BEZPIECZEŃSTWO W ZINTEGROWANYCH INFORMATYCZNYCH SYSTEMACH ZARZĄDZANIA

Wielkość: px
Rozpocząć pokaz od strony:

Download "BEZPIECZEŃSTWO W ZINTEGROWANYCH INFORMATYCZNYCH SYSTEMACH ZARZĄDZANIA"

Transkrypt

1 BEZPIECZEŃSTWO W ZINTEGROWANYCH INFORMATYCZNYCH SYSTEMACH ZARZĄDZANIA

2 GŁÓWNE ZAGADNIENIA: 1. NORMA PN-ISO/IEC 27001: POLITYKA BEZPIECZEŃSTWA W SYSTEMACH IT

3 1. NORMA PN-ISO/IEC 27001:2007

4 SYSTEMY IT W BIZNESIE Trudno dziś wyobrazić sobie jakiekolwiek działanie biznesowe bez wsparcia systemami IT. Jednak niewielu ludzi zdaje sobie sprawę z zagrożenia płynącego z wykorzystania w/w systemów w firmach. Ryzyko wynika między innymi z zautomatyzowania niektórych operacji oraz wykorzystania oprogramowania, które nie zawsze jest bezpieczne. Systemy IT w dużym stopniu ułatwiają zarządzanie przedsiębiorstwami, lecz wprowadzają również pewne ryzyko. W celu ograniczenia ryzyka sztaby profesjonalistów zajmują się opracowywaniem wytycznych i norm, które stanowią podstawę do wdrażania Systemów Zarządzania Bezpieczeństwem Informacji (SZBI) w biznesie.

5 WYMAGANIA ZAWARTE W NORMIE Norma ISO/IEC 27001:2005 określa wymagania związane z: ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem, doskonaleniem SZBI.

6 WYMAGANIA ZAWARTE W NORMIE c.d. Wymagania zawarte w normie obejmują obszary bezpieczeństwa: fizycznego, osobowego, teleinformatycznego, prawnego. Norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na elementy, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma może być podstawą budowy SZBI we wszystkich organizacjach, niezależnie od typu, rozmiaru i natury biznesu.

7 SKŁADNIA NORMAY PN-ISO/IEC 27001:2007 Norma PN-ISO/IEC 28001:2007 składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z: ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI, ciągłym doskonaleniem SZBI.

8 SKŁADNIA NORMAY PN-ISO/IEC 27001:2007 c.d. Należy zwrócić uwagę na normatywny załącznik A tej normy, zawierający wymagane zabezpieczenia podzielone na 11 obszarów: polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, pozyskiwanie, rozwój i utrzymanie systemów informatycznych, zarządzanie incydentami związanymi z bezpieczeństwem informacji, zarządzanie ciągłością działania, zgodność (z przepisami prawnymi).

9 MODEL PLANUJ-WYKONUJ- SPRAWDZAJ-DZIAŁAJ (PDCA) Norma PN-ISO/IEC 27001:2007 stosuje (znany już dobrze) model Planuj Wykonuj Sprawdzaj Działaj (PDCA ang. Plan - Do - Check - Act). Model ten jest stosowany do całej struktury procesów SZBI.

10 MODEL PLANUJ-WYKONUJ- SPRAWDZAJ-DZIAŁAJ (PDCA) c.d. Proces wdrażania Systemu Zarządzania Bezpieczeństwem Informacji został zdefiniowany jako: Planuj - ustanowienie SZBI Ustanowienie: polityki SZBI, celów, procesów i procedur istotnych dla: zarządzania ryzykiem, doskonalenia bezpieczeństwa informacji, aby uzyskać wyniki zgodne z ogólnymi wytycznymi polityki i celami organizacji. Wykonuj - wdrożenie i eksploatacja SZBI Wdrożenie i eksploatacja: polityki SZBI, zabezpieczeń, procesów, procedur.

11 MODEL PLANUJ-WYKONUJ- SPRAWDZAJ-DZIAŁAJ (PDCA) c.d. Sprawdzaj - monitorowanie i przegląd SZBI pomiar wydajności procesów w odniesieniu do: polityki SZBI, celów, doświadczenia praktycznego, dostarczania raportów kierownictwu do przeglądu. Działaj - utrzymanie i doskonalenie SZBI podejmowanie działań korygujących i zapobiegawczych na podstawie: wyników wewnętrznego audytu SZBI, przeglądu realizowanego przez kierownictwo, innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

12 ZAKRES STOSOWANIA NORMY PN-ISO/IEC27001:2007 Wymagania opisane w normie PN-ISO/IEC są ogólne i przeznaczone do stosowania we wszystkich organizacjach, niezależnie od typu, rozmiaru i charakteru przedsięwzięć biznesowych jakie reprezentują. Norma ta określa jednak, że SZBI powinien zostać zaprojektowany tak, aby zapewnić adekwatne i proporcjonalne zabezpieczenia, które odpowiednio chronią aktywa informacyjne, oraz tak, aby uzyskać zaufanie zainteresowanych stron (klienta, podwykonawców, itp.). Zakres może obejmować całość informacji przetwarzanej w danej organizacji (nie tylko we wdrożonych systemach teleinformatycznych). Może również obejmować tylko jeden wydzielony obszar w organizacji (np. system księgowy w firmie). Jednak w takim wypadku system ten musi być ściśle oddzielony od innych systemów wdrożonych i funkcjonujących w organizacji, zarówno na poziomie organizacyjnym, fizycznym jak i technicznym.

13 ETAPY WDROŻENIA SZBI Wdrożenie skutecznego SZBI w organizacji jest często decyzją strategiczną, a realizacja tego celu nie jest prosta. Norma ISO/IEC 27001:2005 zawiera wymagania, jakie system powinien spełniać, lecz nie wskazuje dokładnie, jak należy go wdrożyć. Wdrażany SZBI powinien uwzględniać potrzeby i cele biznesowe, jak również wymagania oraz cele bezpieczeństwa organizacji. Chcąc wdrożyć SZBI, powinniśmy zdefiniować jego zakres. Najczęściej organizacje decydują się na wdrożenie SZBI obejmującego cały zakres usług oraz wszystkie lokalizacje. Można jednak wdrożyć SZBI dla jednej jednostki organizacyjnej/oddziału lub dla pojedynczego procesu.

14 ETAPY WDROŻENIA SZBI c.d. W procesie wdrożenia SZBI wyróżnić można następujące podstawowe etapy: audyt wstępny, klasyfikacja aktywów, opracowanie metody i przeprowadzenie analizy ryzyka, wdrożenie zabezpieczeń, opracowanie i wdrożenie dokumentacji SZBI, szkolenia dla pracowników, audyt wewnętrzny oraz przegląd SZBI.

