METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ

Transkrypt

1 ZINTEGROWANY SYSTEM ZARZĄDZANIA 1/14 PSZ METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ

2 ZINTEGROWANY SYSTEM ZARZĄDZANIA 2/14 I. Definicje Ryzyko potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji. Zagrożenie to wydarzenie, które powoduje, że ryzyko materializuje się w postaci wymiernej straty poprzez wystawienie aktywów na utratę, ujawnienie, zniszczenie lub zmianę. Podatność to słabość aktywu, która jest wykorzystywana przez zagrożenie w celu spowodowania strat w aktywach. Szacowanie ryzyka proces analizy i identyfikowania ryzyka oraz jego ocena. SZBI System Zarządzania Bezpieczeństwem Informacji. UMBB. BI Bezpieczeństwo/-a Informacji. II. Wstęp Niniejsza metoda analizy ryzyka opracowana została w oparciu o wymagania normy ISO oraz wytyczne zawarte w normie ISO III. Postępowanie 1. Klasyfikacja informacji: a. Wyznaczyć klasy informacji funkcjonujące w UMBB wraz ze wskazaniem ich wrażliwości. b. Wrażliwość Klasy (WG) informacji jest wyznaczana, jako funkcja atrybutów poufności, integralności i dostępności danych. WG = P + I + D Skala atrybutów bezpieczeństwa (P - poufności, I - integralności, D - dostępności) jest umieszczona w załączniku nr 2 w tabeli nr Inwentaryzacja aktywów (zasobów): a. Zinwentaryzować aktywa wchodzące w skład SZBI. Należy rozważyć takie kategorie aktywów, jak sieć LAN, sieć WAN, protokoły sieciowe, aplikacje, bazy danych i oprogramowanie informatyczne, sprzęt komputerowy, serwery, sprzęt i nośniki danych, pliki elektroniczne i dokumenty papierowe, lokalizacja i pomieszczenia, personel. b. Wskazać osoby odpowiedzialne za nadzorowanie, utrzymanie, korzystanie i bezpieczeństwo grup zasobów w SZBI. c. Określić, jakie klasy informacji przetwarzane są przez poszczególne grupy zasobów. 3. Analiza ryzyka bezpieczeństwa informacji: a. Określić zagrożenia, które mogą dotyczyć danej grupy zasobów (przykłady zagrożeń przedstawiono załączniku nr 3 w tabeli nr 6). b. Określić podatności związane z daną grupą (przykłady podatności przedstawiono w załączniku nr 3 w tabeli nr 5). c. Określić zabezpieczenia związane z danym ryzykiem (przykłady zabezpieczeń przedstawiono w załączniku nr 3 w tabeli nr 7). d. Określić wskaźnik efektywności zabezpieczenia (WEZ)

3 ZINTEGROWANY SYSTEM ZARZĄDZANIA 3/14 WEZ = SZ x SWZ gdzie: SZ skuteczność zabezpieczenia, SWZ stopień wdrożenia zabezpieczenia. Skuteczność zabezpieczenia (SZ) i stopień wdrożenia zabezpieczenia (SWZ) ustalany jest wg skal przedstawionych w załączniku nr 2 w tabeli nr 4. e. Określić prawdopodobieństwo PR wystąpienia zagrożenia zgodnie z skalą (załącznik nr 2 tabela nr 2). f. g. Oszacować skutki biznesowe S (zgodnie ze skalą zawartą w załączniku nr 2 w tabeli nr 3) jakie mogą wyniknąć na skutek naruszenia bezpieczeństwa (atrybutów poufności, integralności i dostępności) dla organizacji biorąc pod uwagę, aktualnie wdrożone zabezpieczenia. S = SP + SF + SW gdzie: SF skutek finansowy, SP skutek prawny, SW skutek wizerunkowy. h. Wyliczyć wartość ryzyka WR związanego z danym zagrożeniem określona wzorem: WR = (WA x PR x S) / (WEZ) 4. Etapy oceny i postępowania z ryzykiem bezpieczeństwa informacji a. Uszeregować ryzyka (stworzyć ranking ryzyk) oraz wskazać ryzyka nieakceptowane. b. Kryterium akceptacji ryzyk wyznaczyć za pomocą pułapu ryzyka akceptowalnego, który odcina pewien zbiór zagrożeń o najwyższym ryzyku, poddawany doskonaleniu w ramach planu postępowania z ryzykiem tworzonego w danym roku. Ustalenie progu akceptowalności jest wykonane przy wykorzystaniu poniższego wzoru opartego na regule Pareto. KA = (MAX_WR MIN_WR) x 0,8 + MIN_WR gdzie: MAX_WR wartość najwyższego ryzyka MIN_WR wartość najmniejszego ryzyka Zgodnie z powyższym wzorem kryterium akceptowalności jest obliczane z wartości ryzyk przy wcześniejszym odrzuceniu ekstremów. Uwaga! Analiza Pareto nie jest decydująca przy wyborze ryzyk nieakceptowalnych - ostateczna decyzja należy do Kierownictwa Urzędu.

