Zarządzanie bezpieczeństwem a polityka bezpieczeństwa systemu informatycznego w przedsiębiorstwie
|
|
- Dawid Bednarski
- 8 lat temu
- Przeglądów:
Transkrypt
1 Zeszyty Naukowe nr 798 Uniwersytetu Ekonomicznego w Krakowie 2009 Katedra Informatyki Zarządzanie bezpieczeństwem a polityka bezpieczeństwa systemu informatycznego w przedsiębiorstwie Streszczenie. Artykuł poświęcony jest trudnościom, które powstają podczas definiowania terminów bezpieczeństwo systemów informatycznych, zarządzanie bezpieczeństwem i polityka bezpieczeństwa SI. Autor dokonał przeglądu licznych publikacji, norm i standardów z zakresu bezpieczeństwa systemów informatycznych i przedstawił rozbieżności terminologiczne występujące pomiędzy wspomnianymi pojęciami oraz podjął próbę wyjaśnienia przyczyn ich powstania. Ponadto w artykule zaprezentowane zostały definicje tych pojęć zgodne z przyjętymi międzynarodowymi standardami i światową praktyką. Słowa kluczowe: bezpieczeństwo systemów informatycznych, zarządzanie bezpieczeństwem systemów informatycznych, polityka bezpieczeństwa 1. Wprowadzenie Na całym świecie wraz z rozwojem i upowszechnieniem się systemów informatycznych (SI) zagadnienia związane z zapewnieniem ich bezpieczeństwa nabrały niekwestionowanego znaczenia. Polska nie jest tutaj wyjątkiem rodzime przedsiębiorstwa, zmuszone do utrzymania odpowiedniego poziomu bezpieczeństwa w swoich systemach informatycznych, zgłaszają zapotrzebowanie na wszelkie informacje i usługi z tym związane. Naturalną odpowiedzią na rosnące zapotrzebowanie rynku jest pojawienie się licznych publikacji (książek, wytycznych, artykułów itp.) oraz świadczenie przez firmy informatyczne usług z zakresu bezpieczeństwa komputerowego (m.in. w obszarze audytu bezpieczeństwa SI,
2 86 doradztwa, projektowania i wdrażania zabezpieczeń itp.). Ogromna liczba publikacji oraz usług świadczonych przez liczne firmy informatyczne może sprawiać wrażenie, że na polskim rynku problematyka bezpieczeństwa jest ściśle określona i doskonale znana. Tymczasem okazuje się, że już na etapie definiowania problemu i zakresu działań pojawiają się pewne trudności i niezgodności pojęciowe. Kierownictwa przedsiębiorstw, studiując publikacje z zakresu bezpieczeństwa systemów informatycznych lub oczekując od specjalistycznych firm konkretnej pomocy, niejednokrotnie natrafiają na nieścisłości związane z postrzeganiem i nazywaniem poszczególnych, często elementarnych, zjawisk i działań. Już na początku trudność sprawia zdefiniowanie samego bezpieczeństwa systemu informatycznego. Jednak największe nieścisłości związane są z pojęciem polityki bezpieczeństwa oraz zarządzania bezpieczeństwem. Mimo że wskazane problemy mogą wydawać się czysto teoretyczne i łatwe do rozwiązania poprzez dobór odpowiedniej nomenklatury, w praktyce stwarzają niemałe trudności (np. jeżeli przedsiębiorstwo korzysta z usług różnych firm doradczych, które inaczej definiują zagadnienie bezpieczeństwa i w odmienny sposób postrzegają proces jego osiągnięcia). Dlatego właśnie celem niniejszego artykułu jest zwrócenie uwagi na pewne trudności w definiowaniu wspomnianych pojęć oraz rozbieżności terminologiczne występujące pomiędzy nimi. Autor dokonał przeglądu licznych publikacji, norm i standardów z zakresu bezpieczeństwa systemów informatycznych, porównał występujące tam definicje poszczególnych terminów (ze szczególnym zwróceniem uwagi na rozbieżności między nimi) oraz podjął się próby wyjaśnienia przyczyn powstania tych różnic. Ponadto przedstawił znaczenie omawianych pojęć zgodne z przyjętymi obecnie międzynarodowymi standardami i światową praktyką. 2. Pojęcie bezpieczeństwa systemu informatycznego Bezpieczeństwo, mimo że wydaje się powszechnie zrozumiałe, w rzeczywistości należy do sfery subiektywnych odczuć i może być postrzegane w różny sposób. W Słowniku języka polskiego [Słownik 2002] określa się je jako stan niezagrożenia, spokoju, pewności. Zgodnie z innym słownikiem [Smolski i in. 1999] bezpieczeństwo to pojęcie trudne do zdefiniowania. Sytuacja, w której istnieją formalne, instytucjonalne, praktyczne gwarancje ochrony. W terminologii informatycznej także można znaleźć różne definicje bezpieczeństwa, np.:
3 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 87 bezpieczeństwo to miara zaufania, że system i jego dane pozostaną nienaruszone 1 [Adamczewski 2000], bezpieczeństwo komputerowe to stan, w którym komputer jest bezpieczny, tzn. jego użytkownik może na nim polegać, a zainstalowane oprogramowanie działa zgodnie ze stawianymi mu oczekiwaniami [Garfinkel i Spafford 1997], bezpieczeństwo systemów informatycznych polega na ochronie informacji, systemów lub usług przed katastrofami, błędami i manipulacjami, a także na minimalizowaniu prawdopodobieństwa i skutków wystąpienia przypadków naruszenia bezpieczeństwa oraz sprowadza się do zachowania poufności, integralności i dostępności zasobów i usług systemu [Boran 1999]. Traktowanie bezpieczeństwa jako stanu, w którym jego pewne właściwości (tzw. atrybuty bezpieczeństwa) są zachowane, staje się coraz bardziej powszechne. Już w 1992 r. Organizacja Rozwoju i Współpracy Gospodarczej (OECD) w swoich Wytycznych w sprawie bezpieczeństwa systemów informacyjnych określiła i zdefiniowała podstawowe atrybuty bezpieczeństwa systemu takie jak dostępność, poufność i integralność [Adamski 1998]. W 1996 r. Międzynarodowa Organizacja Normalizacyjna (ISO) w raporcie technicznym ISO/IEC TR uzupełniła listę atrybutów o trzy kolejne rozliczalność, autentyczność i niezawodność [PN-I ] 2, ponieważ wg ISO zachowanie tylko poufności, integralności i dostępności jest niewystarczające do zapewnienia bezpieczeństwa systemów informatycznych. Wystarczają one jednak do zapewnienia bezpieczeństwa informacji (zob. [PN-ISO/IEC 17799]). Obecnie, zgodnie ze standardami polskimi i międzynarodowymi, pod pojęciem bezpieczeństwa systemów informatycznych rozumiane są wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności systemu [PN-I ]. Wymienione atrybuty bezpieczeństwa systemu informatycznego należy rozumieć następująco: poufność (ang. confidentiality) właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom; integralność systemu (ang. system integrity) właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od 1 Traktowanie bezpieczeństwa jako pewnej miary ma duże znaczenie dla działań związanych z wyznaczeniem poziomu bezpieczeństwa. 2 Polska norma [PN-I ] jest tłumaczeniem międzynarodowego raportu technicznego dotyczącego zarządzania bezpieczeństwem systemów informatycznych: ISO/IEC TR :1996, Information Technology Guidelines for the Management of IT Security, Part 1: Concepts and Models for IT Security, 1996.
4 88 nieautoryzowanej manipulacji, celowej lub przypadkowej. Integralność danych (ang. data integrity) właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany; dostępność (ang. availability) właściwość bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot; rozliczalność (ang. accountability) właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; autentyczność (ang. authenticity) właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana. Autentyczność dotyczy takich podmiotów jak użytkownicy, procesy, systemy i informacja; niezawodność (ang. reliability) właściwość oznaczająca spójne, zamierzone zachowanie i jego skutki. Tak sformułowana definicja obejmuje złożony i niejednorodny charakter bezpieczeństwa systemów informatycznych oraz podkreśla konieczność rozpatrywania go na wielu płaszczyznach. Jest ona obecnie przyjęta i uznana na całym świecie. 3. Pojęcie zarządzania bezpieczeństwem i polityki bezpieczeństwa systemu informatycznego uwagi terminologiczne W literaturze światowej terminy polityka bezpieczeństwa (ang. security policy) oraz zarządzanie bezpieczeństwem systemów informatycznych (ang. management of IT security) obowiązywały powszechnie już w latach 90. Opublikowany w 1996 r. raport ISO/IEC TR Guidelines for the Management of IT Security dodatkowo rozpowszechnił i ujednolicił ich znaczenie. Zgodnie z nim zarządzanie bezpieczeństwem jest pojęciem szerszym niż polityka bezpieczeństwa i obejmuje wszystkie procesy (działania) zmierzające do utrzymania odpowiedniego poziomu bezpieczeństwa. Opracowanie i realizowanie polityki bezpieczeństwa jest tylko jednym z elementów zarządzania bezpieczeństwem. Sama polityka bezpieczeństwa to ustalone zasady (zarządzenia, procedury) określające sposób postępowania z zasobami systemu, zapewniający im odpowiednią ochronę. Tymczasem w polskiej literaturze przedmiotu pojęcia te napotkały na problemy translacyjne i znaczeniowe. Pierwsze wysokonakładowe publikacje poświęcone tym zagadnieniom były tłumaczeniami książek anglojęzycznych (np. [Stallings 1997, Garfinkel i Spafford 1997, Ahuja 1997, Klander 1998]). Występujący w nich termin security policy tłumaczony był różnie, co zależało głównie od tłumacza, nie zawsze obeznanego z tą tematyką. Jednak w opracowaniach polskich autorów również nie było jednorodności. Security policy tłumaczono jako polityka ochrony, polityka bezpieczeństwa lub polityka zabezpieczenia