15 ETAPY WDRAŻANIA SZBI AUDYT WSTĘPNY Chcąc wdrożyć SZBI, powinniśmy ocenić aktualny poziom bezpieczeństwa informacji w naszej organizacji. Planując audyt, powinniśmy uwzględnić wszystkie obszary bezpieczeństwa poruszane w normie ISO/IEC 27001:2005. W ramach audytu powinny również zostać zebrane informacje o zagrożeniach, które mogą przyczynić się do utraty informacji (w aspekcie poufności, integralności i dostępności), a także o aktywach, a w szczególności o informacjach przetwarzanych w organizacji.

16 ETAPY WDRAŻANIA SZBI AUDYT WSTĘPNY c.d. Audyt może mieć różne formy. Najczęściej obejmuje on weryfikację istniejących w organizacji dokumentów, w tym: regulaminu organizacji, schematu organizacyjnego, misji i celów biznesowych organizacji, dokumentów określających zasady postępowania z informacją w organizacji (instrukcji, procedur itp.), dokumentów z obszaru IT, planów awaryjnych.

17 ETAPY WDRAŻANIA SZBI AUDYT WSTĘPNY c.d. Na tym etapie weryfikowane są zapisy wynikające z wykonywanych przez pracowników czynności. Weryfikacji podlegają także zabezpieczenia fizyczne budynków i poszczególnych pomieszczeń, ze szczególnym uwzględnieniem pomieszczenia serwerowni. Audyt może zostać uzupełniony o weryfikację technicznych zabezpieczeń teleinformatycznych. Weryfikacja ta powinna być przeprowadzona z wykorzystaniem dedykowanego oprogramowania skanującego sieć teleinformatyczną i systemy teleinformatyczne.

18 ETAPY WDRAŻANIA SZBI KLASYFIKACJA AKTYWÓW Chcąc odpowiednio zabezpieczyć przetwarzane w naszej organizacji informacje, w pierwszej kolejności musimy określić, co i w jaki sposób chcemy chronić. Część informacji powinna być szczególnie chroniona, a część może być dostępna publicznie. Dlatego też powinniśmy określić grupy informacji przetwarzane w naszej organizacji, a następnie przypisać im odpowiednie wagi (biorąc pod uwagę poufność, integralność oraz dostępność tych danych). Mając już wyszczególnione grupy informacji i określone ich wagi, możemy zdecydować o sposobie postępowania z nimi. Zasady przetwarzania informacji, które stworzymy, powinny być zatwierdzone przez najwyższe kierownictwo i przekazane do stosowania wszystkim pracownikom.

19 ETAPY WDRAŻANIA SZBI KLASYFIKACJA AKTYWÓW c.d. Wymagania normy ISO/IEC 27001:2005 w zakresie klasyfikacji informacji: 1. Zasoby informacyjne organizacji powinny być jasno określone. 2. Odpowiedzialność za zasoby informacyjne powinna być jasno określona. 3. Zasoby informacyjne powinny być w odpowiedni sposób oznakowane, jeśli jest to wymagane. 4. Powinny istnieć zasady dotyczące akceptowalnego sposobu wykorzystania zasobów informacyjnych.

20 ETAPY WDRAŻANIA SZBI OPRACOWANIE METOD I PRZEPROWADZENIE ANALIZY RYZYKA W normie ISO/IEC 27001:2005 wyróżniono rolę analizy ryzyka jako podstawowego elementu wymaganego do budowy, a także do utrzymania SZBI. Opracowanie metody analizy ryzyka oraz przeprowadzenie takiej analizy w praktyce jest kluczowym i jednocześnie najtrudniejszym elementem budowy Systemu Zarządzania Bezpieczeństwem Informacji. Jest to szczególnie trudne, gdyż większość znanych metod analizy ryzyka jest na tyle złożona, że ich przeprowadzenie w praktyce jest bardzo pracochłonne, a czasem nawet niemożliwe.

21 ETAPY WDRAŻANIA SZBI OPRACOWANIE METOD I PRZEPROWADZENIE ANALIZY RYZYKA c.d. Analiza ryzyka powinna uwzględniać: zagrożenia wraz z prawdopodobieństwem ich wystąpienia; podatności (słabości); skutki utraty informacji. Najpierw należy określić metodę analizy ryzyka. Następnym etapem prac jest przeprowadzenie analizy ryzyka, sporządzenie raportu oraz planu postępowania z ryzykiem.

22 ETAPY WDRAŻANIA SZBI WDROŻENIE ZABEZPIECZEŃ W planie postępowania z ryzykiem wskazane są zabezpieczenia, których wdrożenie ma na celu minimalizację ryzyka, określonego w analizie ryzyka jako ryzyko nieakceptowalne. Część zabezpieczeń wiąże się z kosztami finansowymi, np.: uzupełnienie licencji wykorzystywanego oprogramowania, wymiana niewspieranych systemów operacyjnych, takich jak MS Windows 9x na MS Windows XP lub Vista, wdrożenie zabezpieczeń fizycznych itd. Wiele zabezpieczeń ma jednak charakter organizacyjny i często wiąże się z opracowaniem oraz wdrożeniem dokumentacji SZBI.

23 ETAPY WDRAŻANIA SZBI OPRACOWANIE I WDROŻENIE DOKUMENTACJI Norma ISO/IEC 27001:2005 określa wymagane procedury, które należy opracować. Podstawą opracowania dokumentacji powinny być jednak wyniki analizy ryzyka. Zanim zaczniemy opracowywać dokumentację, powinniśmy zdecydować się, jaką będzie ona miała formę. Może to być: jedna wielka księga, w której znajdą się wszystkie zasady związane z bezpieczeństwem informacji, dokumentacja wielopoziomowa, składająca się z wielu dokumentów o różnym poziomie szczegółowości.

24 ETAPY WDRAŻANIA SZBI OPRACOWANIE I WDROŻENIE DOKUMENTACJI c.d. Zalety płynące z zastosowania drugiej formy dokumentacji (dokumentacja wielopoziomowa, składająca się z wielu dokumentów o różnym poziomie szczegółowości): Przede wszystkim możemy wydzielić dokumenty przeznaczone dla określonych grup pracowników, np. dla działu kadr czy IT. Dzięki temu wszyscy pracownicy organizacji nie muszą zapoznawać się ze szczegółowymi zasadami, np. wykonywania kopii zapasowych z systemu informatycznego XYZ. Możemy również ograniczyć dostęp pracowników do części dokumentów, którą uznamy za bardziej wrażliwą, np. szczegóły zabezpieczeń technicznych, raport z analizy ryzyka itp. Przy tym podejściu o wiele łatwiejsza jest również aktualizacja dokumentacji.

