WYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE. t. 14, z. 4(37) 2016 ISSN s CYBERBEZPIECZEŃSTWA
|
|
- Fabian Zieliński
- 6 lat temu
- Przeglądów:
Transkrypt
1 Z E S Z Y T Y N A U K O W E WYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE t. 14, z. 4(37) 2016 ISSN s Jerzy KRAWIEC 1 NORMALIZACYJNE ASPEKTY CYBERBEZPIECZEŃSTWA Model bezpieczeństwa informacyjnego z reguły obejmuje trzy obszary bezpieczeństwa: informatyczny, określany także jako cyberbezpieczeństwo, ochrony fizycznej (bezpieczeństwo fizyczne i środowiskowe) oraz bezpieczeństwo osobowe. Polega ono na zapewnieniu podstawowych atrybutów bezpieczeństwa informacji: poufności, dostępności i integralności. W artykule przedstawiono model systemu cyberbezpieczeństwa, ze szczególnym uwzględnieniem aspektów normalizacyjnych. Bezpieczeństwo informacyjne może być rozpatrywane w wielu aspektach. Zaprezentowano model cyberbezpieczeństwa z wykorzystaniem różnych metodyk; standardów i norm międzynarodowych dotyczących bezpieczeństwa informacyjnego. Dokonano przeglądu standardów oraz norm międzynarodowych z zakresu tematycznego cyberbezpieczeństwa. Podkreślono podejście systemowe do problematyki cyberbezpieczeństwa, wykazując efektywność wykorzystania norm międzynarodowych z porównaniu z cechami standardu. Przedstawiono kryteria wyboru metodyki do wdrażania systemu cyberbezpieczeństwa. Słowa kluczowe: cyberbezpieczeństwo, bezpieczeństwo informacyjne, normalizacja, normy, zabezpieczenia, model bezpieczeństwa, system zarządzania bezpieczeństwem informacji Wprowadzenie Systemy wspierające zarządzanie informacją są ważnymi aktywami każdej instytucji. Zapewnienie odpowiedniego poziomu bezpieczeństwa informacji jest niezbędne dla utrzymania pozycji rynkowej, zachowania płynności finansowej, spełnienia wymagań prawnych czy wizerunku instytucji, tak mocno nadszarpniętego podczas ataków hakerów na witryny rządowe w ramach protestów przeciwko porozumieniu ACTA (Anti-Counterfeiting Trade Agreement). 1 Dr inż. Jerzy Krawiec, adiunkt, Politechnika Warszawska, Wydział Inżynierii Produkcji, Instytut Organizacji Systemów Produkcyjnych, Zakład Systemów Informatycznych. Kontakt z autorem poprzez redakcję ZN WSIZiA w Warszawie: zeszytynaukowe@ dobrauczelnia.pl
2 84 Jerzy KRAWIEC Bezpieczeństwo informacji obejmuje obszary bezpieczeństwa informatycznego (cyberbezpieczeństwa), ochrony fizycznej oraz bezpieczeństwa osobowego i polega na zapewnieniu podstawowych atrybutów informacji: poufności, dostępności i integralności. Najogólniej rzecz ujmując cyberbezpieczeństwo polega na wdrożeniu i zarządzaniu właściwymi środkami zabezpieczeń technicznych systemu informacyjnego. Natomiast cyberprzestrzeń to przestrzeń przetwarzania i wymiany informacji tworzona przez systemy informatyczne, czyli urządzenia informatyczne i oprogramowanie służące do przetwarzania, przechowywania oraz wysyłania i odbierania danych przez sieci telekomunikacyjne za pomocą telekomunikacyjnego urządzenia końcowego. Bezpieczeństwo informacyjne jest problematyką rozpatrywaną w wielu aspektach. W literaturze można spotkać wiele modeli bezpieczeństwa informacji. Model opracowany przez ekspertów międzynarodowych w formie dokumentu normalizacyjnego ISO (International Organization for Standardization) jest przejrzysty i dobrze odzwierciedla problematykę bezpieczeństwa informacyjnego. Znormalizowany model bezpieczeństwa informacji przedstawiono na rys. 1. Rys. 1. Ogólny model bezpieczeństwa informacyjnego Źródło: J. Krawiec, G. Ożarek, System Zarządzania Bezpieczeństwem Informacji w praktyce. Zabezpieczenia, Warszawa, 2014, s. 8. Zabezpieczenia mogą być skuteczne, jeśli ryzyko związane z zagrożeniami lub podatnością zostanie zminimalizowane. Zredukowanie ryzyka do poziomu akceptowalnego może czasami wymagać wprowadzenia kilku zabezpieczeń. Jednak nie wprowadza się zabezpieczeń, jeśli poziom ryzyka
3 Normalizacyjne aspekty cyberbezpieczeństwa 85 jest akceptowalny, nawet, gdy mamy do czynienia z podatnością gdyż nie są znane zagrożenia, które tę podatność mogłyby wykorzystać. Wszystkie te ograniczenia determinują wybór konkretnych zabezpieczeń. Systemy informatyczne każdej instytucji są narażone na zagrożenia pochodzące z wielu źródeł, zarówno zewnętrznych, jak i wewnętrznych. Najogólniej można podzielić zagrożenia na zależne od człowieka (świadome, przypadkowe) oraz niezależne (środowiskowe), co przedstawiono w tabeli 1. Zależne od człowieka Tabela 1. Rodzaje zagrożeń Niezależne od człowieka Świadome Przypadkowe Środowiskowe Podsłuchanie Pomyłki Klęski żywiołowe (trzęsienie