Bezpieczeństwo informacji: historia i stan obecny
|
|
- Mariusz Lisowski
- 8 lat temu
- Przeglądów:
Transkrypt
1 Bezpieczeństwo informacji: historia i stan obecny Autorem tego rozdziału jest dr Bolesław Szomański Wprowadzenie bezpieczeństwo informacji dawniej Problem bezpieczeństwa informacji pojawił się pewnie wtedy kiedy oceniono, że informacje są zbyt cenne, aby je udostępniać każdemu; albo gdy ktoś zapomniał ważnej inforacji a może błędnie ją przekazał. Na początku była to oczywiście informacja przekazywana słownie, stąd też za jej ochronę odpowiadali ludzie ją przekazujący. Oczywiście takich ludzi można było przekonać lub zmusić do ujawnienia informacji; co gorzej mogli oni informację zapomnieć, zmienić przypadkiem lub celowo. Nie przypadkiem wspomina się o utracie lub przekłamaniu informacji, a nie tylko o jej ochronie przed ujawnieniem, gdyż współczesna definicja bezpieczeństwa informacji obejmuje: poufność: właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom; integralność: zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; dostępność: właściwość polegająca na zapewnieniu dokładności i kompletności aktywów [ISO27001]. Przeważnie jednak nie poufność jest obecnie najważniejsza, a to co jest ważne zależy od obszaru zastosowania informacji. Wraz z pojawieniem się pisma pojawiły się nowe pomysły na naruszenie bezpieczeństwa informacji, np. chiński teoretyk wojskowości w V w.p.n.e. Sun Tzy [SunT400pne] wyróżnił 5 rodzajów szpiegów, z których ostatnim był szpieg martwy, czyli podrzucone zwłoki, zawierające nieprawdziwe informacje. Co ciekawe, podobne rozwiązanie zastosował wywiad brytyjski podczas II wojny światowej, podrzucając zwłoki oficera ze sfałszowanymi dokumentami, wskazującymi na miejsce lądowania plaże Calais, gdy tymczasem desant planowany był w Normandii. W wojskowości możliwość przesyłania informacji w postaci pisma przyjęła się ze względu na oczywiste korzyści, jakimi są zapewnienie integralności, ale konieczne było zachowanie jej poufności i zaczęto stosować szyfrowanie wiadomości. Pierwszy Strona 1 (26)
2 znany szyfr jest zwany szyfrem Cezara, polegał on na pisaniu meldunku wzdłuż na wąskim kawałku pergaminu owiniętym na kiju uzgodnionej z odbiorcą informacji grubości; szyfr taki obecnie jest niezwykle łatwy do złamania, ale w starożytności stanowił wyraźny postęp. Oprócz tajemnic wojskowych chroniono także tajemnice handlowe, czego charakterystycznym przypadkiem jest ochrona przez Chińczyków tajemnicy produkcji jedwabiu z jedwabników, która została ukradziona przez mnichów, a jedwabniki przeniesione do Europy. Niektórych tajemnic nie udało się odkryć do dziś, jak np. tajemnicy ognia greckiego najstraszniejszej broni Bizancjum. Jeżeli mówimy o poufności nie należy jednak zapominać o dostępności; większość najcenniejszych pergaminów zawierająca informacje ze starożytności spłonęła podczas dwóch pożarów biblioteki w Aleksandrii, wiele zwojów zostało zniszczonych ponieważ informacje na nich zawarte nie odpowiadały poglądom ówczesnej władzy kościelnej czy świeckiej. Zniszczono dorobek całej cywilizacji Majów, paląc sporządzone przez nich na papierze kodeksy, ponieważ były pogańskie (ocalały tylko 3). Żeby zachować informacje trzeba było je przed pojawieniem się druku ręcznie przepisywać, a to powodowało trudne do wykrycia błędy, najczęściej spowodowane ignorancją skrybów, którzy nie rozumieli starego tekstu albo po prostu się mylili. Czyli nawet to co dotrwało do naszych czasów nie zawsze odpowiada myślom i poglądom autora, a do tego dochodziły błędy tłumaczy i powszechna cenzura. Ale informacje zapisane przetrwały w mniejszym lub większym stopniu zwłaszcza dzięki trwałości nośników takich jak kamień, wypalane tabliczki gliniane, często odkopywane są dziś przez archeologów, natomiast z informacji przekazywanej słownie pozostały tylko mity i legendy. Po pojawieniu się druku zanikła potrzeba przepisywania, a wraz ze znaczną liczbą egzemplarzy wyraźnie podniosła się dostępność informacji podawanych w książkach, a później w gazetach. Nie dotyczyło to jednak poufności; nawet gdy informacje były chronione przed powszechnym dostępem poprzez szyfrowanie, to aby było ono bezpieczne trzeba było poświęcić dużo pracy i czasu. a na dodatek wymagało dobrze przygotowanych księg. kodowych. Ciekawy przykład skutków słabego szyfrowania przedstawiono na konferencji Enigma w 2007r. [Duda2007]. Pod koniec potopu szwedzkiego gdańszczanie, którzy cały czas nie poddali się Szwedom przejęli szwedzki okręt admiralski z całą bardzo słabo zaszyfrowaną korespondencją. Po jej odczytaniu okazało się, że zawiera plany zaatakowania przez Szwecję Danii; gdy władze Danii dowiedziały się o tym wypowiedziały wojnę Szwecji, co w konsekwencji doprowadziło do zakończenia najazdu szwedzkiego. Podobny, ale bardziej znany przypadek dotyczył Strona 2 (26)