25 ETAPY WDRAŻANIA SZBI SZKOLENIE DLA PRACOWNIKÓW Każdy z nas zdaje sobie sprawę, jak ważnym czynnikiem wpływającym na bezpieczeństwo informacji jest świadomość pracowników. Chcąc zapewnić skuteczne funkcjonowanie SZBI, powinniśmy przedstawić zasady tego systemu wszystkim pracownikom oraz wyraźnie wskazać, jak ważną rolę odgrywa przestrzeganie tych ustaleń. Na szkoleniach zasady SZBI powinny zostać przedstawione w sposób jasny i zrozumiały, tak aby wszyscy pracownicy poprawnie je interpretowali. W trakcie realizacji szkoleń ważna jest również rola najwyższego kierownictwa, które powinno wykazywać postawę pełnej akceptacji wdrażanego SZBI. Szkolenia z obszaru bezpieczeństwa informacji, w tym zasad wdrożonego SZBI, powinny być prowadzone okresowo oraz stanowić element szkoleń wstępnych dla nowych pracowników, stażystów i praktykantów.

26 ETAPY WDRAŻANIA SZBI AUDYT WEWNĘTRZNY ORAZ PRZEGLĄD SZBI Po wdrożeniu systemu przychodzi czas na weryfikację jego skuteczności. Istnienie samej dokumentacji nie stanowi o SZBI. Dopiero prawidłowe stosowanie zasad zawartych w tej dokumentacji przyczynia się do podwyższenia poziomu bezpieczeństwa informacji przetwarzanych w organizacji i uznawane jest jako funkcjonowanie SZBI. Norma wymaga regularnego przeprowadzania audytów wewnętrznych SZBI. Głównym celem tych audytów jest weryfikacja, czy zasady określone w dokumentacji SZBI są przestrzegane przez wszystkich pracowników. Norma wymaga również, aby naczelne kierownictwo dokonywało regularnych przeglądów SZBI.

27 CERTYFIKACJA Organizacja, która chciałaby potwierdzić skuteczność wdrożonego SZBI i jego zgodność z wymaganiami normy ISO/IEC 27001:2005, może poddać się ocenie niezależnej jednostki certyfikującej. Pozytywna ocena w tym przypadku przekłada się na uzyskanie certyfikatu zgodności z wymaganiami normy. To może być wykorzystane przez organizację jako element marketingowy. Ze względu na niewielką liczbę certyfikatów w Polsce jest to z pewnością czynnik wyróżniający organizację na rynku.

28 CERTYFIKACJA c.d. W związku z rosnącym znaczeniem bezpieczeństwa informacji w kontaktach handlowych, coraz częściej certyfikacja na zgodność z tą normą staje się wymogiem formalnym przy zawieraniu kontraktów z partnerami handlowymi (podobnie jak powszechny już wymóg potwierdzenia certyfikatem zgodności z wymaganiami norm serii ISO 9000, czy ISO 14000). Organizacje, które wdrożą SZBI zgodny z normą, mogą ubiegać się o jego certyfikację przez niezależną jednostkę certyfikującą. Certyfikat taki nie gwarantuje bezpieczeństwa informacji, lecz wyraźnie wskazuje, że organizacja w profesjonalny i procesowy sposób zarządza bezpieczeństwem informacji. Ocena taka wpływa na profesjonalny wizerunek organizacji.

29 CERTYFIKACJA c.d. Coraz więcej firm oraz organizacji działających na rynku polskim rozważa konieczność certyfikacji swojego systemu zarządzania bezpieczeństwem informacji. W ciągu ostatniego roku większość liczących się na rynku polskim podmiotów prowadzących usługi w zakresie certyfikacji lub rejestracji systemów zarządzania wprowadziło do swojej oferty certyfikację na zgodność z normą PN-I :2005 (polski odpowiedniki normy BS ) będącej poprzednikiem normy PN-ISO/IEC 27001:2007.

30 KORZYŚCI WYNIKAJĄCE Z WDROŻENIA SZBI Korzyści płynące z wdrażania SZBI: 1. Określenie podstawowych zasad związanych z bezpiecznym przetwarzaniem informacji 2. Wzrost poziomu bezpieczeństwa informacji w organizacji 3. Usprawnienie zarządzania informacjami 4. Określenie zasad postępowania w sytuacjach awaryjnych 5. Budowanie profesjonalnego wizerunku organizacji godnej zaufania (dodatkowo poparte certyfikatem) 6. Zwiększenie świadomości pracowników w obszarze postępowania z informacjami 7. Określenie odpowiedzialności i uprawnień pracowników w obszarze bezpieczeństwa informacji 8. Wdrożenie mechanizmów regularnej weryfikacji skuteczności stosowanych zabezpieczeń

31 ZESTAW NORM Z SERII ISO/IEC Celem opracowania grupy norm ISO/IEC jest zebranie i ujednolicenie dotychczasowych opracowań i standardów poświęconych bezpieczeństwu informacji. Planuje się, że w skład tej grupy wchodzić będą następujące normy: ISO/IEC 27001: wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymanie m i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. ISO/IEC ma zastąpić normę ISO/IEC 17799: wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymanie m i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. ISO/IEC (w trakcie opracowywania) - porady i wskazówki dotyczące wdrażania Systemu Zarządzania Bezpieczeństwem Informacji. ISO/IEC (w trakcie opracowywania) - wskaźniki i pomiar dotyczący Systemu Zarządzania Bezpieczeństwem Informacji. ISO/IEC (w trakcie opracowywania) - szacowania ryzyka w Systemie Zarządzania Bezpieczeństwem Informacji (wzorzec może stanowić norma BS ). ISO/IEC (w trakcie opracowywania) - wytyczne do certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji.