4 ZINTEGROWANY SYSTEM ZARZĄDZANIA 4/14 c. Plan postępowania z ryzykiem Określić warianty postępowania z ryzykiem. Wyniki analizy ryzyka bezpieczeństwa informacji dla każdego z ryzyk (punktów krytycznych) podlegają ocenie przez Kierownictwo Urzędu, które decyduje o podjęciu działań mających na celu minimalizację ryzyk związanych z każdym z ryzyk (punktów krytycznych). Opracować Plan Postępowania z ryzykiem bezpieczeństwa informacji zgodny z szablonem w punkcie 4 załącznika nr 4. Dla każdego z wyznaczonych działań minimalizujących ryzyko określa się termin realizacji oraz osobę odpowiedzialną za jego ukończenie. 5. Raport z szacowania ryzyka bezpieczeństwa informacji Wyniki analizy i oceny ryzyka w tym informacja na temat poziomu ryzyka akceptowalnego w UMBB a także decyzje w zakresie podjęcia działań minimalizujących ryzyko, zamieszczone są w formalnym raporcie akceptowanym przez Kierownictwo Urzędu. Zakres informacji zawartych w raporcie obejmuje co najmniej dane wskazane w Załączniku 4. Opracował: Zatwierdził: Prezydent Miasta Bielska-Białej Jacek Krywult Załączniki: Załącznik nr 1 Klasy informacji Załącznik nr 2 Skale Załącznik nr 3 Przykłady zagrożeń, podatności i zabezpieczeń Załącznik nr 4 - Raport z analizy ryzyka bezpieczeństwa informacji

5 ZINTEGROWANY SYSTEM ZARZĄDZANIA 5/14 Załącznik nr 1 Klasy informacji KLASA INFORMACJI mówi o stopniu ochrony, jaki informacja powinna mieć zapewniony. Wyróżniamy następujące klasy informacji: Informacja ogólnodostępna (IO) to informacja, która bez ograniczeń może być przekazywana przez pracowników pomiędzy sobą oraz ujawniana na zewnątrz (np. BIP). Nie wymaga oznakowania. Informacja objęta ochroną Urzędu (IW) informacja, które może być przetwarzana tylko przez określonych pracowników Urzędu. Nośniki zawierające takie informacje muszą być oznaczone: Dokument wewnętrzny. Nadzór nad nimi sprawują Naczelnicy Wydziałów w ramach bieżących prac zarządczych. Są to informacje wynikające np. z ustawy prawo zamówień publicznych, dotyczące danych pracowników, zawierające dane przedsiębiorców, wynikające z umów z jednostkami zewnętrznymi. Informacja stanowiąca tajemnicę skarbową (TS) informacja, stanowiąca indywidualne dane zawarte w deklaracji oraz innych dokumentach składanych przez podatników, płatników lub inkasentów (art. 293 ordynacji podatkowej). Udostępniana jest na wniosek Urzędów Skarbowych lub innych organów uprawnionych. Nośniki zawierające takie informacje muszą być oznaczone: Tajemnica skarbowa. Informacja podlegająca ochronie z tyt. Ustawy o ochronie danych osobowych (DO) sposób postępowania z informacją określony jest Zarządzeniem Prezydenta Miasta w sprawie organizacji ochrony danych osobowych oraz zasad postępowania przy ich przetwarzaniu w Urzędzie Miejskim w Bielsku-Białej.