ziemi, pożar, powódź, wyładowania, atmosferyczne, burze magnetyczne) Hacking (wprowadzenie kodu złośliwego, modyfikacja informacji, szpiegostwo przemysłowe, sabotaż) Źródło: opracowanie własne. Skasowanie pliku Przekierowanie Zagrożenia stają się coraz bardziej wyrafinowane i przysparzają znacznych strat w wymiarze materialnym i niematerialnym. Cyberbezpieczeństwo, poprzez minimalizację ryzyka w działalności biznesowej i ochronie infrastruktury krytycznej, jest ważne zarówno dla sektora publicznego, jak i komercyjnego. Podstawą cyberbezpieczeństwa powinny być procedury bezpieczeństwa, wspierane przez środki techniczne. Określenie rodzaju mechanizmów zarządzania cyberbezpieczeństwem wymaga starannego i szczegółowego planowania przy zaangażowaniu wszystkich pracowników danej instytucji. Wybór zabezpieczeń powinno poprzedzić określenie wymagań cyberbezpieczeństwa, zidentyfikowanie ryzyka, ustalenie jego poziomu akceptacji oraz sposobu postępowania z ryzykiem oraz wytycznych w zakresie zarządzania ryzykiem w instytucji. Skuteczna ochrona informacji zależy od następujących czynników: polityki bezpieczeństwa informacji i odzwierciedlających ją celów biznesowych; zaangażowania kierownictwa; zrozumienia wymagań cyberbezpieczeństwa, szacowania ryzyka i zarządzania ryzykiem; kultury instytucji przy wdrażaniu, utrzymaniu, monitorowaniu i doskonaleniu systemu cyberbezpieczeństwa; skutecznego propagowania wymagań i zaleceń cyberbezpieczeństwa wśród pracowników i instytucji współpracujących;
4 86 Jerzy KRAWIEC finansowania działań związanych z zarządzaniem cyberbezpieczeństwem; zapewnienia odpowiedniej świadomości, kształcenia i szkoleń; ustanowienia skutecznego procesu zarządzania incydentami związanymi z cyberbezpieczeństwem; wdrożenia mierników efektywności systemu zarządzania bezpieczeństwem informacji oraz mechanizmów sprzężenia zwrotnego służących jego doskonaleniu. Cyberbezpieczeństwo może być również realizowane za pomocą różnego rodzaju standardów czy metodyk. Najważniejsze metodyki (standardy) IT z tego zakresu to: ITIL (Information Technology Infrastructure Library Security Management) wytyczne w zakresie kontroli poziomu cyberbezpieczeństwa, zarządzanie incydentami związanymi z cyberbezpieczeństwem, prowadzanie audytów weryfikujących skuteczność kontroli poziomu cuberbezpieczeństwa, monitorowanie skuteczności zabezpieczeń; NIST (National Institute of Standards and Technology) SP przewodnik techniczny do prowadzenia testów bezpieczeństwa; ISM3 (Information Security Management Maturity Model) wytyczne do oceny własnego środowiska pracy oraz umożliwiające zaplanowanie procesów zarządzania bezpieczeństwem, aby zapewnić efektywną realizację celów biznesowych organizacji; OSSTMM (Open Source Security Testing Methodology Manual) recenzowany podręcznik testowania i analizy zabezpieczeń; ISSAF (Information Systems Security Assessment Framework) metodyka OISSG (Open Information Systems Security Group) w zakresie weryfikacji strategii bezpieczeństwa; OWASP (The Open Web Application Security Project) metodyka prowadzenia testów penetracyjnych; WASC (Web Application Security Consortium) opracowywanie i propagowanie standardów bezpieczeństwa w sieci Internet. Istnieją także normy międzynarodowe określające wymagania systemu cyberbezpieczeństwa jak np. ISO/IEC 27001:2013 (polski odpowiednik to PN- -ISO/IEC 27001: ), która jest podstawową normą określającą wymagania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). 1. Kryteria wyboru metodyki wdrażania systemu cyberbezpieczeństwa W praktyce, w czasach znacznego zagrożenia cyberterroryzmem, konieczne staje się wdrożenie systemu cyberbepieczeństwa. Zasadne jest zatem postawienie następującego pytania według jakiego dokumentu wdrażać system
5 Normalizacyjne aspekty cyberbezpieczeństwa 87 cyberbezpieczeństwa? Wyżej wymienione metodyki obejmuję jedynie część zagadnień, czasami dość istotną, ale jednak część i są klasycznymi standardami IT. Natomiast norma podchodzi do zagadnienia kompleksowo. W nauce i technice angielski termin standard jest używany w znaczeniu dokument normatywny (norma) lub standard (wzorzec). W praktyce zbyt często stosowane jako synonimy, a norma to dokument przyjęty na zasadzie konsensu i zatwierdzony przez upoważnioną jednostkę organizacyjną (ISO, IEC, CEN, CENELEC, ETSI, PKN), ustalający do powszechnego i wielokrotnego stosowania zasady, wytyczne lub charakterystyki odnoszące się do różnych rodzajów działalności lub ich wyników i zmierzający do uzyskania optymalnego stopnia uporządkowania w określonym zakresie. Natomiast standard to zestaw