3 I wojny światowej; gdy Stany Zjednoczone rozszyfrowały telegram do ambasadora Niemiec w Meksyku z zaleceniem namawiania władz tego kraju do wypowiedzenia wojny USA. Był to jeden z najważniejszych powodów odejścia Stanów Zjednoczonych od polityki neutralności i wypowiedzenia wojny Niemcom. Na początku XX w. świadomość konieczności ochrony tajemnic wojskowych była powszechna i skomplikowane działania służb wywiadowczych i kontrwywiadowczych miały za zadanie zdobycie lub ochronę informacji. Odczytanie informacji miało na przykład spore znaczenie w wojnie polsko-sowieckiej w 1920 roku, co jak niektórzy uważają mogło przyczynić się w znacznym stopniu do zwycięstwa Polski w czasie Bitwy Warszawskiej. W czasie I wojny światowej Brytyjczycy złamali szyfry niemieckie, stąd też konieczne było rozwijanie zarówno zagadnień szyfrowania, czyli kryptografii. a możliwość złamania szyfru wroga była powodem rozwoju kryptoanalizy, czyli nauki o łamaniu szyfrów. Znaczenie ochrony tajemnicy doprowadziło do powstania maszyn szyfrujących, z których pierwszą była Enigma opracowana przez Niemców. Wykorzystywany przez Enigmę mechanizm szyfrowania był przez twórców uważany za niemożliwy do złamania. Opracowanie przez polskich matematyków sposobu łamania szyfru Enigma jest przez niektórych specjalistów uważane za największy wkład Polski w zwycięstwo w II wojnie światowej [Iwan2003]. Warto też zwrócić uwagę, że wymagania kryptoanalizy doprowadziły do budowy pierwszego komputera, którym był nie jak się powszechnie sądzi - ENIAK, ale opracowany przez Turinga komputer do łamania szyfrów. Anglicy przez wiele lat nie przyznawali się do posiadania urządzenia do łamania szyfrów, a mechaniczne maszyny szyfrujące oparte na Enigmie sprzedawali mniej zaprzyjaźnionym krajom. Zaprojektowanie, a następnie szybki rozwój i wzrastające znaczenie komputerów spowodowało pojawienie się rosnących zagrożeń nie tylko dla tradycyjnych obszarów, jakim była obrona państwa, ale także dla firm, a nawet poszczególnych osób. Wraz z pojawieniem się komputerów gwałtownie wystąpiły problemy z bezpieczeństwem informacji i to zarówno z poufnością jak i z dostępnością i integralnością, co nie występowało w tak rażący sposób od czasu pojawienia się druku. Niestety wiele osób do dzisiaj kojarzy bezpieczeństwo informacji tylko z jej poufnością. Takie ograniczone podejście do bezpieczeństwa informacji stanowi poważny problem, na przykład na jednej z konferencji poświęconej bezpieczeństwu informacji w bankach, specjaliści na panelu dyskusyjnym rozwodzili się nad sposobami zapewnienia poufności kont klientów, gdy tymczasem dla przeciętnego Strona 3 (26)
4 klienta najważniejsza jest integralność, czyli zapewnienie, że stan konta zgadza się z rzeczywistością i dostępność do konta, wtedy gdy potrzebuje pieniędzy. Podstawowe sposoby zapewnienia bezpieczeństwa informacji zmieniały się jednak w miarę rozwoju techniki przetwarzania informacji. Z bezpieczeństwem informacji jest jednak tak jak z niektórymi przypadkami podanymi powyżej; mimo niewątpliwego rozwoju zabezpieczeń poprzednie problemy pozostają, są tylko w mniejszej skali widoczne, natomiast pojawiają się nowe. Nadal może się zdarzyć incydent powszechny dla poprzedniej fazy rozwoju bezpieczeństwa, na przykład. nadal można ukryć, zniszczyć lub podmienić informację papierową. Możemy - moim zdaniem - wyróżnić następujące fazy rozwoju bezpieczeństwa informacji: ochrona fizyczna informacji i konstruowanie niezawodnego sprzętu, zapewnienie jakości oprogramowania zapewnienie bezpieczeństwa oprogramowania, zapewnienie bezpieczeństwa systemów komputerowych, zarządzanie bezpieczeństwem informacji, systemy zarządzania bezpieczeństwem informacji. Konieczne jest jednak zrozumienie podstawowej zasady - zabezpieczenia stosowane w poprzedniej fazie są nadal potrzebne i użyteczne, zmienia się tylko ich proporcja w odniesieniu do całości zagadnień bezpieczeństwa informacji. Ochrona fizyczna i konstruowanie niezawodnego sprzętu Początkowo komputery pracowały wyłącznie w wydzielonych ośrodkach obliczeniowych, na które składały się specjalnie przygotowane i przeważnie klimatyzowane pomieszczenia. Wielkość komputerów wymagała dużych pomieszczeń, a stosowane układy - początkowo lampowe, a później tranzystorowe - charakteryzowały się przede wszystkim dużą zawodnością. Stąd też problemy niezawodnościowe były najpoważniejszym zagrożeniem dla poprawnego prowadzenia obliczeń. Na lata pięćdziesiąte XX wieku przypada też gwałtowny rozwój teorii niezawodności, która umożliwiła budowę w miarę sprawnego sprzętu z mniej sprawnych elementów poprzez stosowanie odpowiednio budowanych układów. Równocześnie jednak stosunkowo szybko poprawiała się niezawodność elementów, co umożliwiało coraz szersze wykorzystywanie komputerów. Bezpieczeństwo informacji opierało się Strona 4 (26)