32 2. POLITYKA BEZPIECZEŃSTWA W SYSTEMACH IT

33 STRATEGIE OCHRONY Istnieją dwie wiodące strategie ochrony systemów informatycznych: 1. Pierwsza opiera się na analizie ryzyka. Przeprowadzenie analizy ryzyka powoduje identyfikację obszarów systemów informatycznych, w których wymagane jest wprowadzenie zabezpieczeń. W pierwszej kolejności zabezpieczenia powinny być zastosowane do ochrony: 1. zasobów, które stanowią największą wartość, 2. zasobów, wobec których istnieje duże zagrożenie, 3. zasobów, które są najbardziej podatne na zagrożenia. 2. Druga strategia ma charakter bardziej praktyczny. Wywodzi się ona z założenia, że nadużycia bezpieczeństwa w systemach IT (np. ataki wirusów, ataki) są nieuniknione. Według tej strategii należy odpowiednio przygotować się do ich obsługi.

34 POLITYKA BEZPIECZEŃSTWA Przy ustalaniu polityki bezpieczeństwa pod uwagę powinna być brana zarówno analiza ryzyka jak i nieunikniona utrata bezpieczeństwa. Do głównych elementów polityki bezpieczeństwa można zaliczyć: zabezpieczenia lokalizacyjne, zabezpieczenia sprzętowe, zabezpieczenia programowe, analizę architektury sieci lokalnej, archiwizację danych, kontrolę dostępu do systemu, szkolenia użytkowników systemu.

35 ZABEZPIECZENIA LOKALIZACYJNE 1. Serwery (baz danych) powinny znaleźć się w odpowiednich pomieszczeniach. Pomieszczenia te powinny spełniać wiele wymogów. Powinny one zapewniać między innymi: Brak dostępu osób nieupoważnionych, Odpowiednią wentylacja, Ognioodporność Przestronność 2. Należy również zwrócić uwagę na prawidłowe rozmieszczenie stacji roboczych. 3. Ponadto dostęp do systemów IT powinny mieć tylko osoby upoważnione.

36 ZABEZPIECZENIA SPRZĘTOWE Zabezpieczenia sprzętowe stanowią jeden z najistotniejszych elementów polityki bezpieczeństwa firmy. Do zabezpieczeń sprzętowych można zaliczyć między innymi: 1. Zorganizowanie dysków twardych w macierz dyskową RAID, 2. Zastosowanie zasilaczy awaryjnych UPS, 3. Zastosowanie zasilaczy typu HOT-SWAP, 4. Zastosowanie systemów wielofunkcyjnych (np. sprzętowy firewall).

37 ZABEZPIECZENIA SPRZĘTOWE - RAID RAID (ang. Redundant Array of Independent Disks, Nadmiarowa macierz niezależnych dysków) - polega na współpracy dwóch lub większej ilości dysków twardych w taki sposób, aby zapewnić dodatkowe możliwości, nieosiągalne przy użyciu jednego dysku. RAID używa się w następujących celach: zwiększenie niezawodności (odporność na awarie), przyspieszenie transmisji danych, powiększenie przestrzeni dostępnej jako jedna całość.

38 ZABEZPIECZENIA SPRZĘTOWE RAID PRZYKŁADY Źródło:

39 ZABEZPIECZENIA SPRZĘTOWE RAID PRZYKŁADY Źródło:

40 ZABEZPIECZENIA SPRZĘTOWE RAID PRZYKŁADY Źródło:

41 ZABEZPIECZENIA SPRZĘTOWE UPS Zasilacz awaryjny (zasilacz bezprzerwowy, zasilacz UPS, ang. UPS, Uninterruptible Power Supply) jest to urządzenie lub system, którego funkcją jest nieprzerwane zasilanie urządzeń elektronicznych. Ten typ zasilacza wyposażony jest najczęściej w akumulator, i w przypadku przerwy lub zakłóceń dostawy energii elektrycznej z sieci energetycznej urządzenie przełącza się na pracę z akumulatora. Czas podtrzymania napięcia wynosi od kilku minut do kilkudziesięciu godzin i zależy m.in. od obciążenia zasilacza oraz pojemności akumulatora.

42 ZABEZPIECZENIA SPRZĘTOWE UPS c.d. Urządzenia tego typu stosowane są najczęściej do zasilania komputerów, a zwłaszcza serwerów. Dzięki ich zastosowaniu, w przypadku awarii zasilania zmniejsza się ryzyko utraty danych znajdujących się aktualnie w pamięci operacyjnej komputera. W przypadku współpracy urządzeń typu UPS z komputerami, serwerami lub całymi sieciami komputerowymi UPS może sygnalizować występujące problemy z zasilaniem. Serwery i inne urządzenia mogą reagować na takie sygnały automatycznym zamykaniem systemu operacyjnego.

43 ZABEZPIECZENIA SPRZĘTOWE ZASILACZE TYPU HOT-SWAP Hot-swap (lub hot plugging) to ogólne określenie mechanizmu pozwalającego na wymianę podzespołów (np. dyski, wentylatory) bez wyłączania systemu. Możliwość tę dają m.in. porty USB i FireWire, dyski SATA II, a także np.: dyski twarde Ultra320 SCSI w serwerach. W serwerach powszechne jest zjawisko stosowania dwóch lub trzech zasilaczy sieciowych typu hot-swap. W przypadku awarii zasilacze takie mogą być wymienione pod napięciem bez konieczności wyłączania serwera.

44 ZABEZPIECZENIA SPRZĘTOWE SYSTEMY WIELOFUNKCYJNE Jest to sprzętowe zabezpieczenie przed włamaniami. Oferują dużą wydajność, odporność na awarie oraz zazwyczaj prostą konfigurację. Urządzenia te chronią informacje przed niepowołanym dostępem zabezpieczając je przed: intruzami, atakami wirusów, atakami robaków, atakami hakerów, niepożądanym ruchem w sieci.

45 ZABEZPIECZENIA SPRZĘTOWE SYSTEMY WIELOFUNKCYJNE c.d. Niektóre funkcje systemów: Zapora ogniowa, Szyfrowanie danych, System wykrywania i blokowania danych, System antywirusowy, Filtr poczty elektronicznej, Filtr zawartości serwisów Web.

46 ZABEZPIECZENIA PROGRAMOWE Zabezpieczenia programowe zorientowane są głównie na wysokim poziomie ochrony: Infrastruktury teleinformatycznej, Przechowywanych i przetwarzanych informacji, Treści pochodzących z Internetu. Do podstawowych zabezpieczeń programowych zaliczamy: Systemy Firewall (ściana ogniowa), Systemy antywirusowe Systemy przeciwdziałania włamaniom IDS (Intrusion Detection System) Systemy kontroli treści (stron WWW oraz poczty ).

47 ZABEZPIECZENIA PROGRAMOWE - FIREWALL Zapora sieciowa (ang. firewall zapora przeciwogniowa) jest to jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych oraz Internetu.