parametrów, zazwyczaj nazwany, określający poziom jakości, bezpieczeństwa, wygody lub zgodności z innymi wytworami techniki. Te różnice wyraźniej widać w tabeli 2. Tabela 2. Porównanie cech standardu i normy Cechy dokumentu Standard Norma Jawność TAK TAK Powszechna dostępność TAK/NIE TAK Uwzględnienie interesu publicznego NIE TAK Dobrowolność uczestnictwa TAK TAK Dobrowolność stosowania TAK TAK Zapewnienie możliwości uczestnictwa zainteresowanych TAK/NIE TAK Konsens NIE TAK Niezależność od jakiejkolwiek grupy interesów NIE TAK Jednolitość i spójność postanowień TAK TAK Wykorzystanie sprawdzonych osiągnięć nauki i techniki TAK/NIE TAK Źródło: opracowanie własne. Standard, w porównaniu z normą, jest dokumentem niższej rangi. Inaczej mówiąc, standard może być podstawą treści normy, ale nie ma relacji odwrotnej. Używanie tych pojęć zamiennie jest bardzo powszechne i z wyżej wymienionych względów nieuprawnione. Najczęściej występuje to w branży informatycznej, np. organizacja W3C (World Wide Web Consortium) opracowuje standardy sieciowe (rekomendacje, wytyczne). Z kolei organizacja OASIS (Organization for the Advancement of Structured Information Standards) jest konsorcjum typu non profit, która ustanawia otwarte standardy o zasięgu globalnym. Standardy dotyczą przede wszystkim bezpieczeństwa informacyjnego i e-biznesu oraz standaryzacji w sektorze publicznym i rynku oprogramowania specyficznego. Wszystkie ww. cechy dokumentu w odniesieniu do normy mają zastosowanie, czego nie można powiedzieć o standardzie, np. sposób uzgad-
6 88 Jerzy KRAWIEC niania dokumentu (konsens) czy niezależność od jakiejkolwiek grupy interesów. Dlatego wdrażanie SZBI powinno być oparte na normie, a nie na standardzie. 2. Przegląd norm międzynarodowych dotyczących cyberbezpieczeństwa Na rysunku 2. przedstawiono podstawowy zbiór norm z zakresu cyberbezpieczeństwa z podziałem na normy: terminologiczne, wymagania, wytyczne oraz normy sektorowe. Rysunek 2. Podstawowy zbiór norm międzynarodowych z zakresu cyberbezpieczeństwa Źródło: opracowanie własne Terminologia W normie ISO/IEC 27000:2016 (nie ma jeszcze polskiego odpowiednika) przedstawiono przegląd systemów zarządzania bezpieczeństwem informacji oraz podano 89 terminów 2 i ich definicje powszechnie stosowane w normach dotyczących cyberbezpieczeństwa. Norma ma zastosowanie do dowolnej 2 ISO/IEC 27000:2016, Information technology Security techniques Information security management systems Overview and vocabulary, ISO, Geneva 2016, s. 13.
7 Normalizacyjne aspekty cyberbezpieczeństwa 89 organizacji (np. przedsiębiorstwa handlowe, agencje rządowe, organizacje typu non profit), niezależnie od wielkości tej organizacji Wymagania Norma ISO/IEC 27001:2013 (polski odpowiednik PN-ISO/IEC 27001: ) podaje wymagania Systemu Zarządzania Bezpieczeństwem Informacji, będącej źródłem certyfikacji systemu cyberbezpieczeństwa. Norma określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do organizacji. Obejmuje również wymagania dotyczące szacowania i postępowania z ryzykiem dotyczącym bezpieczeństwa informacji, dostosowanych do potrzeb organizacji. Wymogi określone w tej normie są ogólne i mają zastosowanie do wszystkich organizacji, niezależnie od typu, wielkości i charakteru. Wymagania zdefiniowane w rozdziałach od 4 do 10 oraz 114 punktów kontrolnych w Załączniku A 3, zwanych w normie zabezpieczeniami muszą być spełnione, jeśli organizacja deklaruje zgodność z niniejszą normą. W normie ISO/IEC 27006:2015 (nie ma jeszcze polskiego odpowiednika) przedstawiono wymagania i podano wytyczne dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji (SZBI). Norma stanowi uzupełnienie wymagań zamieszczonych w ISO/IEC Głównym celem tej normy jest wspomaganie w procesie akredytacji jednostek certyfikujących prowadzących certyfikację SZBI. Wymagania w niej podane powinny być odbierane w kategoriach kompetencji i pewności przez każdą jednostkę prowadzącą certyfikację SZBI, a wytyczne zawarte w normie zapewniają dodatkową interpretację tych wymagań dla każdej jednostki certyfikującej SZBI. Norma podaje kryteria, które mogą być stosowane do akredytacji, oceny równorzędnej lub innych procesów audytowych Wytyczne W normie ISO/IEC 27002:2013 podano zalecenia dotyczące standardów cyberbezpieczeństwa w organizacjach i praktyk zarządzania bezpieczeństwem, w tym wyboru, wdrażania i zarządzania zabezpieczeniami, 3 ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements, ISO, Geneva 2013, s ISO/IEC 27006:2015 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems, ISO, Geneva 2015, s. 18.