6 ZINTEGROWANY SYSTEM ZARZĄDZANIA 6/14 Załącznik nr 2 Skale Tabela nr 1. Atrybuty bezpieczeństwa Poufność (P) 1 informacja jest ogólnodostępna, 2 3 udostępnienie informacji osobom nieupoważnionym powoduje straty, nie wiąże się z odpowiedzialnością karną organów organizacji, udostępnienie informacji osobom nieupoważnionym powoduje straty i wiąże się z odpowiedzialnością karną organów organizacji. Integralność (I) nieautoryzowana zmiana informacji nie wpływa na możliwość funkcjonowania organizacji ani zgodność z wymaganiami prawnymi, nieautoryzowana zmiana informacji uniemożliwia poprawną pracę organizacji i nie jest związana z naruszeniem przepisów prawnych, nieautoryzowana zmiana informacji uniemożliwia poprawne funkcjonowanie organizacji i powoduje naruszenie przepisów prawnych. Dostępność (D) 1 informacja może być dostępna z opóźnieniem powyżej 2 dni roboczych, 2 informacja musi być dostępna co najwyżej z opóźnieniem od 1 do 2 dni roboczych, 3 informacja musi być dostępna w każdej chwili. Tabela nr 2. Prawdopodobieństwo Prawdopodobieństwo (PR) 1 zagrożenie jest mało realne, aby mogło wystąpić (nie miało nigdy miejsca), zagrożenie nie miało miejsca w przeszłości i istnieje niewielkie 2 prawdopodobieństwo, że wystąpi w przyszłości, zagrożenie występuje w innych organizacjach i może wystąpić w tej organizacji jak 3 w każdej innej o podobnym charakterze, zagrożenie może wystąpić, gdyż miało miejsce w przeszłości i należy sądzić, 4 że wystąpi co najmniej raz w ciągu roku, zagrożenie jest bardzo realne i może wystąpić w każdej chwili lub kilkakrotnie 5 w ciągu roku. Tabela nr 3. Szacowanie skutków biznesowych Skutek prawny (SP) wystąpienie zagrożenia nie doprowadzi w przewidywalnym horyzoncie czasu do naruszenia przepisów prawa, wystąpienie zagrożenia nie doprowadzi do natychmiastowego naruszenia przepisów prawa, jednak w przypadku niepodjęcia odpowiednich działań naprawczych naruszenie prawa jest nieuniknione, bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów prawa. Skutek finansowy (SF) 1 wystąpienie zagrożenia spowoduje straty finansowe w przedziale PLN, 2 wystąpienie zagrożenia spowoduje straty finansowe w przedziale PLN,

7 ZINTEGROWANY SYSTEM ZARZĄDZANIA 7/14 3 wystąpienie zagrożenia spowoduje straty finansowe w przedziale do PLN, 4 wystąpienie zagrożenia spowoduje straty finansowe powyżej PLN. Skutek wizerunkowy (SW) 1 wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji, 2 3 wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji, wystąpienie zagrożenie powoduję istotny lub duży negatywny wpływ na wizerunek organizacji. Tabela nr 4. Wskaźnik efektywności zabezpieczenia (WEZ) Skuteczność zabezpieczenia (SZ) 1 zabezpieczenie organizacyjne (proceduralne), 2 zabezpieczenie techniczne obsługiwane ręcznie, 3 zabezpieczenie techniczne automatyczne. Stopień wdrożenia zabezpieczenia (SWZ) 1 nie stosuje się zabezpieczeń, 2 zabezpieczenie funkcjonuje nieformalnie, 3 zabezpieczenie wprowadzono formalnie, ale jest niedoskonałe, 4 zabezpieczenie wprowadzono formalnie, jest doskonałe i skuteczne.