5 przede wszystkim na zapewnieniu niezawodności sprzętu, ochronie fizycznej ośrodka przetwarzania oraz ochronie informacji poprzez tworzenie kopii bezpieczeństwa. Bezpieczeństwo ośrodka przetwarzania miało podstawowe znaczenie, stąd też zaczęto ograniczać dostęp do ośrodka poprzez wprowadzenie kontroli na wejściu; rozwiązania te były oczywiste wobec wojskowego charakteru pierwszych komputerów, ogromnej wartości sprzętu, jak również wymagań stosowania klimatyzacji. Zwracano też uwagę na problem zasilania w energię, stąd też stosowano mechaniczne przetwornice umożliwiające podtrzymanie pracy przez krótki czas, a nawet zapasowe agregaty prądotwórcze. Początkowo programy i dane zapisywano na stosunkowo trwałych nośnikach, jakimi były taśmy i karty perforowane, ale urządzenia mechaniczne zapisu (mimo stosowania od wielu lat) były zawodne i powodowały błędy. Właśnie takie urządzenia wykorzystywane w wyborach prezydenta Stanów Zjednoczonych na Florydzie w 2000 roku doprowadziły do licznych protestów i opóźnienia ogłoszenia wyników przez parę tygodni. Podobno niektóre urządzenia miały prawie 100 lat. Wprowadzenie pamięci magnetycznej początkowo na taśmach, potem na bębnach, a później na dyskach magnetycznych umożliwiało przechowywanie dużych zbiorów danych, ale nośniki te były stosunkowo zawodne stąd też konieczność częstego wykonywania kopii zapasowych, zwykle na taśmach magnetycznych jako najtańszych z nośników o dużej pojemności. Zapisywanie kopii na taśmach magnetycznych jest z resztą powszechnie stosowane do dzisiaj, chociaż nastąpił ogromny postęp w dziedzinie urządzeń do archiwizowania. W przypadku kart perforowanych często oprócz dziurkarek stosowano sprawdzarki kart, co w istotny sposób zmniejszało liczbę błędów. Sprawdzanie polegało na powtórnym przepisywaniu zawartości przy równoczesnym automatycznym porównywaniu z zapisem na karcie. Takie porównywanie zapewniało najlepsze wyniki i chociaż obecnie uważa się je za zbyt kosztowne ze względu na znikomą liczbę błędów we współczesnych urządzeniach, to jednak w znakomity sposób eliminowało także błędy ludzkie, których liczba wcale nie uległa istotnemu zmniejszeniu wraz z obniżeniem przeciętnego poziomu przeszkolenia personelu wprowadzającego dane. Ważnym elementem zapewnienia bezpieczeństwa była ochrona ośrodka przetwarzania, co często realizowano przez budowę zapasowego ośrodka. Pierwszy okres ochrony fizycznej można datować na lata pięćdziesiąte do początku siedemdziesiątych XX w. Zapewnienie jakości oprogramowania Szybko następował rozwój oprogramowanie - od początkowego kodowania binarnego poprzez programowanie w asemblerze do języków wysokiego poziomu, Strona 5 (26)
6 jakimi na początku, był FORTAN a potem COBOL. Rozwijało się także projektowanie systemów operacyjnych i właśnie w tym obszarze zaczęły pojawiać się kłopoty. Podaje się, że katastrofa jednej z pierwszych misji bezzałogowych na Marsa było postawienie kropki zamiast przecinka w programie sterownika napisanym w FORTRAN-ie. Problemy te zresztą nie zniknęły nawet obecnie; podawano, że jedna z niedawnych misji na Marsa zakończyła się katastrofą, bo część programu liczyła wysokość w stopach, a wykonana w Europie - w metrach. Rozwiązania kryptologiczne nie były początkowo wykorzystywane, ale wraz z rozwojem przetwarzania z podziałem czasu i rosnącą liczbą sieci lokalnych i terminali sprawa stawała się coraz pilniejsza. Coraz ważniejsze były także informacje przetwarzane w systemach komputerowych firm, które zaczęły domagać się możliwości stosowania kryptografii w zastosowaniach komercyjnych, na co przez wiele lat nie wyrażały zgody rządy poszczególnych państw. [Levy2001] W celu zapewnienia jakości oprogramowania zaczęto starannie je testować, były nawet próby dowodzenia poprawności oprogramowania. Niektóre algorytmy opracowane i oprogramowane w latach sześćdziesiątych i początku siedemdziesiątych są używane do dziś. Gwałtowny rozwój oprogramowania doprowadził do występującego do dziś kryzysu oprogramowania, przejawiającego się między innymi nienadążaniem oprogramowania za rozwojem sprzętu oraz zwiększającymi się problemami inżynierii oprogramowania [Broo1995]. Właśnie w latach siedemdziesiątych i początku osiemdziesiątych ubiegłego wieku powstało współczesne oprogramowanie, takie jak język C, język SQL, system operacyjny UNIX. Problemy związane z niezadowalającą jakością oprogramowania, mimo że ta faza dotyczy raczej lat siedemdziesiątych i początku osiemdziesiątych ubiegłego wieku pozostały; niektóre mniej bezpieczne, ale bardziej elastyczne rozwiązania wyparły bardziej sformalizowane. Nadal dużo czasu poświęca się jakości w inżynierii oprogramowania, czemu zresztą dedykowana jest ta książka. Zapewnienie bezpieczeństwa oprogramowania Wraz z rozwojem mikrokomputerów pojawiło się wiele innych rozwiązań, obecnie prawie nieużywanych, pozostały niektóre, nie zawsze doskonalsze ze względu na bezpieczeństwo. Wzrosły też zagrożenia spowodowane łatwiejszym dostępem, błędami oprogramowania i użytkowników. Wraz z pojawieniem się mikrokomputerów gwałtownie wzrosła liczba nie przygotowanych użytkowników. W latach osiemdziesiątych rozpowszechniły się pierwsze programy celowo napisane dla szkodzenia użytkownikom, takie jak wirusy, konie trojańskie, robaki internetowe. Strona 6 (26)