8 90 Jerzy KRAWIEC z uwzględnieniem środowiska 5, w którym w organizacji występuje ryzyko w bezpieczeństwie informacji. Norma jest dedykowana organizacjom, które planują zastosować zabezpieczenia w ramach procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z ISO/IEC Norma jest przydatna przy wdrażaniu powszechnie akceptowanych zabezpieczeń oraz przy opracowaniu własnych zaleceń w zakresie zarządzania bezpieczeństwem informacji. Polskim odpowiednikiem tej normy jest PN-ISO/IEC 27002: Norma ISO/IEC 27003:2010 (nie ma jeszcze polskiego odpowiednika) koncentruje się na kluczowych aspektach niezbędnych do skutecznego zaprojektowania i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji. Określa proces specyfikacji SZBI od projektowania do opracowania planów wdrożeniowych. Opisuje proces uzyskania akceptacji kierownictwa do wdrożenia SZBI oraz podaje wytyczne dotyczące planowania SZBI i jego realizacji 6. W normie ISO/IEC 27004:2009 (nie ma jeszcze polskiego odpowiednika) przedstawiono wytyczne w zakresie badania skuteczności zastosowanych zabezpieczeń, opisano model pomiarowy 7 oraz relacje między procesami zarządzania bezpieczeństwem informacji a procesem pomiarowym 8. Norma ISO/IEC 27005:2011 (polski odpowiednik PN-ISO/IEC 27005: ) podaje wytyczne w zakresie zarządzania ryzykiem w bezpieczeństwie informacji. Przedstawia szczegółowy opis koncepcji określonych w normie ISO/IEC Celem normy jest wsparcie wdrażania systemu cyberbezpieczeństwa, bazującego na biznesowym podejściu do zarządzania ryzykiem 9. Norma ma zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non profit), które powinny uwzględnić zarządzanie ryzykiem, aby uniknąć naruszania procedur bezpieczeństwa w ramach doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji. Norma ISO/IEC 27007:2011 (nie ma jeszcze polskiego odpowiednika) zawiera wytyczne dotyczące zarządzania programem audytu SZBI, zasady przeprowadzania audytów oraz określa kompetencje audytorów 10. Norma ma zastosowanie do osób, które mogą prowadzić audyty wewnętrzne 5 ISO/IEC 27002:2013 Information technology Security techniques Code of practice for information security controls, ISO, Geneva 2013, s ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation guidance, ISO, Geneva 2010, s ISO/IEC 27004:2009 Information technology Security techniques Information security management Measurement, ISO, Geneva 2009, s J. Krawiec, G. Ożarek, System Zarządania Bezpieczeństwem Informacji w praktyce Zabezpieczenia, Warszawa 2014, s ISO/IEC 27005:2011 Information technology Security techniques Information security risk management, ISO, Geneva, 2011, s J. Krawiec, G. Ożarek, Certyfikacja w Informatyce, Warszawa, 2014, s. 31.