5 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 89 (zob. np. [Stawowski 1998, Piotrowski, Szymaczek 1997]), przy czym polityka zabezpieczenia została przyjęta przez Polski Komitet Normalizacyjny w normie Zabezpieczenia w systemach informatycznych Terminologia wydanej w 1998 r. [PN-I-02000] jako oficjalne tłumaczenie tego terminu. Bardziej istotny jest jednak fakt, że w praktyce nie funkcjonowało pojęcie zarządzania bezpieczeństwem SI. Rolę występującego w literaturze anglojęzycznej management of IT security przypisywano właśnie polityce zabezpieczenia 3 (zob. np. [Piotrowski i Szymaczek 1997, Stawowski 1998, Ciesielczyk i Watras 1998, Górski 1998, Kifner 1999, Szukszta 1999]). Do takiego stanu rzeczy przyczyniło się zapewne samo słowo polityka, które w języku polskim rozumiane jest jako określone działanie [Szymczak 2002], zaś w języku angielskim jako plan działania [Collins English Dictionary 1991]. Dopiero przetłumaczenie, uznanie za normę i opublikowanie przez Polski Komitet Normalizacyjny w 1999 r. raportu ISO/IEC TR [PN-I ] sprawiło, że terminy polityka bezpieczeństwa oraz zarządzanie bezpieczeństwem systemów informatycznych zaczęły rozpowszechniać się także w rodzimej literaturze przedmiotu. Dalsze prace Międzynarodowej Organizacji Normalizacyjnej doprowadziły do ustanowienia w 2000 r. międzynarodowej normy ISO/IEC Code of Practice for Information Security Management. Norma ta wprowadziła obok pojęcia zarządzania bezpieczeństwem systemów informatycznych szersze znaczeniowo pojęcie zarządzanie bezpieczeństwem informacji. Dokument ten również w Polsce, jeszcze przed uznaniem go przez PKN za normę Praktyczne zasady zarządzania bezpieczeństwem informacji [PN-ISO/IEC 17799], zdobył uznanie środowisk informatycznych i ostatecznie przyczynił się do rozpowszechnienia omawianych pojęć. Od tego czasu zarządzaniu bezpieczeństwem systemów informatycznych i zarządzaniu bezpieczeństwem informacji 4 poświęcono wiele 3 Np. M. Stawowski [1998] podaje, że: polityka bezpieczeństwa obejmuje wszystkie przedsięwzięcia realizowane przez kierownictwo, administratorów, personel techniczny, użytkowników oraz innych członków organizacji związane z utrzymaniem odpowiedniego poziomu bezpieczeństwa systemu. 4 Obecnie specjaliści z tej dziedziny są zgodni, że w praktyce terminy zarządzanie bezpieczeństwem systemów informatycznych (lub informacyjnych) i zarządzanie bezpieczeństwem informacji w systemie informatycznym są niemal jednoznaczne, ponieważ opisują to samo zagadnienie, choć z różnych stron. W przypadku zarządzania bezpieczeństwem systemu informatycznego ochronie podlega system informatyczny, a więc także zgromadzone w nim dane i informacje, które są przecież jego częścią. W przypadku zarządzania bezpieczeństwem informacji, aby chronić informację, należy chronić system informatyczny, w którym jest ona zgromadzona. Wynika to z silnego związku informacji z narzędziami do jej gromadzenia i przetwarzania.
6 90 publikacji (zob. np. [Gaudyn 2001, Wawrzyniak 2001, Total Information 2001, Białas 2001, Niemiec 2002]), szkoleń, warsztatów i konferencji Zarządzanie bezpieczeństwem systemów informatycznych w przedsiębiorstwie Według międzynarodowych i polskich norm zarządzanie bezpieczeństwem systemów informatycznych to proces stosowany w celu osiągnięcia i utrzymania odpowiedniego poziomu ich poufności, integralności, rozliczalności, dostępności, autentyczności i niezawodności (por. [PN-I , PrPN-I ]). W zestawieniu z przedstawioną definicją bezpieczeństwa można stwierdzić, że zarządzanie bezpieczeństwem SI jest procesem, który ma na celu doprowadzenie do osiągnięcia i utrzymania odpowiedniego poziomu bezpieczeństwa systemu informatycznego. Zarządzanie bezpieczeństwem systemów informatycznych jest procesem trwałym, w skład którego wchodzą inne procesy składające się z kolejnych podprocesów [PN-I ]. Schematycznie przedstawia to rys. 1. Ogólnie przyjmuje się, że na zarządzanie bezpieczeństwem systemów informatycznych składają się następujące procesy: opracowanie polityki bezpieczeństwa SI wynikającej z przyjętych celów i strategii, określenie ról i odpowiedzialności w SI przedsiębiorstwa, zarządzanie ryzykiem, zarządzanie konfiguracją, zarządzanie zmianami, planowanie awaryjne i planowanie odtwarzania systemu po katastrofach, wyspecyfikowanie, wybór i wdrożenie zabezpieczeń, szkolenia i uświadamianie w zakresie bezpieczeństwa, działania bieżące, w skład których wchodzi m.in. eksploatacja zabezpieczeń, audyt bezpieczeństwa, monitorowanie, wykrywanie incydentów i reagowanie na nie. W praktyce realizacja wszystkich wymienionych działań koniecznych do efektywnego zarządzania bezpieczeństwem systemu informatycznego możliwa jest tylko wtedy, gdy bezpieczeństwo stanie się integralną częścią ogólnego zarzą- 5 Np. Warsztaty Zarządzanie bezpieczeństwem informacji Norma ISO 17799:2000 organizowane przez Polską Izbę Informatyki i Telekomunikacji w grudniu 2003 r. w Warszawie. Konferencja Zarządzanie bezpieczeństwem informacji. IT Security Management pod patronatem Stowarzyszenia do spraw Audytu i Kontroli Systemów Informatycznych ISACA (zob. isaca.org.pl) zorganizowana w styczniu 2004 r. w Warszawie.