48 ZABEZPIECZENIA PROGRAMOWE - FIREWALL - PRZEZNACZENIE Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne. Najczęściej używaną techniką obrony jest filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych. Bardzo ważną funkcją zapory przeciwogniowej jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych zdarzeń do dziennika (logu). Poprawnie skonfigurowany firewall powinien odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować specjalna strefę DMZ. DMZ jest to podsieć, która izoluje od wewnętrznej sieci, lokalne serwery, które udostępniają usługi na zewnątrz.

49 ZABEZPIECZENIA PROGRAMOWE - FIREWALL - PODZIAŁ Typy zapór sieciowych: Filtrujące - monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako router). Oprogramowanie komputerów stacjonarnych - udostępnia wybrane porty do połączeń "z zewnątrz" monitorując ruch. Udostępnia także połączenia na zewnątrz komputera wybranym usługom/programom. Często zintegrowane z ochroną antywirusową (na przykład Norton Internet Security). Zapory pośredniczące (proxy): wykonują połączenie z serwerem w imieniu użytkownika. Przykładowo zamiast otwarcia sesji FTP bezpośrednio na systemie zdalnym, uruchamia się sesję FTP na zaporze i dopiero stamtąd nawiązuje się połączenie z systemem zdalnym. Zapory pośredniczące w tym wypadku pozwalają nam również na zarządzanie i kontrolę, kto i kiedy oraz w jaki sposób korzysta z usługi FTP).

50 ZABEZPIECZENIA PROGRAMOWE - ANTYWIRUSY Program antywirusowy jest to program komputerowy, którego celem jest wykrywanie, zwalczanie, usuwanie i zabezpieczanie systemu przed wirusami komputerowymi (a także naprawianie w miarę możliwości uszkodzeń wywołanych infekcją wirusową). Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami. Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły (uwaga: różni producenci stosują różne nazewnictwo): skaner monitor Program antywirusowy powinien mieć możliwość aktualizacji definicji nowo odkrytych wirusów (np. przez pobranie ich z Internetu).

51 ZABEZPIECZENIA PROGRAMOWE ANTYWIRUSY c.d. Obecnie pakiet antywirusowy zawiera często także: zaporę sieciową, moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, poza wirusami chroni też ogólnie przed tzw. malware, czyli różnego rodzaju szkodliwym oprogramowaniem, dba o ochronę prywatności danych użytkownika. często zawiera też narzędzia ułatwiające administrację większej ilości stanowisk (np. zdalna aktualizacja czy zgłaszanie zagrożeń administratorowi sieci). Funkcja ta jest przydatna w zarządzaniu lokalnymi sieciami firm i organizacji.

52 ZABEZPIECZENIA PROGRAMOWE ANTYWIRUSY - RODZAJE Rodzaje programów antywirusowych: Skanery (ang. scaners) Skanery to najstarszy i najprostszy sposób ochrony antywirusowej. Ich działanie polega na wyszukiwaniu określonej sekwencji bajtów w ciągu danych. Monitory (ang. behaviour blockers, resident monitors) Monitor to program antywirusowy zainstalowany jako TSR (ang. Terminate but Stay Resident) lub sterownik SYS. Monitor bada pliki ciągle w sposób automatyczny. Służy do kontroli bieżących operacji komputera.

53 ZABEZPIECZENIA PROGRAMOWE ANTYWIRUSY RODZAJE c.d. Szczepionki (ang. Disinfectors) Są to programy skierowane przeciwko konkretnym wirusom. Programy autoweryfikujące Programy te służą do sprawdzania czy dany program nie został w jakiś sposób zmieniony przez wirusa. Programy zliczające sumy kontrolne (ang. integrity checkers) Działanie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla zadanego pliku lub plików. Zliczane sumy kontrolne są przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu. Jeżeli pliki te istniały już wcześniej, program antywirusowy wykorzystuje dane w nich zawarte, aby porównać bieżąco wyliczoną sumę, z sumą poprzednio zachowaną w pliku.

54 ZABEZPIECZENIA PROGRAMOWE IDS IDS (ang. Intrusion Detection System - system wykrywania włamań) jest to jeden z mechanizmów nadzorowania bezpieczeństwa sieci. Pozwala na monitorowanie ataków, np.: 1. przez analizę ruchu sieciowego i wykrywanie zdefiniowanych sygnatur, 2. przez raportowanie ogólnych nieprawidłowości komunikacyjnych. Niektóre systemy IDS oparte są o zdolne do nauki algorytmy heurystyczne, które automatycznie dostosowują się do danej sieci.

55 ARCHITEKTURA SIECI LOKALNEJ LAN Sieć LAN (ang. Local Area Network lokalna sieć miejscowa') to najmniej rozległa postać sieci komputerowej obejmująca zazwyczaj jeden budynek, biuro, mieszkanie czy domy na osiedlu. Technologie stosowane w sieciach LAN dzielimy na: rozwiązanie oparte na przewodach (kable miedziane czy światłowody) komunikacji bezprzewodowej (Wi-Fi - inaczej WLAN, czyli Wireless Local Area Network). W sieciach przewodowych zazwyczaj używa się technologii Ethernet. Natomiast w Wi-Fi odmianę tego standardu a więc Ethernet bezprzewodowy, opisany w IEEE

56 ARCHITEKTURA SIECI LOKALNEJ LAN c.d. Schemat lokalnej sieci komputerowej z serwerem i dostępem do Internetu Źródło:

57 ARCHITEKTURA SIECI LOKALNEJ LAN c.d. Schemat lokalnej sieci komputerowej z IDS Źródło:

58 ARCHITEKTURA SIECI LOKALNEJ LAN c.d. Schemat lokalnej sieci komputerowej ze zdalnymi terminalami Źródło:

59 ARCHITEKTURA SIECI LOKALNEJ LAN SIECI BEZPRZEWODOWE WLAN Sieć bezprzewodowa LAN (ang. Wireless LAN) sieć lokalna zrealizowana bez użycia przewodów. Sieci tego typu wykonywane są najczęściej z wykorzystaniem fal radiowych jako medium przenoszącego sygnały, ale również z użyciem podczerwieni. Są one projektowane z użyciem standardu IEEE

60 ARCHITEKTURA SIECI LOKALNEJ LAN SIECI BEZPRZEWODOWE WLAN Schemat lokalnej sieci bezprzewodowej WLAN z dostępem do Internetu Źródło:

61 ARCHITEKTURA SIECI LOKALNEJ LAN SIECI BEZPRZEWODOWE WLAN BEZPIECZEŃSTWO Wdrożenie sieci bezprzewodowych niesie ze sobą szereg zagrożeń. Najpoważniejszym z nich jest możliwość dostępu do medium (fal radiowych) przez osoby postronne. Sieć bezprzewodowa powinna być szczególnie chroniona ze względu na możliwość obejścia za jej pomocą takich mechanizmów ochronnych jak: Ściany ogniowe, Proxy, Mechanizmy wydzielające strefy ochronne. W przypadku uzyskania dostępu do sieci WLAN, intruz znajduje się bezpośrednio w sieci lokalnej.