9 Normalizacyjne aspekty cyberbezpieczeństwa 91 i zewnętrzne SZBI. Norma jest uzupełnieniem normy ISO 19011:2011, określającej zasady prowadzenia audytu dowolnego systemu zarządzania. Raport techniczny ISO/IEC TR 27008:2011 (nie ma jeszcze polskiego odpowiednika) zawiera wytyczne dotyczące przeglądu wdrażania i funkcjonowania zabezpieczeń, w tym zgodności technicznej systemu informacyjnego 11, zgodnie z obowiązującymi normami dotyczącymi bezpieczeństwa informacji organizacji. Norma ma zastosowanie do wszystkich typów i wielkości organizacji, w tym instytucji publicznych i prywatnych, instytucji rządowych oraz organizacji typu non profit prowadzących przeglądy zabezpieczeń i kontrolę przestrzegania przepisów technicznych. Norma nie może być stosowana do audytów systemów zarządzania. W normie ISO/IEC 27010:2015 (nie ma jeszcze polskiego odpowiednika) przedstawiono wytyczne w uzupełnieniu do podanych w normach serii ISO/ IEC dotyczących wdrażania zarządzania bezpieczeństwem informacji w organizacjach wspólnie zarządzających zasobami informacyjnymi. Norma podaje wytyczne dotyczące inicjowania, wdrażania, utrzymania i poprawy bezpieczeństwa informacji w ramach komunikacji między organizacjami i sektorami. Podaje zasady ogólne oraz określa wymagania w zakresie technicznych aspektów komunikacji. Norma ma zastosowanie do wszystkich form wymiany i udostępniania poufnych informacji, zarówno publicznych jak i prywatnych, krajowych i międzynarodowych, w ramach tego samego sektora przemysłu lub rynku lub między sektorami. W szczególności zasady te mogą być stosowane do wymiany informacji i wiedzy związanych z dostarczaniem, utrzymaniem i ochroną infrastruktury krytycznej danej organizacji. Celem normy jest wspieranie i kreowanie zaufania podczas wymiany i udostępniania poufnych informacji, a tym samym sprzyjanie rozwojowi międzynarodowej wymiany informacji społecznościowych 12. Norma ISO/IEC 27013:2015 (nie ma jeszcze polskiego odpowiednika) zawiera wytyczne dotyczące zintegrowanego systemu zarządzania cyberbezpieczeństwem, opartego na ISO/IEC oraz Systemu Zarzadzania Usługami Informatycznymi, którego wymagania określono w normie ISO/IEC Norma ma zastosowanie w organizacjach, które zamierzają wdrożyć zintegrowany system zarządzania oparty na wyżej wymienionych normach. Norma umożliwia wdrażanie zintegrowanego systemu zarządzania, niezależnie od stanu wdrożenia ISO/IEC i ISO/IEC Jednak norma koncentruje się na zintegrowanym wdrożenia SZBI według ISO/IEC oraz systemu zarządzania usługami informatycznymi według normy ISO/ IEC W praktyce integracja systemów zarządzania może obejmować 11 ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security controls, ISO, Geneva 2011, s ISO/IEC 27010:2015 Information technology Security techniques Information security management for inter-sector and inter-organizational communications, ISO, Geneva 2015.
10 92 Jerzy KRAWIEC również normy spoza obszaru informatycznego jak np. ISO 9001 (zarządzanie jakością) i ISO (zarządzanie środowiskowe) 13. W normie ISO/IEC 27014:2015 (nie ma jeszcze polskiego odpowiednika) przedstawiono wytyczne dotyczące pojęć i zasady dotyczące zarządzania bezpieczeństwem informacji, dzięki któremu organizacje mogą kształtować tzw. ład informatyczny uwzględniający zagadnienia związane z cyberbezpieczeństwem 14. Norma ma zastosowanie do wszystkich typów i rozmiarów organizacji. Raport techniczny ISO/IEC TR 27016:2014 (nie ma jeszcze polskiego odpowiednika) zawiera wytyczne dotyczące podejmowania decyzji mające na celu ochronę informacji i uświadomienie konsekwencji tych decyzji gospodarczych w kontekście konkurencyjnych wymagań dotyczące zasobów informacyjnych. Raport techniczny ma zastosowanie do wszystkich typów i rozmiarów organizacji i dostarcza informacji umożliwiających podejmowanie decyzji ekonomicznych w zarządzaniu bezpieczeństwem informacji przez najwyższe kierownictwo, które jest odpowiedzialne za decyzje w zakresie cyberbezpieczeństwa Normy sektorowe Norma ISO/IEC 27011:2008 (nie ma jeszcze polskiego odpowiednika) dotyczy określenia wytycznych wspierających wdrażanie zarządzania cyberbezpieczeństwem w organizacjach telekomunikacyjnych 16. Norma umożliwia organizacji telekomunikacyjnej spełnić podstawowe wymogi w zakresie zarządzania cyberbezpieczeństwem zapewniając poufność, integralność i dostępność oraz innych istotnych atrybutów cyberbezpieczeństwa. W raporcie technicznym ISO/IEC TR 27019:2013 przedstawiono, zgodnie z normą ISO/IEC dotyczącą wytycznych do SZBI, zasady dotyczące systemu sterowania procesami w przemyśle energetycznym 17. Celem dokumentu jest rozszerzenie norm z serii ISO/IEC w dziedzinie systemów sterowania procesem i techniki automatyzacji. To rozszerzenie zakresu tematycznego dotyczy systemów sterowania procesami wykorzystywanymi przez 13 ISO/IEC 27013:2015 Information technology Security techniques Guidance on the integrated implementation of ISO/IEC and ISO/IEC , ISO, Geneva ISO/IEC 27014:2013 Information technology Security techniques Governance of information security, ISO, Geneva ISO/IEC TR 27016:2014 Information technology Security techniques Information security management Organizational economics, ISO, Geneva ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, ISO, Geneva, ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry, ISO, Geneva 2013.