7 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 91 Zarządzanie bezpieczeństwem systemów informatycznych Opracowanie polityki bezpieczeństwa Zarządzanie konfiguracją SI Zarządzanie ryzykiem Monitorowanie poziomu bezpieczeństwa Uświadamianie i szkolenia użytkowników w zakresie bezpieczeństwa SI Analiza ryzyka Rys. 1. Procesy zarządzania bezpieczeństwem systemów informatycznych wg ISO/IEC TR Źródło: opracowanie własne na podstawie [PN-I ]. dzania przedsiębiorstwem 6 i gdy zagadnieniu bezpieczeństwa w przedsiębiorstwie nada się odpowiednią rangę. We współczesnej gospodarce oznacza to, że bezpieczeństwo należy traktować na równi z innymi aspektami działalności przedsiębiorstwa (np. finansami, marketingiem) i rozpatrywać na kilku poziomach. Takie podejście pozwala wyróżnić kilka rodzajów bezpieczeństwa (zob. rys. 2). W hierarchii tej bezpieczeństwo systemu informatycznego, choć znajduje się na najniższym poziomie, w rzeczywistości jest pochodną przyjętych rozwiązań w zakresie bezpieczeństwa systemów informatycznych, które z kolei wynika z ogólnego bezpieczeństwa przedsiębiorstwa. Aby możliwe było funkcjonowanie takiej struktury, na każdym poziomie muszą istnieć odpowiednio sformułowane i spójne cele, strategie i polityka bezpieczeństwa. Cele muszą określać, co należy 6 Należy pamiętać, że bezpieczeństwo systemów informatycznych wymaga planowanego działania i nie należy rozważać go odrębnie. Powinno być cechą całego procesu zarządzania strategicznego, co zapewni, że od samego początku będzie ono zaplanowane i zaprojektowane dla danego systemu. W większości przypadków dodawanie zabezpieczeń w późniejszym okresie będzie trudniejsze i bardziej kosztowne. Niektóre zagadnienia z zakresu bezpieczeństwa systemów informatycznych mają szersze implikacje w zarządzaniu przedsiębiorstwem.
8 92 Przedsiębiorstwo Cele Strategia Polityka Finanse przedsiębiorstwa Bezpieczeństwa przedsiębiorstwa Marketing przedsiębiorstwa Polityka personalna przedsiębiorstwa Bezpieczeństwo systemów informatycznych Bezpieczeństwo systemu informatycznego (1) Bezpieczeństwo systemu informatycznego (2) Bezpieczeństwo systemu informatycznego (n) Rys. 2. Hierarchia celów, strategii i polityki w przedsiębiorstwie Źródło: opracowanie własne na podstawie [PN-I , PrPN-I ].
9 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 93 osiągnąć, strategie jak osiągnąć cele, a polityka formalizować sposób osiągnięcia celów. Oznacza to, że wypracowanie polityki bezpieczeństwa jest jednym z etapów (procesów) zarządzania bezpieczeństwem systemów informatycznych w przedsiębiorstwie. 5. Polityka bezpieczeństwa systemu informatycznego Spośród wszystkich procesów wchodzących w skład zarządzania bezpieczeństwem SI na pierwszym miejscu wymienia się opracowanie odpowiedniej polityki bezpieczeństwa systemu informatycznego. Nie istnieje jednak powszechnie zaakceptowany, dokładny wzór polityki bezpieczeństwa i w wielu kwestiach każde przedsiębiorstwo powinno wypracować swoje rozwiązania [Skuteczne zarządzanie 2003]. Polityka bezpieczeństwa systemu informatycznego to zasady, zarządzenia i procedury, które określają, jak zasoby są zarządzane, chronione i dystrybuowane w instytucji i jej systemach informatycznych [PN-I ]. Oznacza to, że polityka ta powinna zawierać szczegóły dotyczące zarówno konkretnych wymagań w zakresie bezpieczeństwa, jak i wykorzystanych w systemie zabezpieczeń. Ponadto powinno to być stanowisko najwyższego kierownictwa przedsiębiorstwa, gdyż tylko ono jest władne wydawać stosowne zarządzenia. Przypisywanie tej polityce najważniejszej roli w zarządzaniu bezpieczeństwem jest powszechnie uznane i zgodne z najlepszą praktyką 7. Według niektórych autorów (zob. np. [Kiełtyka 2002]) proces zarządzania bezpieczeństwem sprowadza się do tworzenia polityki bezpieczeństwa, jej realizacji oraz utrzymania osiągniętego poziomu bezpieczeństwa. Co więcej, odpowiednio do poziomów bezpieczeństwa w przedsiębiorstwie, polityka bezpieczeństwa systemu informatycznego musi odzwierciedlać zasady polityki opracowanej na wyższych poziomach (zob. rys. 2), tzn. polityki bezpieczeństwa przedsiębiorstwa (zawierającej podstawowe zasady 7 Doświadczenia wykazały, że dla skutecznego zarządzania bezpieczeństwem w przedsiębiorstwie decydujące są następujące czynniki [PN-ISO/IEC 17799]: opracowanie polityki bezpieczeństwa odzwierciedlającej cele przedsiębiorstwa, podejście do wdrażania zarządzania bezpieczeństwem zgodnie z kulturą przedsiębiorstwa, przypisanie pracownikom zakresu odpowiedzialności za bezpieczeństwo systemu, zauważalne wsparcie i zaangażowanie kadry kierowniczej, właściwe zrozumienie wymagań ochronnych i prawidłowa ocena ryzyka, efektywne propagowanie zasad bezpieczeństwa wśród kierownictwa i pracowników, rozpowszechnianie wytycznych dotyczących polityki bezpieczeństwa wśród wszystkich pracowników i kontrahentów, zapewnienie odpowiednich szkoleń i uświadamiania pracowników w zakresie bezpieczeństwa SI, monitorowanie i kontrola stanu bezpieczeństwa oraz przekazywanie propozycji ulepszeń.