7 W miarę rozwoju sieci komputerowych i systemów operacyjnych stawało się jasne, że dotychczasowe rozwiązania, oparte głównie na ochronie fizycznej sprzętu, testowaniu oprogramowania i wykonywaniu kopii bezpieczeństwa nie są wystarczające. Każda z liczących się firm stosowała zresztą swoje rozwiązania, które stanowiły tajemnicę firmy, przez co nie mogły być sprawdzane przez osoby z zewnątrz. Pojawienie się mini a potem mikrokomputerów spowodowało, że konieczne stało się zbudowanie jednolitych zasad oceny bezpieczeństwa oprogramowania. Prace rozpoczęto już w 1967 r., ale dopiero w 1983 r., opracowano w USA pierwszy zbiór kryteriów oceny bezpieczeństwa systemów informatycznych, zwany orange book [TCSEC1983], w Polsce wydany jako norma PN-92 T-20001/02 [PN T20001]. W normie tej określono poziomy bezpieczeństwa systemów informatycznych. Kryteria bezpieczeństwa podzielono na cztery kategorie: D, C, B i A, z których C została podzielona na dwie klasy (Cl i C2), a następne w porządku wzrastających ograniczeń to B (Bl, B2, B3) oraz A1. Kategoria D: zapewnia minimalny poziom ochrony. Zawiera tylko jedną klasę, w której występują systemy oceniane, ale nie spełniające wymagań klas wyższych. Kategoria C: ochrona dyskrecjonalna, poprzez kontrolę zdarzeń. W tej kategorii za poufność informacji odpowiada użytkownik. Cl - Dyskrecjonalna ochrona. C2 - Kontrolowana ochrona dostępu. Kategoria B: Obowiązkowa ochrona. Wymogiem tej kategorii jest wymuszanie ustalonych zasad obowiązkowej kontroli dostępu. Kategoria ta zapewnia wielopoziomowość zabezpieczeń. Bl - C2). Ochrona bazująca na etykietach bezpieczeństwa (musi spełniać wymagania B2 Ochrona strukturalna. Poza cechami klasy B1 wymaga: ścisłej strukturalizacji części jądra systemu odpowiedzialnego za realizację funkcji zabezpieczających; kontroli kanałów komunikacyjnych systemu informatycznego, wraz ze śledzeniem ich adresów; sformalizowanej matematycznie dokumentacji zabezpieczeń; Strona 7 (26)
8 podziału roli głównego administratora systemu wśród kilku administratorów o mniejszych uprawnieniach. B3 Domeny ochrony. Posiada wszystkie cechy klasy B2 a ponadto posiada zminimalizowane jądro systemowe odpowiedzialne za realizację funkcji zabezpieczeń. Kategoria A: Ochrona weryfikowana. Charakteryzuje się zastosowaniem sformalizowanych metod weryfikacji wymagań ochrony. Al Weryfikowane projektowanie. W innych krajach (poza USA) również opracowano własne kryteria oceny bezpieczeństwa systemów informatycznych np. ITSEC. Historię opracowania tych rozwiązań przedstawiono na rys. 1. [Cend1997] Rok CC ISO 1983 TCSEC 1987 Blue Book UK E Levels 1989 CTCSEC IT SK C dc 1990 ITSEC ITSEC Federal Criteria 1996 Common Criteria Common Criteria ISO/IEC Common ISO/IEC Criteria Common Criteria :2005 ISO/IEC w przygotowaniu Tabela 1 Historia powstawania kryteriów oceny zabezpieczeń źródło: opracowanie na podstawie [Cend1997] z uzupełnieniami Obecnie za obowiązujące uważa się Common Criteria w wersji 2.3, natomiast normą obowiązującą jest ISO/IEC 15408:2005 [ISO15408], która jest oparta na poprzedniej wersji; trwają prace na przyjęciem ostatniej wersji Common Criteria jako normy ISO. W normie ISO/IEC 15408:2005 wyróżniono ocenę funkcjonalną oraz ocenę zabezpieczeń. Każde oprogramowanie może uzyskać określony poziom zabezpieczeń. W normie stosowane są klasy funkcjonalności: FCO transmisja; FCS - funkcje kryptograficzne; FDP - ochrona danych użytkowników; FIA - identyfikacja i Strona 8 (26)
9 uwierzytelnienie; FAU audyt bezpieczeństwa; FMT zarządzanie bezpieczeństwem; FPR prywatność FPT ochrona funkcji zabezpieczających; FRU wykorzystanie zasobów; FTA dostęp; FPT wiarygodne kanały i ścieżki. Klasy zapewnienia bezpieczeństwa: ACM zarządzanie konfiguracją; ADO dostawy i operacje; ADV rozwój; AGD instrukcje i dokumentacja; ACL wsparcie w cyklu życia; ASE ocena bezpieczeństwa; ATE testy; AVA ocena podatności; AMA utrzymanie zapewniania. Wyróżnione są również poziomy oceny zapewnienia bezpieczeństwa: EAL1 testowane funkcjonalnie; EAL2 - testowane strukturalnie; EAL3 metodycznie testowane i sprawdzane; EAL4 metodycznie projektowane, testowane i przeglądane; EAL5 semiformalne projektowane i testowane; EAL6 semiformalne weryfikowane projektowanie i testowanie; EAL7 formalnie weryfikowane i testowane. Common Criteria jest najważniejszym standardem oceny bezpieczeństwa oprogramowania w oparciu o nie przeprowadza się certyfikację oprogramowania. Praktycznie wszystkie istotne systemy operacyjne są certyfikowane na zgodność z Common Criteria. Unia Europejska w 2002 roku [UE2002] zalecała stosowanie Common Criteria