędzie zarządzania przedsiębiorstwem. Dr Mariusz Maciejczak Zarządzanie Jakością System jakości jako narzędzie zarządzania przedsiębiorstwem Dr Mariusz Maciejczak SYSTEM System to zespół powiązanych ze sobą elementów, które stanowią pewną całość. Istotną cechą

Bardziej szczegółowo

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji. Zapytanie ofertowe nr CUPT/DO/OZ/AW/26/36/AB/13 Szanowni Państwo, Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa

Bardziej szczegółowo

Normy ISO serii 9000. www.greber.com.pl. Normy ISO serii 9000. Tomasz Greber (www.greber.com.pl) dr inż. Tomasz Greber. www.greber.com.

Normy ISO serii 9000. www.greber.com.pl. Normy ISO serii 9000. Tomasz Greber (www.greber.com.pl) dr inż. Tomasz Greber. www.greber.com. Normy ISO serii 9000 dr inż. Tomasz Greber www.greber.com.pl www.greber.com.pl 1 Droga do jakości ISO 9001 Organizacja tradycyjna TQM/PNJ KAIZEN Organizacja jakościowa SIX SIGMA Ewolucja systemów jakości

Bardziej szczegółowo

Praktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS 10500. Anti-bribery Management System. Joanna Bańkowska Dyrektor Zarządzający BSI

Praktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS 10500. Anti-bribery Management System. Joanna Bańkowska Dyrektor Zarządzający BSI Praktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS 10500 Anti-bribery Management System Joanna Bańkowska Dyrektor Zarządzający BSI 12 luty 2014 Copyright 2012 BSI. All rights reserved.

Bardziej szczegółowo

13. Zarządzanie incydentami w zakresie bezpieczeństwa informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości

13. Zarządzanie incydentami w zakresie bezpieczeństwa informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości Zarządzanie incydentami i ciągłością działania oraz zgodność wg z ISO/IEC 27001 i ISO/IEC 27002:2005 dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji

Bardziej szczegółowo

URZĄD MIEJSKI W GOSTYNIU PREZENTACJA SYSTEMU PN EN ISO 9001:2001 KSIĘGA JAKOŚCI ELEMENTY SYSTEMU ZARZĄDZANIA JAKOŚCI DOKUMENTACJA SYSTEMU

URZĄD MIEJSKI W GOSTYNIU PREZENTACJA SYSTEMU PN EN ISO 9001:2001 KSIĘGA JAKOŚCI ELEMENTY SYSTEMU ZARZĄDZANIA JAKOŚCI DOKUMENTACJA SYSTEMU 1 URZĄD MIEJSKI W GOSTYNIU PREZENTACJA SYSTEMU PN EN ISO 9001:2001 ELEMENTY SYSTEMU ZARZĄDZANIA JAKOŚCIĄ STRUKTURA ORGANIZACYJNA PODZIAŁ ODPOWIEDZIALNOŚCI I UPRAWNIEŃ PROCESY ZASOBY UMOŻLIWIAJĄCE WDROŻENIA

Bardziej szczegółowo

Co się zmieni w nowej wersji normy ISO 9001

Co się zmieni w nowej wersji normy ISO 9001 TÜV Rheinland Polska Co się zmieni w nowej wersji normy ISO 9001 Podsumowanie zmian www.tuv.pl Aktualizacja normy ISO 9001:2015 Publikacja nowej wersji normy ISO 9001:2015 jest oczekiwana we wrześniu 2015

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? Przedstawiony pakiet usług ma za cel wspomaganie systemu zarządzania bezpieczeństwem informacyjnym, obejmującego strukturę zarządzania bezpieczeństwem IT oraz

Bardziej szczegółowo

5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy

5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy 5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy 5.1. Jakie znaczenie ma planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy? Planowanie jest ważnym elementem

Bardziej szczegółowo

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI Transport odpadów a standardy bezpieczeństwa System Zarządzania Bezpieczeństwem Ruchu drogowego Joanna Bańkowska Dyrektor Zarządzający BSI NOWOCZESNY SYSTEM GOSPODARKI ODPADAMI PROBLEM CZY BIZNES? 13.11.2013

Bardziej szczegółowo

Ćwiczenie 1. System jakości w laboratorium oceny żywności

Ćwiczenie 1. System jakości w laboratorium oceny żywności Ćwiczenie 1. System jakości w laboratorium oceny żywności Powszechnie przyjmuje się, że każde laboratorium, które chce reprezentować wiarygodne dane musi wdrożyć odpowiednie procedury zapewnienia jakości.

Bardziej szczegółowo

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

Oferta Centrum Bezpieczeństwa Danych ZETO Katowice FIRM Backup Online

Oferta Centrum Bezpieczeństwa Danych ZETO Katowice FIRM Backup Online Oferta Centrum Bezpieczeństwa Danych ZETO Katowice FIRM Backup Online Katowice, maj 2012 r. Centrum Bezpieczeństwa Danych ZETO Katowice 2 Nowa usługa dla firm i oferta dla klientów Państwa firmy Usługa

Bardziej szczegółowo