10 94 i wytyczne dotyczące bezpieczeństwa całego przedsiębiorstwa) oraz polityki bezpieczeństwa systemów informatycznych w przedsiębiorstwie (odzwierciedlającej zasady polityki bezpieczeństwa przedsiębiorstwa i określającej ogólne warunki korzystania z systemów informatycznych). W praktyce jednak trzypoziomowa hierarchia celów, strategii i polityki występuje na ogół tylko w przedsiębiorstwach posiadających więcej niż jeden system informatyczny. W większości przedsiębiorstw struktura ta ulega zazwyczaj spłaszczeniu, co oznacza, że polityka bezpieczeństwa systemu informatycznego powinna wynikać bezpośrednio z przyjętej polityki bezpieczeństwa przedsiębiorstwa. Inaczej mówiąc, warunkiem koniecznym do sformułowania skutecznej polityki bezpieczeństwa systemu informatycznego jest odzwierciedlanie przez nią rzeczywistych potrzeb przedsiębiorstwa w zakresie bezpieczeństwa oraz uwzględnianie istniejących ograniczeń (m.in. finansowych, technicznych, organizacyjnych). Opracowanie polityki bezpieczeństwa systemu informatycznego Projekt systemu ochrony Wdrożenie systemu ochrony Utrzymanie stanu bezpieczeństwa systemu informatycznego Rys. 3. Etapy zarządzania bezpieczeństwem systemów informatycznych Źródło: opracowanie własne. Zarządzanie bezpieczeństwem SI jest zbiorem procesów mającym na celu utrzymanie odpowiedniego poziomu bezpieczeństwa systemów informatycznych w przedsiębiorstwie. Część z nich może zachodzić równolegle, jednak niektóre wymagają realizacji w ściśle określonej kolejności. Dlatego z praktycznego punktu widzenia konieczne jest określenie poszczególnych etapów zarządzania bezpieczeństwem systemu informatycznego. W literaturze przedmiotu można znaleźć wiele opisów i schematów procesu zarządzania bezpieczeństwem SI. Analizując je, warto zauważyć, że poszczególne opracowania podają różną liczbę etapów wchodzących w skład tego procesu i różne rodzaje występujących w nich sprzężeń zwrotnych. Jednak pomimo różnic w poziomie szczegółowości i w nazewnictwie ważne jest to, że
11 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 95 we wszystkich opracowaniach można wyróżnić następujące etapy zarządzania bezpieczeństwem SI 8 : opracowanie polityki bezpieczeństwa systemu informatycznego, zaprojektowanie systemu ochrony, wdrożenie systemu ochrony, utrzymanie stanu bezpieczeństwa systemu informatycznego. Istotnym elementem są tutaj sprzężenia zwrotne, które powinny zachodzić pomiędzy dowolnymi etapami (zob. rys. 3). 6. Zakończenie Celem niniejszego opracowania jest zwrócenie uwagi na występujące w polskiej praktyce i literaturze przedmiotu rozbieżności terminologiczne dotyczące zarządzania bezpieczeństwem i polityki bezpieczeństwa systemu informatycznego oraz zdefiniowanie tych pojęć zgodnie z przyjętymi międzynarodowymi standardami. Dodatkowe wyjaśnienia przyczyn pojawienia się omawianych rozbieżności pokazały, że jak to już niejednokrotnie miało miejsce dowolność tłumaczeń oraz spóźnione działania odpowiednich organów normalizacyjnych doprowadziły do sytuacji, w której funkcjonujące na świecie terminy nabrały w Polsce innego znaczenia. Należy jeszcze raz podkreślić, że aby zapewnić właściwy poziom bezpieczeństwa SI, przedsiębiorstwa powinny kompleksowo zarządzać bezpieczeństwem swoich systemów informatycznych, a jednym z etapów prawidłowego zarządzania jest opracowanie odpowiedniej polityki bezpieczeństwa SI. Literatura Adamczewski P. [2000], Leksykon informatyki stosowanej, Wydawnictwo Akademii Ekonomicznej w Poznaniu, Poznań. Adamski A. [1998], Prawo do bezpiecznej sieci [w:] Bezpieczeństwo sieci, Computer- World Raport, 21 września, Warszawa. Ahuja V. [1997], Bezpieczeństwo w sieciach, Zakład Nauczania Informatyki Mikom, Warszawa. Białas A. [2001], Zarządzanie bezpieczeństwem informacji, NetWorld, nr 3. Boran S. [1999], The IT Security Cookbook, 8 Poszczególne etapy zarządzania bezpieczeństwem systemów informatycznych omówione zostały w artykule: Madej J., Sztorc J., Proces zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie, zamieszczonym w niniejszym Zeszycie Naukowym.