do oceny bezpieczeństwa oprogramowania. Niestety norma mimo że dostępna bezpłatnie [common2008] jest bardzo słabo znana poza środowiskami specjalistycznymi. Jest rozwiązaniem bardzo rozbudowanym i zapisanym w języku pseudoformalnym trudnym do stosowania, a uzyskanie certyfikacji jest bardzo długie i czasochłonne, a na dodatek wymaga dostępu do kodu źródłowego. Oczywiście, można wykorzystywać tylko niektóre fragmenty normy jak np. w opracowaniu dotyczącym bezpieczeństwa komunikatorów internetowych, [Bock2007] ale takie podejście jest niestety niepopularne. Można zatem uznać, że Common Criteria to pierwszy prawdziwy standard niestety - mimo sporego poparcia - słabo znany i wykorzystywany. Na przykład w Polsce przetłumaczone są tylko dwa z trzech tomów normy ISO/IEC i to na dodatek w wersji z 2000roku. Wymagania dotyczące bezpieczeństwa spowodowały opracowanie szeregu zabezpieczeń dla transmisji danych w sieci Internet, której oryginalny protokoł TCP/IP nie przewidywał żadnych zabezpieczeń. Rozwiązania, takie jak shttp, SSL, SSH [MoOp2002], umożliwiły w miarę bezpieczną transmisję danych w Internecie. Bezpieczna transmisja danych nie byłaby jednak możliwa bez ich szyfrowania. NSA w roku 1978 wyraziła zgodę na szyfrowanie i udostępniła zaprojektowany przez IBM algorytm DES. Równocześnie zostały opracowane algorytmy szyfrowania asymetrycznego, takie jak Diffie-Hellmana i RSA [Levy2001]. Strona 9 (26)
10 Obecnie jednak powszechnie uważa się za konieczne zastąpienie tych algorytmów przez nowocześniejsze i tak DES nie jest zalecany do stosowania, a zastępuje go AES, a dla RSA minimalna zalecana długość klucza to 1024bity. Zapewnienie bezpieczeństwa systemów informatycznych Na początku lat dziewięćdziesiątych ubiegłego wieku mikrokomputery zaczęto powszechnie łączyć w sieci lub dołączać do istniejących rozwiązań sieciowych; spośród wielu rozwiązań dominującym okazał się Internet, do którego podłączali się wszyscy. Ochrona fizyczna ośrodka, jak i zapewnienie jakości i bezpieczeństwa oprogramowania okazało się jednak niewystarczające, ponieważ jedną z głównych przyczyn naruszania bezpieczeństwa są ludzie, którzy przypadkowo, np. na skutek niewiedzy, braku czasu lub zwykłej, pomyłki powodują poważne zagrożenia bezpieczeństwa, albo celowo atakują systemy lub tworzą szkodliwe oprogramowanie. Próbą zaradzenia tego rodzaju zagrożeniom miało być budowanie polityki bezpieczeństwa, obejmującej nie tylko środki techniczne, ale także zbiór zaleceń organizacyjnych, narzucających tworzenie odpowiednich dokumentów, takich jak zasady, procedury i instrukcje. Zalecenia budowy polityki bezpieczeństwa dla każdego sytemu informatycznego pojawiają się już na początku lat dziewięćdziesiątych, a nawet i wcześniej, ale dopiero wydanie raportu technicznego ISO/IEC określiło formalne zasady budowy takiej polityki. Raport ten składał się z 5 części [ISO13335] Przykładowy układ zasad i hierarchii polityk przedstawiono na rys. 1 Strona 10 (26)
11 Ilustracja 1 Hierarchia zapewniania bezpieczeństwa informacji [PN 13335] Polityki bezpieczeństwa informacji opracowane zgodnie z założeniami tej normy były obszerne i bardzo złożone, szczególnie jeżeli opracowało się oddzielnie politykę dla każdego systemu informatycznego, a opracowaniem zajmowali się różni specjaliści. Opracowanie polityki bezpieczeństwa nie gwarantowało przy tym jej wdrożenia, a zwłaszcza funkcjonowania w dłuższym okresie. Konieczne było zapewnienie skutecznej kontroli proponowanych rozwiązań. Przy czym kontrola nie powinna mieć na celu ukaranie winnych zaniedbań, lecz wykrycie potencjalnych zagrożeń dla bezpieczeństwa systemu komputerowego, a szerzej całej firmy. Rozwiązaniem było przeprowadzenie audytu bezpieczeństwa systemów informatycznych, zawierającego oprócz sprawdzenia funkcjonowania dokumentacji polityki bezpieczeństwa, także przeprowadzenie odpowiednich testów, w tym także testów odporności systemów informatycznych na ataki z zewnątrz, czyli testów penetracyjnych. Poszczególne firmy opracowywały własne procedury przeprowadzenia audytów, stąd też konieczne stało się opracowanie jednolitego standardu. Przy okazji stwierdzono, Strona 11 (26)