11 Normalizacyjne aspekty cyberbezpieczeństwa 93 przemysł energetyczny do kontrolowania i monitorowania wytwarzania, przesyłania, przechowywania i dystrybucji energii elektrycznej, gazu i ciepła w połączeniu ze sterowaniem procesów wspomagających. Dotyczy to następujących elementów: Systemów IT wspieranych przez centralne i rozproszone procesy sterowania oraz systemów informatycznych służących do ich funkcjonowania, takich jak urządzenia do programowania i parametryzacji; Regulatorów cyfrowych i elementów automatyki, takich jak urządzenia kontrolne i eksploatacyjne lub PLC, w tym elementów czujników i siłowników cyfrowych; Wszystkich dodatkowych elementów wsparcia dla systemów informatycznych wykorzystywanych w procesach sterowania, np. dla dodatkowych zadań wizualizacji danych oraz w celach kontroli, monitoringu, archiwizacji danych i dokumentacji; Całej techniki komunikacji stosowanej w procesach sterowania, na przykład sieć, telemetria, aplikacje telekontroli i techniki zdalnego sterowania; Cyfrowych urządzeń pomiarowych, np. do pomiaru zużycia energii, wytwarzania lub wielkości emisji; Systemów ochrony i cyberbezpieczeństwa, np. przekaźniki zabezpieczające lub PLC; Rozproszonych elementów środowisk inteligentnych sieci; Całego oprogramowania, oprogramowania sprzętowego oraz aplikacji zainstalowanych na wyżej wymienionych systemach. Zakres tematyczny raportu technicznego nie obejmuje konwencjonalnych lub klasycznych analogowych urządzeń sterowania, czyli systemów monitorowania i sterowania procesem czysto elektromechanicznym lub elektronicznym. Ponadto dokument nie dotyczy także systemów sterowania energią w gospodarstwach domowych i innych instalacjach budowlanych. W normie ISO/IEC 27799:2015 (nie ma jeszcze polskiego odpowiednika) podano wskazówki dla wsparcia interpretacji i stosowania w informatycznych systemach ochrony zdrowia, poprzez rozwiniecie zapisów normy ISO/ IEC Zidentyfikowano zbiór szczegółowych narzędzi kontrolnych do zarządzania bezpieczeństwem informacji w ochronie zdrowia i przedstawiono wskazówki praktyczne w odniesieniu do systemu zarządzania bezpieczeństwem informacji w ochronie zdrowia. W przypadku zastosowania, organizacje i inni administratorzy bezpieczeństwa informacji w ochronie zdrowia będą mieli możliwość zapewnienia minimalnego poziom bezpieczeństwa, adekwatnego do okoliczności występujących w ich organizacji, oraz będą mieć podstawy do zapewnienia integralności, poufności i dostępności danych osobowych zawierających również informacje wrażliwe ISO 27799:2016 Health informatics -- Information security management in health using ISO/IEC 27002, ISO, Geneva 2016.
12 94 Jerzy KRAWIEC 2.5. Normy wspierające Przedstawiono jedynie grupę podstawowych norm dotyczących cyberbezpieczeństwa, ale nie są to wszystkie normy, które dotyczą tej tematyki. Istnieją także dość duży zbiór norm wspomagających zbiór podstawowy 19. W zakresie norm usługowych i przetwarzania w chmurze mamy do dyspozycji: ISO/IEC TR 27015:2012 wytyczne SZBI w odniesieniu do usług finansowych; ISO/IEC TS 27017:2015 wytyczne do zabezpieczeń w ramach usługi przetwarzania w chmurze; ISO/IEC 27018:2014 przetwarzanie danych osobowych w chmurze. W zakresie zarządzania ciągłością działania opublikowano następujące normy: ISO 22301:2012 systemy zarządzania ciągłością działania; ISO/IEC 27031:2011 wytyczne do zapewnienia ciągłości działania; ISO/IEC 27032:2012 wytyczne podstawowe do cyberbezpieczeństwa; ISO/IEC 27035:2011 Zarządzanie incydentami bezpieczeństwa informacji. W zakresie bezpieczeństwa sieci informatycznych opracowano następujące normy: ISO/IEC :2015 przegląd i koncepcje; ISO/IEC :2012 projektowanie i wdrażanie; ISO/IEC :2010 zagrożenia, projektowanie i zabezpieczenia; ISO/IEC :2014 bezpieczeństwo połączeń sieciowych (bramy); ISO/IEC :2013 bezpieczeństwo połączeń sieciowych (VPN); ISO/IEC :2016 bezpieczny dostęp do sieci bezprzewodowej. W zakresie bezpieczeństwa aplikacji mamy do dyspozycji następujące normy: ISO/IEC :2011 przegląd i koncepcje; ISO/IEC :2015 ramy normatywne; ISO/IEC proces zarządzania (norma w opracowaniu); ISO/IEC protokoły i struktura danych (norma w opracowaniu); ISO/IEC wytyczne dla specyficznych aplikacji (norma w opracowaniu); ISO/IEC atrybuty zabezpieczeń (norma w opracowaniu). W zakresie bezpieczeństwa informacji w relacjach z dostawcami opracowano: ISO/IEC :2014 opis i koncepcje; ISO/IEC :2014 wymagania; ISO/IEC :2013 wytyczne do bezpieczeństwa łańcucha dostaw (dostęp: ).