12 96 Ciesielczyk T., Watras G. [1998], Polityka bezpieczeństwa systemów informatycznych [w:] Informatyka w zastosowaniach ekonomicznych, Prace Naukowe Akademii Ekonomicznej we Wrocławiu nr 788, Wrocław Collins English Dictionary [1991], Harper-Collins Publishers, New York. Garfinkel S., Spafford G. [1997], Bezpieczeństwo w Unixie i Internecie, Wydawnictwo RM, Warszawa. Gaudyn D. [2001], Model zarządzania bezpieczeństwem informacji w organizacji ubezpieczeniowej, rozprawa doktorska, Akademia Górniczo-Hutnicza, Kraków. Górski J. [1998], Polityka bezpieczeństwa informacji, Informatyka, nr 9. Stowarzyszenie do spraw Audytu i Kontroli Systemów Informatycznych ISACA (Information Systems Audit and Control Association), Skuteczne zarządzanie bezpieczeństwem zasobów [2003], wywiad z R. Kępczyńskim, IBM Global Services [w:] Zarządzanie zasobami informatycznymi, ComputerWorld White Paper, kwiecień, oprac. IDG Forum, Warszawa. Kiełtyka L. [2002], Komunikacja w zarządzaniu. Techniki, narzędzia i formy przekazu informacji, Agencja Wydawnicza Placet, Warszawa. Kifner T. [1999], Polityka bezpieczeństwa i ochrony informacji, Wydawnictwo Helion, Gliwice. Klander L. [1998], Hacker proof, czyli jak się bronić przed intruzami, Zakład Nauczania Informatyki Mikom, Warszawa. Niemiec A. [2002], Zarządzanie bezpieczeństwem informacji w świetle norm ISO, Wrocław, Piotrowski J., Szymaczek M. [1997], Projektowanie skutecznych systemów ochrony informacji, Informatyka, nr 7 8. Polska Norma PN-I-02000:1998 [1998], Technika informatyczna Zabezpieczenia w systemach informatycznych. Terminologia, Polski Komitet Normalizacyjny, Warszawa. Polska Norma PN-I :1999 [1999], Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Polska Norma PN-ISO/IEC 17799:2003 [2003], Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji, Polski Komitet Normalizacyjny, Warszawa. Projekt Polskiej Normy PrPN-I [2000], Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Zarządzanie i planowanie bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Słownik języka polskiego [2002], red. M. Szymczak, Wydawnictwo Naukowe PWN, Warszawa. Smolski R., Smolski M., Stadtmüller E.H. [1999], Słownik encyklopedyczny, Wydawnictwo Europa, Wrocław. Stallings W. [1997], Ochrona danych w sieci i intersieci, Wydawnictwo Naukowo-Techniczne, Warszawa. Stawowski M. [1998], Ochrona informacji w sieciach komputerowych, Wydawnictwo ArsKom, Warszawa. Szukszta L. [1999], Polityka bezpieczeństwa systemów informatycznych i telekomunikacyjnych w polskim systemie bankowym, Informatyka, nr 11, Warszawa.
13 Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 97 Total Information Security Management [2001], dokumentacja metody TISM wersja 1.2 RC 1, European Network Security Institute, Wawrzyniak D. [2001], Zarządzanie bezpieczeństwem systemów informatycznych w bankowości, rozprawa doktorska, Akademia Ekonomiczna im. Oskara Langego we Wrocławiu, Wrocław. Security Management and Security Policy on Enterprise Computer Systems The paper describes difficulties in defining expressions: computer system security, security management and security policy on computer system. The author analysed numerous publications, norms and standards devoted to computer systems security and submitted terminological dissimilarities that occur between considered terms, together with an attempt of explanation of their reasons. Moreover, the article presents definitions of these terms, created in accordance with accepted international standards and with world-wide practice.
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoKonspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF
Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF 1 STRESZCZENIE Konspekt powstał na podstawie wykładu z przedmiotu
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoStrategie analizy ryzyka w opracowywaniu polityki bezpieczeństwa systemu informatycznego
dr Jan Madej Katedra Informatyki Wydział Zarządzania, Uniwersytet Ekonomiczny w Krakowie Strategie analizy ryzyka w opracowywaniu polityki bezpieczeństwa systemu informatycznego WSTĘP Problem bezpieczeństwa
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoPolityka bezpieczeństwa informacji Główne zagadnienia wykładu
Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących
Bardziej szczegółowoInformatyka w kontroli i audycie
Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15
Bardziej szczegółowoBezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński
1 Bezpieczeństwo systemu informatycznego banku 2 Przyczyny unikania bankowych usług elektronicznych 60% 50% 52% 40% 30% 20% 10% 20% 20% 9% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi
Bardziej szczegółowoBudowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa
Bardziej szczegółowoPolityka ochrony danych osobowych. Rozdział I Postanowienia ogólne
Polityka ochrony danych osobowych Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych w ramach działalności gospodarczej prowadzonej przez DEIMIC SP. Z o.o. Liliowa 2 87-152
Bardziej szczegółowoPolityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.
Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoPolityka bezpieczeństwa informacji instytucji
na przykładzie Instytutu Łączności Państwowego Instytutu Badawczego Marian Kowalewski Zwrócono uwagę na potrzebę opracowania oraz stosowania w instytucjach polityki bezpieczeństwa informacji (PBI), koniecznej
Bardziej szczegółowoPodstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych
Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska
Bardziej szczegółowoOpracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej
Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoWarszawa, dnia 28 czerwca 2012 r. Poz. 93
Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych
Bardziej szczegółowoBezpieczeństwo informacji. jak i co chronimy
Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoArchitektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011
Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów
Bardziej szczegółowoBezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści
Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, 2017 Spis treści Od Autora 15 1. Wstęp 27 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo
Bardziej szczegółowoDZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski
DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Strategia i Polityka Bezpieczeństwa Systemów Informatycznych Wykład Aleksander Poniewierski 1 Plan wykładu Informacja w firmie Bezpieczeństwo w firmie Zarządzanie
Bardziej szczegółowoZdrowe podejście do informacji
Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony
Bardziej szczegółowoMariusz Nowak Instytut Informatyki Politechnika Poznańska
Inteligentne budynki (2) Źródła Loe E. C., Cost of Intelligent Buildings, Intelligent Buildings Conference, Watford, U. K., 1994 Nowak M., Zintegrowane systemy zarządzania inteligentnym budynkiem, Efektywność
Bardziej szczegółowo5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy
5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy 5.1. Jakie znaczenie ma planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy? Planowanie jest ważnym elementem
Bardziej szczegółowoOchrona danych i bezpieczeństwo informacji
Ochrona danych i bezpieczeństwo informacji Dr inż. Janusz Dudziak Ochrona danych i bezpieczeństwo informacji Literatura: 1. Kutyłowski, Mirosław; Strothmann, Willy-B, Kryptografia : teoria i praktyka zabezpieczania
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice
Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku
Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach
Bardziej szczegółowoSamodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych
Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Wykładowca mgr prawa i mgr inż. elektronik Wacław Zimny audyt
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, 43-450 Ustroń Administrator Danych Osobowych: Wojciech Śliwka 1. PODSTAWA PRAWNA Niniejsza Polityka
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoRealizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD
Zasady przetwarzania danych osobowych w sferze zatrudnienia Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD Mariola Więckowska Head of Privacy Innovative Technologies Lex
Bardziej szczegółowoBEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Magdalena Skrzypczak Magia Urody 42-215 Częstochowa, ul. Kisielewskiego 19 Maj 2018 r. Str. 1 z 9 Spis treści I. Postanowienia ogólne ---------------------------------------------------------------------------
Bardziej szczegółowoOchrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.
Ochrona zasobów Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe. Zagrożenia celowe Pasywne: monitorowanie, podgląd, Aktywne: powielanie programów,
Bardziej szczegółowoAGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.
WARSZTATY I WYPRACOWANIE KOMPETENCJI DLA PRZYSZŁYCH INSPEKTORÓW OCHRONY DANYCH (IOD). ODPOWIEDZIALNOŚĆ NA GRUNCIE RODO. Termin: 20 21.03.2018 r. Miejsce: Hotel MAGELLAN w Bronisławowie www.hotelmagellan.pl
Bardziej szczegółowoCertified IT Manager Training (CITM ) Dni: 3. Opis:
Kod szkolenia: Tytuł szkolenia: HK333S Certified IT Manager Training (CITM ) Dni: 3 Opis: Jest to trzydniowe szkolenie przeznaczone dla kierowników działów informatycznych oraz osób, które ubiegają się
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoZintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego
Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,
Bardziej szczegółowoRecenzja rozprawy doktorskiej mgr Bartosza Rymkiewicza pt. Społeczna odpowiedzialność biznesu a dokonania przedsiębiorstwa
Prof. dr hab. Edward Nowak Uniwersytet Ekonomiczny we Wrocławiu Katedra Rachunku Kosztów, Rachunkowości Zarządczej i Controllingu Recenzja rozprawy doktorskiej mgr Bartosza Rymkiewicza pt. Społeczna odpowiedzialność
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowomgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji
mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI
POLITYKA BEZPIECZEŃSTWA INFORMACJI W FIRMIE Atende Medica Sp. z o.o. Wersja 1.0 Wdrożona w dniu 17.06.2016 r. Strona 1 z 16 1. Wprowadzenie 1.1. Postanowienia ogólne Ilekroć w niniejszej Polityce Bezpieczeństwa
Bardziej szczegółowoZałącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA
Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA ZESPÓŁ SZKÓŁ PLASTYCZNYCH W DĄBROWIE GÓRNICZEJ CZĘŚĆ OGÓLNA Podstawa prawna: 3 i 4 rozporządzenia Ministra Spraw
Bardziej szczegółowoKwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Bardziej szczegółowoUsprawnienia zarządzania organizacjami (normy zarzadzania)
(normy zarzadzania) Grażyna Żarlicka Loxxess Polska Sp. z o. o. www.loxxess.pl AS-QUAL Szkolenia Doradztwo Audity www.as-qual.iso9000.pl email:g_zarlicka@interia.pl Klub POLSKIE FORUM ISO 9000 www.pfiso9000.pl
Bardziej szczegółowoProces zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie
Zeszyty Naukowe nr 798 Uniwersytetu Ekonomicznego w Krakowie 2009 Jan Madej Katedra Informatyki Janusz Sztorc Katedra Systemów Obliczeniowych Proces zarządzania bezpieczeństwem systemu informatycznego
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.
Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przepisy prawa a normy
Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa
Bardziej szczegółowoInformacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.
Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o. w Nowej Soli obowiązującej od dnia 25.05.2018 r. Polityka Ochrony
Bardziej szczegółowoBezpieczeństwo danych i systemów informatycznych. Wykład 1
Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane
Bardziej szczegółowoStandard ISO 9001:2015
Standard ISO 9001:2015 dr inż. Ilona Błaszczyk Politechnika Łódzka XXXIII Seminarium Naukowe Aktualne zagadnienia dotyczące jakości w przemyśle cukrowniczym Łódź 27-28.06.2017 1 Struktura normy ISO 9001:2015
Bardziej szczegółowoWybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa
Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,
Bardziej szczegółowoPowiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą
Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika
Bardziej szczegółowoABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)
W dzisiejszej części przedstawiamy dalsze informacje związane z polityką bezpieczeństwa, a dokładnie przeczytacie Państwo o sposobie przepływu danych pomiędzy poszczególnymi systemami; na temat określenia
Bardziej szczegółowoBadania rynku turystycznego
Badania rynku turystycznego Kontakt 2 Konsultacje: Środa 8.15 9.45 Czwartek 9.30 12.30 Miejsce: Rektorat UMCS, p. 506, tel. 81-537 51 55 E-mail: rmacik@hektor.umcs.lublin.pl Witryna z materiałami dydaktycznymi:
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoRola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski
bezpieczeństwa informacji w jednostce Marcin Dublaszewski Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek? Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w urzędach pracy
Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA
Załącznik nr 1 do Zarządzenia Wójta Gminy Dąbrówka Nr 169/2016 z dnia 20 maja 2016 r. POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA
Bardziej szczegółowoPRELEGENT Przemek Frańczak Członek SIODO
TEMAT WYSTĄPIENIA: Rozporządzenie ws. Krajowych Ram Interoperacyjności standaryzacja realizacji procesów audytu bezpieczeństwa informacji. Określenie zależności pomiędzy RODO a Rozporządzeniem KRI w aspekcie
Bardziej szczegółowoBAKER TILLY POLAND CONSULTING
BAKER TILLY POLAND CONSULTING Kontrola zarządcza oraz wsparcie administratora bezpieczeństwa informacji An independent member of Baker Tilly International Baker Tilly Poland Consulting Baker Tilly Poland
Bardziej szczegółowoPrzedszkole Nr 30 - Śródmieście
RAPORT OCENA KONTROLI ZARZĄDCZEJ Przedszkole Nr 30 - Śródmieście raport za rok: 2016 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych
Bardziej szczegółowoKultura usługowa i jej znaczenie dla relacji biznes - IT
Kultura usługowa i jej znaczenie dla relacji biznes - IT Andrzej Bartkowiak Dyrektor Centrum Kompetencji Zarządzania Usługami IT BZ WBK System Zarządzania Usługami to zestaw wyspecjalizowanych zdolności
Bardziej szczegółowoWspółczesna Gospodarka
Współczesna Gospodarka Contemporary Economy Vol. 1 Issue 1 (2010) 1-11 Electronic Scientific Journal ISSN 2082-677X www.wspolczesnagospodarka.pl NORMY, STANDARDY, MODELE I ZALECENIA W ZARZĄDZANIU BEZPIECZEŃSTWEM
Bardziej szczegółowoosobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp
Bezpieczeństwo danych projektowych w środowisku według ISO/IEC 27001 oraz ciągłość procesów wytwarzania i utrzymania w środowisku według BS 25999 warsztaty z wykorzystaniem specjalistycznego narzędzia
Bardziej szczegółowoSzkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów
RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.
Strona 1 z 5 LexPolonica nr 44431. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoZadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..
Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien.. Czy dane osobowe są informacją szczególną dla Administratora Systemów IT? Administrator
Bardziej szczegółowoStudia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW
01-447 Warszawa ul. Newelska 6, tel. (+48 22) 34-86-520, www.wit.edu.pl Studia podyplomowe ZARZĄDZANIE SERWISEM IT PROGRAM NAUCZANIA PLAN STUDIÓW Studia podyplomowe ZARZĄDZANIE SERWISEM IT Semestr 1 Moduły
Bardziej szczegółowoZmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka
Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoNarzędzia Informatyki w biznesie
Narzędzia Informatyki w biznesie Przedstawiony program specjalności obejmuje obszary wiedzy informatycznej (wraz z stosowanymi w nich technikami i narzędziami), które wydają się być najistotniejsze w kontekście
Bardziej szczegółowoJak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoZarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak.
Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak. Książka stanowi szerokie kompendium wiedzy z zakresu systemów zarządzania. Stanowić ona może cenną pomoc
Bardziej szczegółowoZastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych
Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki
Bardziej szczegółowoZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.
ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia 05. 04. 2017 r. w sprawie: wprowadzenia Procedury zarządzania ryzykiem w bezpieczeństwie
Bardziej szczegółowoNorma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez
KONCEPCJA SYSTEMU JAKOŚCI zgodnie z wymaganiami norm ISO serii 9000 dr Lesław Lisak Co to jest norma? Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez upoważnioną
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy
AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji
Bardziej szczegółowoDOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>
Załącznik nr 23 do Umowy nr... z dnia... MINISTERSTWO FINANSÓW DEPARTAMENT INFORMATYKI DOKUMENTACJA BEZPIECZEŃSTWA styczeń 2010 Strona 1 z 13 Krótki opis dokumentu Opracowano na
Bardziej szczegółowoZarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku
Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA Administrator Danych Damian Cieszewski dnia 31 sierpnia 2015 r. w podmiocie o nazwie Zespół Szkół nr 1 w Pszczynie zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
Bardziej szczegółowoISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia
Bardziej szczegółowoKryteria oceny Systemu Kontroli Zarządczej
Załącznik nr 2 do Zasad kontroli zarządczej w gminnych jednostkach organizacyjnych oraz zobowiązania kierowników tych jednostek do ich stosowania Kryteria oceny Systemu Kontroli Zarządczej Ocena Środowisko
Bardziej szczegółowoSzkolenie Ochrona Danych Osobowych ODO-01
Szkolenie Ochrona Danych Osobowych ODO-01 Program szkolenia: Szkolenie podstawowe z zakresu ochrony danych osobowych Bezpieczeństwo informacji i danych należy do grupy zagadnień traktowanych jako podstawowe
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.
1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych
AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Bardziej szczegółowo