12 że sam audyt bezpieczeństwa może okazać się dla potrzeb firmy niewystarczający, toteż wskazane byłoby opracowanie zasad kompleksowego audytu systemów informatycznych, uwzględniającego oprócz zagadnień bezpieczeństwa także zasady jakości, efektywności oraz zgodności z prawem i wymaganiami finansowymi. Opracowano kilka zasad i standardów, z których najpopularniejszym jest standard COBIT, opracowany przez stowarzyszenie ISACA. COBIT ułatwia badanie i opis relacji pomiędzy wymaganiami biznesowymi, zasobami systemów informatycznych i procesami informacyjnymi. Zgodnie z COBIT informacja powinna spełniać określone kryteria (wymagania biznesowe), takie jak: Kryteria jakości: Jakość, Koszty, Dostarczanie. Kryteria zaufania: Efektywność i wydajność operacji, Wiarygodność informacji, Zgodność z prawem i przepisami wewnętrznymi. Kryteria bezpieczeństwa: Poufność, Integralność, Dostępność. COBIT opisuje procesy w działalności organizacji związane z IT, zgromadzone w 4 grupach: Planowanie i organizacja. Nabywanie i wdrażanie. Dostawa i wsparcie. Monitorowanie. Obecnie aktualna jest wersja 3.1 COBIT-u. Proponowane rozwiązania dotyczące zapewnienia bezpieczeństwa tylko systemów informatycznych były stosowane w latach dziewięćdziesiątych ubiegłego wieku i na początku obecnego. Okazały się jednak niezupełnie skuteczne. Przede wszystkim były niezwykle pracochłonne, ograniczały się do systemów informatycznych, gdy tymczasem informacje były przekazywane coraz częściej za pomocą sieci komórkowych i rozwiązań bezprzewodowych; nadal jednak wiele z nich (i to często te najważniejsze) są tylko w postaci papierowej. Najcenniejszą sprawą w normie było zwrócenie uwagi na analizę i szacowanie ryzyka wraz z informacjami na temat znanych zagrożeń i podatności. W roku 2008 pozostała tylko jedna norma z 5 arkuszy norm ISO [ISO 13335] (wprowadzająca i terminologiczna :2004 ale polskie wydanie z 1998 roku), wszystkie pozostałe zostały już uchylone. Warto zwrócić na to uwagę, gdyż wiele Strona 12 (26)
13 osób nadal je stosuje, często nawet nieświadomie; nie zdając sobie nawet sprawy, że nowe rozwiązania są nie tylko lepsze, ale na dodatek mniej pracochłonne. Zarządzanie bezpieczeństwem informacji Proponowane w normach ISO/IEC objęcie ochroną tylko systemów informatycznych jest niewystarczające w sytuacji ogromnego nasycenia informatyką całej firmy, czyli nie tylko komputerów, ale także urządzeń przenośnych, takich jak PDA czy telefony komórkowe, rozpowszechnienia faksów i kserokopiarek oraz możliwości kopiowania na przenośne nośniki zawarte w urządzeniach, takich jak aparaty fotograficzne czy urządzenia MP3. Zupełnie niekontrolowalne, jeżeli chodzi o groźbę ataków i wycieku informacji, stały się sieci komórkowe i sieci WIFI. Równocześnie wzrosła liczba systemów informacyjnych, które powinny być rozważane. Nie było już sensu budowania od podstaw polityk bezpieczeństwa informacji dla poszczególnych systemów informatycznych, lecz konieczne jest budowanie zarządzania bezpieczeństwem. Nowe podejście do zarządzania bezpieczeństwem informacji zaproponowali w końcu XX wieku Brytyjczycy przygotowując normę BS 7799, która została z wielkim trudem przyjęta w 2000 roku jako norma ISO [Andr2001]. Norma ta podawała wytyczne do zarządzania bezpieczeństwem informacji, a nie tylko bezpieczeństwem systemów informatycznych. Norma spotkała się z ogromnym zainteresowaniem na świecie i uważano, że ułatwi rozwiązywanie problemów bezpieczeństwa informacji. Normę tę przetłumaczono na język polski jako PN ISO/IEC 17799:2003 [ISO17999] Praktyczne zasady zarządzania bezpieczeństwem informacji. Norma zawierała 10 rozdziałów merytorycznych: 3. Polityka bezpieczeństwa 4. Organizacja bezpieczeństwa 5. Klasyfikacja i kontrola aktywów 6. Bezpieczeństwo osobowe 7. Bezpieczeństwo fizyczne i środowiskowe 8. Zarządzanie systemami i sieciami 9. Kontrola dostępu do systemu 10. Rozwój i utrzymanie systemu 11. Zarządzanie ciągłością działania Strona 13 (26)
14 12. Zgodność [ISO17799] Zastosowane w normie rozwiązania stanowiły wytyczne dla zarządzania bezpieczeństwem informacji i nadawały się do zastosowania w praktycznie każdej organizacji. Zaczęto je wdrażać szczególnie tam gdzie zagadnienia bezpieczeństwa informacji odgrywały znaczącą rolę (np. w bankach). Zalecenia podawane w normie umożliwiały budowę polityki bezpieczeństwa informacji, organizację bezpieczeństwa informacji, objęcie bezpieczeństwem informacji spraw osobowych, a personel to główna przyczyna problemów w bezpieczeństwie informacji, ciągłości działania i zgodności z prawem. Norma stanowiła przełom w podejściu do bezpieczeństwa informacji poprzez wyraźne określenie, że najważniejszą sprawą jest zarządzanie, a nie tylko rozwiązania techniczne i dokumenty organizacyjne. Norma miała jednak wiele drobnych mankamentów; była zapisana czasami w sposób chaotyczny, nie uwzględniała najnowszych zagrożeń, brakowało w niej podejścia do zarządzania ryzykiem (które zostało obszernie scharakteryzowane jeszcze w ISO ), oceny skuteczności zabezpieczeń; nie został zaproponowany sposób audytowania bezpieczeństwa informacji, audyty tradycyjnie odnosiły się do systemów informatycznych. W roku 2005 wydano kolejne wydanie normy ISO 17799:2005 [ISO27002], które zostało w roku 2007 przetłumaczone na język polski jako PN ISO/IEC 17799:2007. [PN17799]. W nowej edycji zmieniono ponad 5000 elementów, ale najważniejsze było dodanie rozdziału o zarządzaniu ryzykiem, poprawa struktury zapisu wytycznych w normie, usunięcie kilku przestarzałych i wprowadzenie nowych zalecanych zabezpieczeń. Wydzielono także rozdział zarządzanie incydentami, który