8 ZINTEGROWANY SYSTEM ZARZĄDZANIA 8/14 Załącznik nr 3 Przykłady zagrożeń, podatności i zabezpieczeń Tabela nr 5. Przykładowe podatności Grupa podatności Podatność Dokumentacja/procedury brak opracowanych planów ciągłości działania brak aktualizacji planów ciągłości działania brak procedur testowania planów ciągłości działania brak dokumentacji systemów brak dokumentacji wymaganej prawem brak dokumentów polityki bezpieczeństwa informacji i SZBI brak dzienników operatorów brak kontroli zmian brak listy osób upoważnionych do dostępu do określonej informacji brak procedur dostępu do pomieszczeń brak procedur eksploatacji elektronicznych systemów zabezpieczeń brak procedur eksploatacyjnych brak procedur wymiany danych i oprogramowania brak procedury monitorowania użycia urządzeń do przetwarzania informacji brak rejestrów zdarzeń dla celów audytu brak ustanowionych mechanizmów monitorowania naruszeń bezpieczeństwa brak wymagań bezpieczeństwa w procesach rozwojowych (umowach) brak zabezpieczenia dokumentów przechowywanych niedostateczne procedury kontroli zmian niedostateczne procedury rekrutacji Łączność brak zabezpieczenia linii telekomunikacyjnych brak zabezpieczenia transmisji wrażliwych informacji transmitowanie haseł w jawnej postaci Oprogramowanie brak aktualizacji oprogramowania (usługi sieciowe i systemy operacyjne) brak autoryzacji użytkowanych kodów mobilnych brak kontroli pobieranego oprogramowania brak lub niedostateczne mechanizmy 'patch management' brak lub niewystarczające procedury testowania oprogramowania brak mechanizmów identyfikacji i uwierzytelniania brak mechanizmów monitorowania brak sformułowanych wymagań bezpieczeństwa dla tworzonych aplikacji niedostateczne zarządzanie hasłami (hasła łatwe do odgadnięcia, przechowywanie haseł w jawnej postaci, niedostateczna częstotliwość zmiany haseł), niekontrolowane kopiowanie niewłaściwe skonfigurowane aplikacje, usługi lub systemy operacyjne

9 ZINTEGROWANY SYSTEM ZARZĄDZANIA 9/14 Grupa podatności Organizacja Personel Sieć Sprzęt Środowisko i infrastruktura Podatność skomplikowany interfejs użytkownika użytkowanie usług powszechnie uznanych za niegwarantujące bezpieczeństwa znane błędy (dziury) w oprogramowaniu znane podatności baz danych (replikacja) organizacja brak regularnych audytów brak testowania urządzeń zasilających brak wykonywania zadań wynikających z dokumentów określających politykę bezpieczeństwa informacji i ISMS brak wykonywanych regularnie procedur nadzoru brak wymagań bezpieczeństwa na stanowiskach pracy brak wyznaczonych osób odpowiedzialnych za aktywa niewłaściwy przydział uprawnień dostępu praca pracowników podmiotów zewnętrznych bez nadzoru przechowywanie kopii w miejscu wytworzenia absencja personelu brak audytorów wewnętrznych w zakresie bezpieczeństwa informacji brak zastępstw brak stosowania polityki czystego biurka i ekranu brak wylogowania się przy opuszczaniu miejsca pracy brak szkoleń w zakresie bezpieczeństwa brak alternatywnych dróg połączenia brak kopii zapasowych/archiwalnych niewłaściwe wycofywanie nośników z użycia niewłaściwe zabezpieczenie okablowania pojedynczy punkt uszkodzenia (brak rezerwy) brak elektronicznej kontroli dostępu, brak fizycznej ochrony budynków, drzwi, okien brak gwarantowanego zasilania brak mechanicznych i budowlanych systemów zabezpieczeń brak monitorowania przez wyspecjalizowane jednostki SP brak planów wymiany infrastruktury brak systemów sygnalizacji napadu i włamania lokalizacja na terenie zagrożonym powodzią stan techniczny budynku stan techniczny instalacji grzewczych, systemu ogrzewania stan techniczny instalacji odgromowych stan techniczny instalacji zasilania usytuowanie budynku wrażliwość na wilgotność wrażliwość na zanieczyszczenie (kurz) wrażliwość na zmiany napięcia wrażliwość na zmiany temperatury

