Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Transkrypt

1 Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

2 Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne

3 Zarządzanie bezpieczeństwem informacji Polityka Bezpieczeństwa Informacji

4 Zarządzanie bezpieczeństwem informacji Infrastruktura bezpieczeństwa Odpowiedzialność oraz kompetencje Autoryzacja urządzeń Doradztwo specjalistyczne

5 Zarządzanie bezpieczeństwem informacji Współpraca między organizacjami Zabezpieczenie styku pomiędzy organizacjami Zabezpieczenia przed dostępem osób trzecich Zlecenia przetwarzania danych firmom zewnętrznym Niezależne przeglądy stanu bezpieczeństwa

6 Klasyfikacja i kontrola aktywów Aktywa Definicja Inwentaryzacja Inwentaryzacja aktywów istotnych dla bezpieczeństwa informacji Klasyfikacja informacji wytyczne, oznaczenia i postępowanie z informacją

7 Bezpieczeństwo osobowe Bezpieczeństwo informacji przy określaniu obowiązków i zarządzaniu zasobami ludzkimi: zakresy obowiązków nabór pracowników umowy o zachowaniu poufności warunki zatrudnienia Szkolenia i kształcenie w zakresie bezpieczeństwa informacji

8 Bezpieczeństwo osobowe Reagowanie na naruszenia bezpieczeństwa: przypadki naruszenia bezpieczeństwa słabości systemu bezpieczeństwa niewłaściwe funkcjonowanie oprogramowania wnioski po wystąpieniu incydentu oraz podejmowanie działań korygujących odpowiedzialność dyscyplinarna

9 Bezpieczeństwo fizyczne i środowiskowe Fizyczny obwód zabezpieczający: wejścia do budynku zabezpieczenie biur, pomieszczeń, urządzeń praca w obszarach bezpiecznych izolowane obszary dostaw i załadunku

10 Bezpieczeństwo fizyczne i środowiskowe Zabezpieczenia sprzętu: rozmieszczenie sprzętu i jego ochrona zasilanie okablowanie konserwacja i serwisowanie zabezpieczenie sprzętu poza siedzibą zbywanie sprzętu

11 Bezpieczeństwo fizyczne i środowiskowe Ogólne zabezpieczenia: polityka czystego biurka i czystego ekranu

12 Zarządzanie systemami informatycznymi i sieciami komputerowymi Procedury eksploatacyjne: dokumentacja; kontrola zmian; zarządzanie incydentami; adekwatny przydział obowiązków; oddzielenie produkcji od testów; zarządzanie urządzeniami przez firmy zewnętrzne.

13 Zarządzanie systemami informatycznymi i sieciami komputerowymi Planowanie i odbiór systemu Procedury wewnętrzne kopie zapasowe dzienniki operatorów dzienniki zdarzeń Zarządzanie sieciami Postępowanie z nośnikami i ich bezpieczeństwo

14 Zarządzanie systemami informatycznymi i sieciami komputerowymi Wymiana danych i oprogramowania: porozumienia dotyczące wymiany zabezpieczenia nośników podczas transportu bezpieczeństwo poczty elektronicznej bezpieczeństwo systemów biurowych systemy publicznie dostępne inne formy wymiany informacji

15 Kontrola dostępu do systemu Potrzeby biznesowe związane z dostępem do informacji Zarządzanie dostępem użytkowników rejestracja przywileje uwierzytelnianie przegląd praw Zakres odpowiedzialności użytkowników

16 Kontrola dostępu do systemu Kontrola dostępu do sieci: polityka korzystania z usług sieciowych wymuszanie dróg połączeń połączenia z zewnątrz rozdzielenie sieci kontrola połączeń sieciowych kontrola routingu

17 Kontrola dostępu do systemu Kontrola dostępu do systemów operacyjnych: identyfikacja i uwierzytelnianie użytkowników systemy zarządzania hasłami czasy bezczynności czasy trwania połączeń Kontrola dostępu do aplikacji Monitorowanie dostępu do systemu i jego wykorzystywania

18 Kontrola dostępu do systemu Zabezpieczenia kryptograficzne: szyfrowanie podpisy cyfrowe Zarządzanie ciągłością działania organizacji: plan ciągłości działania w sytuacji krytycznej; testowanie, utrzymanie, ocena

19 Kontrola dostępu do systemu Przegląd polityki bezpieczeństwa informacji

20 Tomasz Frąckiewicz tel