13 Normalizacyjne aspekty cyberbezpieczeństwa 95 W zakresie informatyki śledczej opublikowano następujące normy: ISO/IEC 27037:2012 wytyczne dotyczące zbierania dowodów cyfrowych; ISO/IEC 27038:2014 specyfikacja przeróbki cyfrowej; ISO/IEC 27039:2015 systemy wykrywania włamań i przeciwdziałania (IDPS); ISO/IEC 27040:2015 bezpieczeństwo przechowywania danych; ISO/IEC 27041:2015 wytyczne w sprawie metod śledczych; ISO/IEC 27042:2015 wytyczne w sprawie analizy i interpretacji dowodów cyfrowych; ISO/IEC 27043:2015 zasady prowadzenia dochodzenia. Podsumowanie Widać wyraźnie, że zbiór norm z obszaru cyberbezpieczeństwa dotyczy różnorodnej problematyki i warto go uwzględnić przy wdrażaniu Systemu Zarządzania Bezpieczeństwem Informacji, czy tylko samego systemu cyberbezpieczeństwa w każdej organizacji, niezależnie czy jest to instytucja publiczna czy firma komercyjna. Zasada ekonomiki myślenia, znana pod nazwą Brzytwy Ockhama, której przesłanie brzmi: Bytów nie mnożyć, fikcji nie tworzyć, tłumaczyć fakty jak najprościej, zakłada, że w wyjaśnianiu zjawisk należy dążyć do prostoty i posługiwać się wyjaśnieniami opartymi na jak najmniejszej liczbie pojęć. Zatem przy wdrażaniu systemu cyberbezpieczeństwa należałoby kierować się normami określającymi wymagania dotyczącymi systemu cyberbezpieczeństwa, którego cechy, takie jak: przydatność, adekwatność, skuteczność, odzwierciedlają zasadę Brzytwy Ockhama. System cyberbezpieczeństwa powinien być przydatny; nie może być traktowany jako modny styl zarządzania. Przydatność powinna wynikać np. z konieczności uwarunkowań prawnych lub biznesowych. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. dotyczące Krajowych Ram Interoperacyjności nakłada na instytucje, realizujące zadania publiczne, wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN ISO/ IEC oraz normami związanymi: PN-ISO/IEC (zastąpiona przez ISO/IEC 27002: ), PN ISO/IEC (zarządzanie ryzykiem) oraz jeszcze aktualna norma PN ISO/IEC (odtwarzanie techniki informatycznej po katastrofie), mimo, że norma międzynarodowa, będąca podstawą wdrożenia polskiej normy, została wycofana bez zastąpienia. To powinno wynikać nie tylko z samego wdrożenia SZBI, ale także posiadania certyfikatu zgodności z normą. Ponadto argumentami przemawiającymi za wypełnieniem tej cechy systemu są np.: status jednostki certyfikującej (audyty strony trzeciej, audyty
14 96 Jerzy KRAWIEC strony drugiej), kontrakty podpisywane z partnerami biznesowymi (zwłaszcza zagranicznymi) oraz udział w przetargach, gdzie udział w postępowaniu przetargowym jest warunkowany posiadaniem certyfikatu zgodności z normą. Adekwatność systemu cyberbezpieczeństwa polega na dobraniu odpowiednich środków ochrony (zabezpieczeń) do chronionych zasobów. W tym przypadku kluczowa jest prawidłowa klasyfikacja informacji. Nie wszystkie zabezpieczenia (organizacyjne i techniczne) mają zastosowanie w konkretnym systemie. Niektóre zabezpieczenia mogą być wyłączone spod nadzoru systemu, ale powinno to być dostatecznie uzasadnione. System cyberbezpieczeństwa powinien być skuteczny, aby dostatecznie uzasadniał interes biznesowy lub spełnienie wymagań prawnych. Skuteczność systemu należy mierzyć, aby ocena była obiektywna. Pomiar systemu za pomocą wskaźników jest warunkiem sukcesu projektu. W tym względzie na podkreślenie zasługuje bardzo ważna rola użytkowników systemów informacyjnych. Jeżeli użytkownicy nie będą przestrzegać procedur bezpieczeństwa, to żaden system zabezpieczeń nie będzie skuteczny. Ignorancja i brak dyscypliny są tego najgorszym przykładem. Uświadamianie zagrożeń i regularne szkolenia to jedna z metod walki z ignorancją. Zdyscyplinowanie można uzyskać poprzez wprowadzenie mechanizmów wymuszających przestrzeganie procedur bezpieczeństwa. Te trzy cechy systemu powinny być warunkiem koniecznym w procesie wdrażania systemu cyberbezpieczeństwa przez każdą nowoczesną instytucję (organizację). Bibliografia 1. Krawiec J., Ożarek G., System Zarządzania Bezpieczeństwem Informacji w praktyce. Zabezpieczenia, PKN, Warszawa Krawiec J., Ożarek G., Certyfikacja w Informatyce, PKN, Warszawa Krawiec J., Zabezpieczanie danych, cz. 1: SZBI systemowa pewność danych, IT professional nr 6, Wrocław ISO/IEC 27000:2016 Information technology Security techniques Information security management systems Overview and vocabulary, ISO, Geneva ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements, ISO, Geneva ISO/IEC 27002:2013 Information technology Security techniques Code of practice for information security controls, ISO, Geneva ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation guidance, ISO, Geneva ISO/IEC 27004:2009 Information technology Security techniques Information security management -- Measurement, ISO, Geneva ISO/IEC 27005:2011 Information technology Security techniques Information security risk management, ISO, Geneva ISO/IEC 27006:2015 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems, ISO, Geneva 2015.