wywodził się z porozrzucanych po normie zaleceń w tym zakresie. Z tego, że rozwiązania proponowane w normie BS są niewystarczające, zdawali sobie sprawę już sami twórcy, proponując na wzór systemów zarządzania jakością systemy zarządzania bezpieczeństwem informacji. Systemy zarządzania bezpieczeństwem informacji według norm ISO serii W roku 2002 opracowano normę BS :2002 [BS ], będącą zbiorem wymagań, których spełnienie jest niezbędne do certyfikacji systemu zarządzania bezpieczeństwem informacji. Norma ta wywodzi się także z normy ISO 9001, co ułatwia certyfikacje w przeciwieństwie do ISO [Szom2001]. Liczba certyfikatów na zgodność z tą normą powoli rosła i w końcu 2006 roku osiągnęła na świecie ponad 2500, przynajmniej tyle było podane na oficjalnej stronie [xisec2007] Strona 14 (26)
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoSzczegółowy opis przedmiotu zamówienia:
Załącznik nr 1 do SIWZ Szczegółowy opis przedmiotu zamówienia: I. Opracowanie polityki i procedur bezpieczeństwa danych medycznych. Zamawiający oczekuje opracowania Systemu zarządzania bezpieczeństwem
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoBezpieczeństwo danych i systemów informatycznych. Wykład 1
Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoBezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Bardziej szczegółowoI. O P I S S Z K O L E N I A
Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka
Bardziej szczegółowoWybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa
Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,
Bardziej szczegółowoPRELEGENT Przemek Frańczak Członek SIODO
TEMAT WYSTĄPIENIA: Rozporządzenie ws. Krajowych Ram Interoperacyjności standaryzacja realizacji procesów audytu bezpieczeństwa informacji. Określenie zależności pomiędzy RODO a Rozporządzeniem KRI w aspekcie
Bardziej szczegółowoKomunikat nr 115 z dnia 12.11.2012 r.
Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania
Bardziej szczegółowoISO 9001:2015 przegląd wymagań
ISO 9001:2015 przegląd wymagań dr Inż. Tomasz Greber (www.greber.com.pl) Normy systemowe - historia MIL-Q-9858 (1959 r.) ANSI-N 45-2 (1971 r.) BS 4891 (1972 r.) PN-N 18001 ISO 14001 BS 5750 (1979 r.) EN
Bardziej szczegółowoElementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)
Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Filozofia prezentacji wymagań i zabezpieczeń zgodnie z załącznikiem A Nagłówek rozdziały
Bardziej szczegółowoKLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami
SYSTEM ZARZĄDZANIA JAKOŚCIĄ ISO Jakość samą w sobie trudno jest zdefiniować, tak naprawdę pod tym pojęciem kryje się wszystko to co ma związek z pewnymi cechami - wyrobu lub usługi - mającymi wpływ na
Bardziej szczegółowoOchrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.
Ochrona zasobów Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe. Zagrożenia celowe Pasywne: monitorowanie, podgląd, Aktywne: powielanie programów,
Bardziej szczegółowoZintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego
Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...
Bardziej szczegółowoPodstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych
Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowoOcena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.
dojrzałości jednostki Kryteria oceny Systemu Kontroli Zarządczej. Zgodnie z zapisanym w Komunikacie Nr 23 Ministra Finansów z dnia 16 grudnia 2009r. standardem nr 20 1 : Zaleca się przeprowadzenie co najmniej
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku
POLITYKA BEZPIECZEŃSTWA INFORMACJI w CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI Kraków, 25 maja 2018 roku Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w urzędach pracy
Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,
Bardziej szczegółowoArchitektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011
Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów
Bardziej szczegółowoBezpieczeństwo informacji. jak i co chronimy
Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoZalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO
Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną Andrzej Kaczmarek Biuro GIODO 1 Plan prezentacji: Przepisy określające wymagania w zakresie bezpieczeństwa
Bardziej szczegółowoMARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH
MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH SPIS TREŚCI O autorach 11 Od autorów 13 Bezpieczeństwo systemów informatycznych 15 Wprowadzenie do bezpieczeństwa systemów
Bardziej szczegółowoInformatyka w kontroli i audycie
Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoPolskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny
Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych
Bardziej szczegółowoZarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian
Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.