62 ARCHITEKTURA SIECI LOKALNEJ LAN SIECI BEZPRZEWODOWE WLAN BEZPIECZEŃSTWO c.d. Środki wykorzystywane w celu ograniczenia niebezpieczeństwa płynącego z używania sieci WLAN: 1. Uwierzytelnianie użytkownika do punktu dostępowego za pośrednictwem protokołu 802.1x, 2. Zastosowanie mechanizmów zarządzania kluczami WEP, 3. Stosowanie dodatkowych metod szyfrowania ruchu, 4. Podłączenie urządzeń dostępowych sieci WLAN w dedykowanej strefie bezpieczeństwa.

63 ARCHIWIZACJA DANYCH Archiwizacja (ang. backup) to proces wykonywania kopii danych w celu zabezpieczenia ich przed utratą, wskutek wystąpienia takich zdarzeń losowych jak: Powódź, pożar, włamanie, awaria sprzętu lub oprogramowania, czy skasowanie ich przez użytkownika. Pod pojęciem archiwizacji rozumie się również proces przenoszenia danych z systemów komputerowych na inne nośniki w celu zredukowania ilości danych np. już niepotrzebnych w głównym systemie komputerowym (bazie danych). Archiwizację można przeprowadzać w regularnych odstępach czasu - tym częściej im ważniejsze (dla użytkownika/użytkowników) są dane. Aby zmniejszyć objętość takich danych poddawane są one najczęściej kompresji, a przy częstych archiwizacjach zapisywane są np. tylko zmienione dane (tzw. kopie przyrostowe).

64 ARCHIWIZACJA DANYCH c.d. Sposób i rodzaj archiwizacji jest ściśle związany z: potrzebami, systemem operacyjnym, kosztami, wymaganym czasem niezbędnym do jej odtworzenia, dostępnym oprogramowaniem. Najczęściej im mniej skomplikowany jest proces odtwarzania informacji tym szybciej można je odtworzyć. Stąd informacje poddane kompresji, czy podzielone na kopie przyrostowe (które wymagają połączenia) mogą przedłużyć taki proces, ale jednocześnie zajmują mniej miejsca na dysku i są przez to mniej kosztowne. W wypadku danych, które nie muszą być szybko odtwarzane nośniki z kopią danych można trzymać w innym miejscu niż nośniki z oryginalnymi danymi.

65 ARCHIWIZACJA DANYCH METODY TWORZENIA KOPII ZAPASOWYCH Metody tworzenia kopii bezpieczeństwa i odtwarzania danych: Kopie bezpieczeństwa tworzone na zimno (cold backup, offline backup) Tworzenie kopii bezpieczeństwa na gorąco (hot backup, online backup)

66 ARCHIWIZACJA DANYCH METODY TWORZENIA KOPII ZAPASOWYCH c.d. Kopie bezpieczeństwa tworzone na zimno (cold backup, offline backup) oraz odtwarzanie: Wykonane są przy zamkniętej instancji bazy danych Oracle. Następnie kopiowane są wszystkie istotne pliki bazy (pliki danych, pliki sterujące, dzienniki powtórzeń, archiwa dzienników powtórzeń, pliki init.ora i config.ora).

67 ARCHIWIZACJA DANYCH METODY TWORZENIA KOPII ZAPASOWYCH c.d. Tworzenie kopii bezpieczeństwa na gorąco (hot backup, online backup) oraz odtwarzanie: Wykonanie kopii bezpieczeństwa odbywa się podczas ciągłej pracy bazy. Polega na skopiowaniu gorącej kopii pliku sterującego, plików danych, archiwizowanych plików dziennika powtórzeń, plików init.ora i config.ora (jeżeli istnieją).

68 ARCHIWIZACJA DANYCH ROZWIĄZANIA DLA TWORZENIA KOPII ZAPASOWYCH Rozwiązania dla tworzenia kopii zapasowych: Backup pełny - kopiowane są wszystkie dane na jeden nośnik. Daje to najkrótszy czas odtworzenia, ale wydłuża czas archiwizacji. Różnicowy backup tygodniowy - kopiowane są wszystkie dane, które uległy zmianie od ostatniej pełnej archiwizacji. Przyspiesza proces archiwizacji. Backup przyrostowy - kopiowane są wszystkie dane, które uległy zmianie od ostatniej archiwizacji lub nowe pliki. Jest to najszybsza metoda archiwizacji, czas odtwarzania najdłuższy.

69 KONTROLA DOSTĘPU DO SYSTEMU W większości systemów operacyjnych istnieje wbudowane oprogramowanie, które służy do uwierzytelnienia (logowania) użytkowników. Najczęściej spotykane metody wykorzystują hasła. Dostęp do Zintegrowanego Informatycznego Systemu Zarządzania powinien wymagać odrębnego logowania.

70 KONTROLA DOSTĘPU DO SYSTEMU c.d. Inne metody wspomagające kontrolę dostępu do systemu IT: Automatyczne kończenie sesji roboczej użytkownika w przypadku długiego okresu braku sygnałów z terminala, Blokowanie konta, na którym przekroczono limit wprowadzeń błędnego hasła Prowadzenie historii haseł i uniemożliwienie ponownego wykorzystania hasła używanego w przeszłości, Blokowanie konta, na którym nie pracowano dłuższy okres czasu, Wymuszenie zmiany hasła po upływie określonych cyklów czasowych.

71 SZKOLENIE UŻYTKOWNIKÓW SYSTEMU Użytkownicy systemu IT odgrywają kluczową rolę w zachowaniu bezpieczeństwa sytemu oraz danych przedsiębiorstwa. Z tego względu administrator systemu IT powinien przeprowadzić odpowiednie szkolenia dla pracowników (użytkowników systemu IT). Szkolenia te powinny dotyczyć prawidłowego i bezpiecznego korzystania z systemu IT. Powinny również ukazywać zagrożenia płynące z nieprzestrzegania tych zasad. Szkolenia nie powinny być przeprowadzane jednorazowo, lecz należ je przeprowadzać regularnie (co jakiś czas).