10 ZINTEGROWANY SYSTEM ZARZĄDZANIA 10/14 Tabela nr 6. Przykładowe zagrożenia Norma PN-ISO/IEC 27005:2010 załącznik C i D lub poniższa tabela. Grupa Zasobu Bazy danych Pliki w postaci elektronicznej Dane w postaci papierowej Systemy wspomagające Sieci Oprogramowanie Sprzęt i nośniki danych Kradzież Zagrożenie Modyfikacja lub usunięcie danych Nieuprawniony dostęp Uszkodzenie Kradzież Nieuprawniony dostęp Uszkodzenie Kradzież Nieuprawniony dostęp Uszkodzenie lub zniszczenie Wyciek wrażliwych danych Zagubienie Awaria urządzenia Brak klimatyzacji Brak zasilania Niedziałanie urządzenia Zniszczenie instalacji Awaria urządzenia Nieuprawniony dostęp fizyczny Niezabezpieczona sieć Podsłuch Przeciążenie ruchu Uszkodzenie sieci Wadliwe działanie lub brak działania Rozprzestrzenianie wirusów itp. Awaria sprzętu Awaria urządzenia lub jego podzespołów Awarie prądowe Awarie przez kurz Awarie ze względu na temperaturę Błędy działania Błędy konserwacji Błędy personelu obsługującego Kradzież Nieautoryzowane kopiowane/zmiana/usunięcie Nieprawdziwa informacja lub funkcjonowanie strony intranetowej Niewłaściwe wykorzystanie Zniszczenie Zużycie części Zużycie nośników

11 ZINTEGROWANY SYSTEM ZARZĄDZANIA 11/14 Grupa Zasobu Budynki/Pomieszczenia Personel zewnętrzny - firmy współpracujące Personel własny (pracownicy) Zagrożenie Awaria ze względu na temperaturę lub wilgotność Kradzież lub nieupoważniony dostęp do informacji Pożar Umyślna szkoda Wahania napięcia prądu Zalanie Błąd personelu obsługującego Kradzież Nieautoryzowany dostęp Niedobór (brak) personelu Niemożliwość respektowania swoich potrzeb Podsłuch lub szpiegostwo Szkoda umyślna lub nieumyślna Ujawnienie informacji chronionych Użycie oprogramowania w niewłaściwy sposób Błąd personelu obsługującego Kradzież Nieautoryzowany dostęp Niedobór (brak) personelu Podsłuch lub szpiegostwo Szkoda umyślna lub nieumyślna Ujawnienie informacji chronionych Użycie oprogramowania w niewłaściwy sposób

12 ZINTEGROWANY SYSTEM ZARZĄDZANIA 12/14 Tabela nr 7. Przykładowe zabezpieczenia Grupa Zabezpieczeń Zabezpieczenie Polityka Bezpieczeństwa Informacji, Dokumentacja systemu BI, Księga Zintegrowanego Systemu Zarządzania, Procedura PSZ-4/1 Analiza ryzyka bezpieczeństwa informacji Procedura PSZ-4/2 Postępowanie z incydentem Procedura PSZ-4/3 Zarządzanie ciągłością działania, Scenariusze awaryjne w Planie ciągłości działania Procedura PSZ-4/4 - Utrzymanie i monitorowanie bezpieczeństwa informacji Procedura PSZ-4/5 Postępowanie z informacją, Procedura PSZ-1/3 Nadzór nad zapisami Proceduralne Instrukcje: ISZ-4/4/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników, ISZ-4/4/BF/1 Zarządzanie dostępem do pomieszczeń, ISZ-4/4/BF/2 Zasady pracy w strefach, ISZ-4/4/BF/3 Kontrola dostępu przez wykonawców zewnętrznych, ISZ-4/4/BO/1 Zasady postępowania przy zmianie stanowiska pracy klasyfikacja informacji, Instrukcje IT INF-1/4/1 Bezpieczeństwo serwerów, INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci, INF-1/5/1 Monitorowanie systemów informatycznych INF-1/5/2 Przekazywanie urządzeń i nośników do ponownego wykorzystania, zbywania lub wycofania z użycia, NF- 1/5/3 Dobór haseł, INF-1/5/4 Bezpieczeństwo oprogramowania, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych, Prawne Techniczne INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, niszczenie i usuwanie danych, rejestr wykorzystywanych nośników informacji INF-1/6/2 Ochrona kryptograficzna, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i z naprawy Wymagania prawne Ustawy, rozporządzenia, uchwały, zarządzenia Zarządzenie PM ws. wprowadzenia w Urzędzie Miejskim w B-B "Polityki bezpieczeństwa ochrony danych osobowych" oraz "Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Umowy z dostawcami Ustawa o prawie autorskim i prawach pokrewnych Umowy SLA, Protokół odbioru, karta urządzenia Raport z audytu certyfikacyjnego, Raporty z audytów technicznych, klauzule w umowach ze stroną trzecią Klauzula w umowach o współpracy, wytyczne do umów umowy z firmami Telefonicznymi Obowiązkowe klauzule w umowach z dostawcami np. oprogramowania karty urządzeń Audyt techniczny Konfiguracja dostępu AD, Konfiguracja urządzeń, programów i wygaszacza Instrukcja INF-1/4/4 Bezpieczeństwo sieci, firewall, router, VLAN Przeglądy okablowania, monitorowanie ruchu, Inwentaryzacja Środków trwałych i nietrwałych Telefony alarmowe,