Bardziej szczegółowoDLA SEKTORA INFORMATYCZNEGO W POLSCE
DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA
POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA WROCŁAW, 15 maja 2018 r. Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania,
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przepisy prawa a normy
Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa
Bardziej szczegółowoKryteria oceny Systemu Kontroli Zarządczej
Załącznik nr 2 do Zasad kontroli zarządczej w gminnych jednostkach organizacyjnych oraz zobowiązania kierowników tych jednostek do ich stosowania Kryteria oceny Systemu Kontroli Zarządczej Ocena Środowisko
Bardziej szczegółowoPOLITYKA E-BEZPIECZEŃSTWA
Definicja bezpieczeństwa. POLITYKA E-BEZPIECZEŃSTWA Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie: Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim). Integralności
Bardziej szczegółowoStandard ISO 9001:2015
Standard ISO 9001:2015 dr inż. Ilona Błaszczyk Politechnika Łódzka XXXIII Seminarium Naukowe Aktualne zagadnienia dotyczące jakości w przemyśle cukrowniczym Łódź 27-28.06.2017 1 Struktura normy ISO 9001:2015
Bardziej szczegółowoISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania
ISO 9000/9001 Jarosław Kuchta Jakość Oprogramowania Co to jest ISO International Organization for Standardization największa międzynarodowa organizacja opracowująca standardy 13700 standardów zrzesza narodowe
Bardziej szczegółowoUSŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI
USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowo01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych
Tabela z podziałem tzw. efektów uczenia na formę weryfikacji podczas egzaminu Stosowanie zasad cyber przez pracowników instytucji finansowych 01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych
Bardziej szczegółowoepolska XX lat później Daniel Grabski Paweł Walczak
epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe
Bardziej szczegółowoBudowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.
POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O. 24.05.2018....................... [data sporządzenia] Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu
Bardziej szczegółowo1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?
PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoZakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 22, 2005 Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, 00 908 Warszawa STRESZCZENIE: Artykuł zawiera przegląd
Bardziej szczegółowoPolityka ochrony danych osobowych. Rozdział I Postanowienia ogólne
Polityka ochrony danych osobowych Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych w ramach działalności gospodarczej prowadzonej przez DEIMIC SP. Z o.o. Liliowa 2 87-152
Bardziej szczegółowoInstrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin
w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin Instrukcja zarządzania
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.
Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoPolityka bezpieczeństwa informacji
Adwokat Łukasz Waluch Kancelaria Adwokacka Polityka bezpieczeństwa informacji Zawartość I. Postanowienia ogólne...4 II. Dane osobowe przetwarzane u Administratora Danych...4 III. Obowiązki i odpowiedzialność
Bardziej szczegółowoZmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka
Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych
Bardziej szczegółowoZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.
Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem
Bardziej szczegółowoSymantec Enterprise Security. Andrzej Kontkiewicz
Symantec Enterprise Security Andrzej Kontkiewicz Typowe pytania o bezpieczeństwo Jak... 2 Cztery kroki do bezpieczeństwa Jak chronić informację, gdy informację, obrzeże Jak stanowią to ludzie chronić sieci?
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA w HEBAN spółka z ograniczoną odpowiedzialnością spółka komandytowa ul. Kosocicka 7, 30-694 Kraków, KRS 0000351842, NIP 6790083459 Niniejsza polityka bezpieczeństwa, zwana dalej
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa
POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS Ul. Sienna 57A lok.14 00-820 Warszawa Warszawa, dnia 24 maja 2018r. 1 Niniejsza Polityka bezpieczeństwa, zwana dalej
Bardziej szczegółowoKwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Bardziej szczegółowoWprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna
1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez
Bardziej szczegółowoDeklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.
Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowoBezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
Bardziej szczegółowoJak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik
Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.
Strona 1 z 5 LexPolonica nr 44431. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoPOLITYKA JAKOŚCI. Polityka jakości to formalna i ogólna deklaracja firmy, jak zamierza traktować sprawy zarządzania jakością.
POLITYKA JAKOŚCI Polityka jakości jest zestawem nadrzędnych celów, zamiarów oraz orientacji organizacji na jakość. Stanowi ona dowód na to, że przedsiębiorca wie, czego chce i kieruje swoim przedsiębiorstwem
Bardziej szczegółowonas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA
nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA Wstęp Biznes Dane Aplikacje Infrastruktura Wirtualizacja Systemy operacyjne Pytania Funkcjonalności środowiska IT: Czy obecnie moje środowisko IT ma
Bardziej szczegółowoRealizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD
Zasady przetwarzania danych osobowych w sferze zatrudnienia Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD Mariola Więckowska Head of Privacy Innovative Technologies Lex
Bardziej szczegółowo2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
POLITYKA BEZPIECZEŃSTWA INFORMACJI w TERVIS Sp. z o.o. ul. Marii Curie-Skłodowskiej 89B 87-100 Toruń KRS: 395894 dalej jako TERVIS Sp. z o.o. Polityka bezpieczeństwa informacji Niniejsza Polityka bezpieczeństwa,
Bardziej szczegółowoZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Bardziej szczegółowoOchrona danych osobowych w biurach rachunkowych
Ochrona danych osobowych w biurach rachunkowych w kontekście zmienianych przepisów prawa, w szczególności w zgodzie z RODO Prowadzi: Piotr Glen Ekspert ds. ochrony danych osobowych Administrator bezpieczeństwa
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna
Załącznik nr 2 do Zarządzenia Burmistrza Miasta Kościerzyna nr 0050.3/2016 z dnia 8 stycznia 2016 roku INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie
Bardziej szczegółowoZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.
ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...
Bardziej szczegółowoSpis treści. Analiza Ryzyka Instrukcja Użytkowania
Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, 43-450 Ustroń Administrator Danych Osobowych: Wojciech Śliwka 1. PODSTAWA PRAWNA Niniejsza Polityka
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku
Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach
Bardziej szczegółowoOpracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej
Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.
Bardziej szczegółowoSemestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:
2 Plan studiów podyplomowych Systemy Zarządzania Bezpieczeństwem Informacji Edycja II w roku akademickim 2015/2016 Semestr I Lp. ECTS F. zaj. F. zal. Godz. 1. Istota informacji we współczesnych organizacjach
Bardziej szczegółowo