72 OBOWIĄZKI ADMINISTRATORA SYSTEMÓW IT Do głównych obowiązków administratora bezpieczeństwa informacji, zgodnie z treścią zawartą w 3 paragrafie rozporządzenia MSWiA z dnia 3 czerwca 1998 roku należy: Zabezpieczenie i kontrola pomieszczeń, w których przetwarzane są dane osobowe Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzanych danych, Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe, zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem oraz nie były udostępnione osobom nieupoważnionym Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych

73 OBOWIĄZKI ADMINISTRATORA SYSTEMÓW IT c.d. Nadzór nad systemem komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeń teletransmisji Dopilnowanie, aby ekrany monitorów na stanowiskach komputerowych, na których przetwarzane są dane osobowe, automatycznie wyłączały się po upływie ustalonego czasu nieaktywności użytkownika Odpowiednie usytuowanie monitorów, tak aby uniemożliwić wgląd w dane osobowe osobom nieupoważnionym Podjęcie działań zabezpieczających stan systemu IT w przypadku otrzymania informacji o naruszeniu zabezpieczeń tego systemu

74 PRZYCZYNY AWARII SYSTEMÓW IT 4% 20% 2% 10% 55% Pomyłki ludzi Niezadowolony personel Nieuczciwy personel Ataki z zewnątrz 9% Problemy fizycznych zabezpieczeo Wirusy Źródło: opracowanie dr hab. P. Biała, Uniwersytet Mikołaja Kopernika w Toruniu, 2005 r.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego Niniejszy załącznik uwzględnia: - zarządzenie (pierwotne) Nr 18/04 Starosty z 28.12.2004 r. - zarządzenie zmieniające Nr 33/09 z 10.12.2009 r. - zarządzenie zmieniające Nr 37/10 z 23.07.2010 r. - zarządzenie

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Załącznik Nr 1 Do ZARZĄDZANIA NR 9/2011 POLITYKA BEZPIECZEŃSTWA ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i Administracji

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach Załącznik nr 1 do Zarządzenia nr 12/2006 Burmistrza Gminy Kozienice z dnia 29.12.2006 r. POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach Podstawa

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH

POLITYKA BEZPIECZEŃSTWA DANYCH POLITYKA BEZPIECZEŃSTWA DANYCH XXXIV Liceum Ogólnokształcącego z Oddziałami Dwujęzycznymi im. Miguela de Cervantesa w Warszawie Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie

Bardziej szczegółowo

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni 1. Serwer główny 1 szt. Komponent Obudowa Płyta główna Wydajność Pamięć RAM Karta

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu

Bardziej szczegółowo

Budowa i działanie programów antywirusowych

Budowa i działanie programów antywirusowych Budowa i działanie programów antywirusowych Program antywirusowy to złożona aplikacja komputerowa, która ma na celu wykrywanie, usuwanie oraz zabezpieczanie systemu przed wirusami, jak również naprawę

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych) Miejsce prowadzenia szkolenia Program szkolenia KURS SPD i PD Administrator pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych) Pracownie komputerowe znajdujące się w wyznaczonych

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO Załącznik nr 1 do Zarządzenia nr 25/2005 Burmistrza Brzeszcz z dnia 21 czerwca 2005 r. POLITYKA BEZPIECZEŃSTWA URZĘDU GMINY W BRZESZCZACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania

Bardziej szczegółowo

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

a) po 11 dodaje się 11a 11g w brzmieniu:

a) po 11 dodaje się 11a 11g w brzmieniu: Zarządzenie Nr 134/05 Starosty Krakowskiego z dnia 27 grudnia 2005r. - w sprawie zmiany Zarządzenia Starosty Krakowskiego Nr 40/99 z dnia 19 sierpnia 1999r. w sprawie ochrony danych osobowych, stosowanych

Bardziej szczegółowo

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI Headlines Spółka z ograniczoną odpowiedzialnością i spółka spółka komandytowa szanuje i troszczy się o prawo do prywatności

Bardziej szczegółowo

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,

Bardziej szczegółowo

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną) CENTRUM DOSKONALENIA NAUCZYCIELI W PILE Program szkolenia Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną) Opracowali: Roman Frąckowiak Piotr Halama Sławomir Kozłowski Piła, 2014

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. I Podstawa prawna: 1. Ustawa z dnia 29.08.1997 roku o ochronie danych osobowych

Bardziej szczegółowo

Norton 360 Najczęściej zadawane pytania

Norton 360 Najczęściej zadawane pytania Norton 360 Najczęściej zadawane pytania 1. Czym jest Norton 360? Norton 360 to oprogramowanie przygotowane przez firmę Symantec specjalnie dla klientów T-Mobile. Główne cechy oprogramowania : jest to kompletny

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem

Bardziej szczegółowo

Rozdział I Zagadnienia ogólne

Rozdział I Zagadnienia ogólne Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych

Bardziej szczegółowo

sprawdzonych porad z bezpieczeństwa

sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa O niebezpieczeństwach czyhających na użytkowników

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNYM ZESPOLE OBSŁUGI PLACÓWEK OŚWIATOWYCH W ŚWIERKLANACH Rozdział I Postanowienia wstępne. Na podstawie 3

Bardziej szczegółowo

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych Obowiązuje od 01.01.2012r Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych Zespół Szkół Ogrodniczych w Bielsku-Białej 1 Zawartość Wprowadzenie... 3 Procedury nadawania

Bardziej szczegółowo

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione. Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo. Załącznik nr 2 do zarządzenia nr 39/2015 Wójta Gminy Ostaszewo z dnia 27 maja 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo

Bardziej szczegółowo

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO ROZDZIAŁ I Postanowienia ogólne 1. 1. Polityka bezpieczeństwa przetwarzania danych osobowych w Stowarzyszeniu

Bardziej szczegółowo

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM Rok szkolny 2013/2014 1 Obowiązki Administratorów Systemu Do obowiązków Administratorów

Bardziej szczegółowo

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia

Bardziej szczegółowo

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach Wdrożony Zintegrowany System Zarządzania obejmuje swoim zakresem wszystkie komórki organizacyjne Urzędu Dobczyce, dnia 15 listopada 2013 roku Rozdział Opis normy/wymaganie Sposób realizacji A.5 Polityka

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

Produkty. MKS Produkty

Produkty. MKS Produkty Produkty MKS Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE MKS Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL W Z Ó R INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL Wzór ma charakter pomocniczy. Wzór może być modyfikowany