13 ZINTEGROWANY SYSTEM ZARZĄDZANIA 13/14 Organizacyjne Naczelnicy wydziałów - właściciele aktywów, Zarządzenie PM ws. wyznaczenia ABI oraz określenie zadań, obowiązków i odpowiedzialności związanych z ochroną danych osobowych w UM w B-B, Zarządzenie PM ws. organizacji ochrony danych osobowych oraz zasad postępowania przy ich przetwarzaniu w UM w B-B, karty stanowiskowe, Upoważnienie do przetwarzania danych osobowych Bank, Przelewy (Wydział FK) - umowa z bankiem, SSL strona banku, Program MSWiA, CEPiK, SEKAP ALLOY NAVIGATOR, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych Nabór pracowników, karty stanowiskowe, wymagania prawne, konkursy Ograniczony dostęp do zasobu Internetu, umowy z firmami Telefonicznymi podpis elektroniczny, SEKAP, VPN, strona www, bip, komunikatory i sieci społecznościowe Zalecenia Kierownictwa z Przeglądów ZSZ umowa z pracownikiem, umowy ze stroną trzecią, Regulamin pracy, karta obiegowa, Ograniczony dostęp do zasobu Internetu, Audit wewnętrzny Zarządzenie PM dot. BIP i publikowania materiałów Oświadczenie o zapoznaniu się z treścią Polityki BI oraz o sposobie postępowania z informacjami w UM w B-B, Instrukcja INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, chroniona jak każda inna baza, wytyczne do umów, przegląd umów kolenia na wszystkich szczeblach, konferencje z zakresu BI Upoważnienie do przetwarzania danych osobowych Karta użytkownika zasobów informatycznych, Upoważnienie do przetwarzania danych osobowych, podpis użytkownika, Unikalne identyfikatory, Odebranie praw administracyjnych, karty urządzeń, Instrukcja: ISZ-4/4/BF/1 Zarządzanie dostępem do pomieszczeń, Obszary bezpieczne, podział na strefy, drzwi, domofony, elektryczne karty dostępowe Plan ciągłości działania, Procedura PSZ-3/2 Postępowanie w przypadku nadzwyczajnych zagrożeń i awarii ISZ-3/2/3 Instrukcja ewakuacji na wypadek pożaru, Plan ciągłości działania Przeglądy okablowania, monitorowanie ruchu, zasady zwyczajowo przyjęte Konfiguracja urządzeń, Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, ALLOY NAVIGATOR Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, WSUS

14 ZINTEGROWANY SYSTEM ZARZĄDZANIA 14/14 Załącznik nr 4 - Raport z analizy ryzyka bezpieczeństwa informacji RAPORT Z ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI w Urzędzie Miejskim w Bielsku-Białej z dnia dd.mm.rrrr - data szacowania ryzyka - lista osób uczestnicząca w analizie ryzyka bezpieczeństwa informacji 1. Klasyfikacja informacji ID G01 Nazwa grupy informacji Przykładowe dokumenty P I D WG 2. Zidentyfikowane aktywa ID Zidentyfikowane aktywa (zasoby) 3. Wyniki szacowania ryzyka bezpieczeństwa informacji Nr ryzyka Ryzyko Aktywo (Zasób) Zagrożenie Podatność Wartość ryzyka Akceptacja [TAK/NIE] R Plan postępowania z ryzykiem Nr ryzyka R01 Planowane działanie Osoba odpowiedzialna Termin realizacji 5. Uwagi Kierownictwo Urzędu przeanalizowało wyniki analizy ryzyka bezpieczeństwa informacji, wyznaczyło kryterium akceptowalności ryzyka oraz deklaruje podjęcie działań zmierzających do minimalizacji nieakceptowanych ryzyk. Opracował Zatwierdził......