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

1. Polityka Bezpieczeństwa

1. Polityka Bezpieczeństwa 1. Polityka Bezpieczeństwa 1.1 Wstęp Polityka Bezpieczeństwa, zwana dalej Polityką, oraz Instrukcja zarządzania systemami informatycznymi przetwarzającymi dane osobowe, zwana dalej Instrukcją, została

Bardziej szczegółowo

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r. Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r. Bezpieczeństwo informacji w call center Ochrona danych w call center specyfika Bezpieczeństwo informacji obszary

Bardziej szczegółowo

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com Bezpieczeństwo w pracy zdalnej pawel.krawczyk@hush.com Agenda Pracownik w firmie, a pracownik zdalny - różnice Praca zdalna nowe wyzwanie z punktu widzenia bezpieczeństwa Przepisy prawa Możliwe techniki

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 20

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 20 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 20 6. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM I. CHARAKTERYSTYKA SYSTEMU 1. System ma charakter hybrydowy, złożony i rozległy. 2. System informatyczny

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital

Bardziej szczegółowo

WLAN bezpieczne sieci radiowe 01

WLAN bezpieczne sieci radiowe 01 WLAN bezpieczne sieci radiowe 01 ostatnim czasie ogromną popularność zdobywają sieci bezprzewodowe. Zapewniają dużą wygodę w dostępie użytkowników do zasobów W informatycznych. Jednak implementacja sieci

Bardziej szczegółowo

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego INSTRUKCJA zarządzania systemem informatycznym dla systemu Podsystem

Bardziej szczegółowo

I. O P I S S Z K O L E N I A

I. O P I S S Z K O L E N I A Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI Załącznik 1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W celu zabezpieczenia danych gromadzonych i przetwarzanych w Urzędzie Miejskim w Ząbkowicach Śląskich oraz jego systemie informatycznym, a w szczególności

Bardziej szczegółowo

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006 ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005

Bardziej szczegółowo

ArcaVir 2008 System Protection

ArcaVir 2008 System Protection ArcaVir 2008 System Protection ARCAVIR 2008 SYSTEM PROTECTION to oprogramowanie typu Internet Security stanowiące pełne zabezpieczenie przed zagrożeniami z Internetu i sieci LAN. OCHRONA ANTYWIRUSOWA Silnik

Bardziej szczegółowo

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? Przedstawiony pakiet usług ma za cel wspomaganie systemu zarządzania bezpieczeństwem informacyjnym, obejmującego strukturę zarządzania bezpieczeństwem IT oraz

Bardziej szczegółowo

Bezpieczeństwo teleinformatyczne danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych Bezpieczna Firma Bezpieczeństwo teleinformatyczne danych osobowych Andrzej Guzik stopień trudności System informatyczny, w którym przetwarza się dane osobowe, powinien oprócz wymagań wynikających z przepisów

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL 1 Rozdział 1 Postanowienia ogólne 1. Instrukcja Zarządzania

Bardziej szczegółowo

ISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

ISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved. ISO 9001 + 3 kroki w przód = ISO 27001 ISO Polska - Rzeszów 22 stycznia 2009r. O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie

Bardziej szczegółowo

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych Gminnego Ośrodka Kultury w Wodyniach Na

Bardziej szczegółowo

DOKUMENTACJA BEZPIECZEŃSTWA

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI> Załącznik nr 23 do Umowy nr... z dnia... MINISTERSTWO FINANSÓW DEPARTAMENT INFORMATYKI DOKUMENTACJA BEZPIECZEŃSTWA styczeń 2010 Strona 1 z 13 Krótki opis dokumentu Opracowano na

Bardziej szczegółowo

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne: ZAŁĄCZNIK NR 1 do specyfikacji OPIS PRZEDMIOTU ZAMÓWIENIA SPECYFIKACJA ILOŚCIOWO-JAKOŚCIOWA Oprogramowanie antywirusowe na komputery i serwery Windows klasy Internet Security lub równoważny Lp. Opis Oferowane

Bardziej szczegółowo

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie

Bardziej szczegółowo

Polityka bezpieczeństwa przetwarzania danych osobowych

Polityka bezpieczeństwa przetwarzania danych osobowych Załącznik nr 1 do zarządzenia dyrektora nr ROK-015-10/10 w Ośrodku Kultury w Olecku Mazury Garbate Polityka bezpieczeństwa przetwarzania danych osobowych Rozdział 1 Postanowienia ogólne 1. Polityka bezpieczeństwa

Bardziej szczegółowo

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji: 2 Plan studiów podyplomowych Systemy Zarządzania Bezpieczeństwem Informacji Edycja II w roku akademickim 2015/2016 Semestr I Lp. ECTS F. zaj. F. zal. Godz. 1. Istota informacji we współczesnych organizacjach

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka Strona: 1 Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka Strona: 2 Spis treści: 1. Wstęp 2. Definicje 3. Zakres Systemu Bezpieczeństwa Informacji 4. Deklaracja Najwyższego Kierownictwa Urzędu

Bardziej szczegółowo

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych

Bardziej szczegółowo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od

Bardziej szczegółowo

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r. ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie

Bardziej szczegółowo

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik

Bardziej szczegółowo

Zakres wymagań dotyczących Dokumentacji Systemu

Zakres wymagań dotyczących Dokumentacji Systemu Załącznik nr 2 do Umowy nr CUI/.../.../.../2014 z dnia r. Zakres wymagań dotyczących Dokumentacji Systemu 1. Uwagi i wymagania ogólne 1. Dokumentacja musi zostać dostarczona w wersji elektronicznej edytowalnej

Bardziej szczegółowo

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną Andrzej Kaczmarek Biuro GIODO 1 Plan prezentacji: Przepisy określające wymagania w zakresie bezpieczeństwa

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

Sposób funkcjonowania

Sposób funkcjonowania Stratus Avance został zaprojektowany w sposób, który w przypadku wystąpienia awarii ma zminimalizować czas przestoju i zapobiec utracie danych. Jednocześnie rozwiązanie ma być tanie i łatwe w zarządzaniu.

Bardziej szczegółowo

OBOWIĄZKI ADMINISTRATORA DANYCH ORAZ ADMINISTRATORA BEZPIECZEOSTWA

OBOWIĄZKI ADMINISTRATORA DANYCH ORAZ ADMINISTRATORA BEZPIECZEOSTWA 1 DEFINICJE Ustawa Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, z późn. zm.). Rozporządzenie Rozporządzenie Ministra Spraw Wewnętrznych

Bardziej szczegółowo