15 Normalizacyjne aspekty cyberbezpieczeństwa ISO/IEC 27007:2011 Information technology Security techniques Guidelines for information security management systems auditing, ISO, Geneva ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security controls, ISO, Geneva ISO/IEC 27010:2015 Information technology Security techniques Information security management for inter-sector and inter-organizational communications, ISO, Geneva ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, ISO, Geneva ISO/IEC 27013:2015 Information technology Security techniques Guidance on the integrated implementation of ISO/IEC and ISO/IEC , ISO, Geneva, ISO/IEC 27014:2013 Information technology Security techniques Governance of information security, ISO, Geneva ISO/IEC TR 27016:2014 Information technology Security techniques Information security management Organizational economics, ISO, Geneva ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry, ISO, Geneva ISO 27799:2016 Health informatics Information security management in health using ISO/ IEC 27002, ISO, Geneva (dostęp: ). STANDARDIZATION ASPECTS OF CYBERSECURITY Summary Model of information security generally includes three security areas: information technology, also known as cyber security, physical security (physical security and environmental) and the personal security and is to provide the basic attributes of information security: confidentiality, availability and integrity. The article presents a model system cybersecurity, with particular emphasis on standardization aspects. Information Security can be seen in many aspects of cybersecurity model presented using different methodologies; standards and international standards for information security. A review of standards and international standards in the field of cybersecurity has been done. It highlights the systemic approach to the problem of cybersecurity, demonstrating effective use of international standards of comparison with standards. The article also presents the criteria for choosing a methodology to implement the system cybersecurity. Keywords: cybersecurity, information security, standardization, standard, control, security model, information security management system. Artykuł otrzymano: 8 września 2016 r. Zaakceptowano do publikacji: 1 grudnia 2016 r.
WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoCYBERBEZPIECZEŃSTWO PODEJŚCIE SYSTEMOWE
OBRONNOŚĆ. Zeszyty Naukowe 2(18)/2016 ISSN 2084-7297 AUTORZY dr inż. Piotr Górny p.gorny@aon.edu.pl Wydział Zarządzania i Dowodzenia, AON dr inż. Jerzy Krawiec j.krawiec@wip.pw.edu.pl Wydział Inżynierii
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoNorma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez
KONCEPCJA SYSTEMU JAKOŚCI zgodnie z wymaganiami norm ISO serii 9000 dr Lesław Lisak Co to jest norma? Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez upoważnioną
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoBezpieczeństwo informacji. jak i co chronimy
Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoSTANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013
Wersja Jednostka realizująca Typ Poziom Program Profil Blok Grupa Kod Semestr nominalny Język prowadzenia zajęć Liczba punktów ECTS Liczba godzin pracy studenta związanych z osiągnięciem efektów Liczba
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoPodstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych
Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy
AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych
AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoNormy ISO serii 9000. www.greber.com.pl. Normy ISO serii 9000. Tomasz Greber (www.greber.com.pl) dr inż. Tomasz Greber. www.greber.com.
Normy ISO serii 9000 dr inż. Tomasz Greber www.greber.com.pl www.greber.com.pl 1 Droga do jakości ISO 9001 Organizacja tradycyjna TQM/PNJ KAIZEN Organizacja jakościowa SIX SIGMA Ewolucja systemów jakości
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przepisy prawa a normy
Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoZdrowe podejście do informacji
Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony
Bardziej szczegółowoISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania
ISO 9000/9001 Jarosław Kuchta Jakość Oprogramowania Co to jest ISO International Organization for Standardization największa międzynarodowa organizacja opracowująca standardy 13700 standardów zrzesza narodowe
Bardziej szczegółowoBAKER TILLY POLAND CONSULTING
BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie
Bardziej szczegółowoKryteria oceny Systemu Kontroli Zarządczej
Załącznik nr 2 do Zasad kontroli zarządczej w gminnych jednostkach organizacyjnych oraz zobowiązania kierowników tych jednostek do ich stosowania Kryteria oceny Systemu Kontroli Zarządczej Ocena Środowisko
Bardziej szczegółowoZarządzanie relacjami z dostawcami
Zarządzanie relacjami z dostawcami Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK). Certyfikowany audytor systemów
Bardziej szczegółowoDeklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.
Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował
Bardziej szczegółowoOcena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.
dojrzałości jednostki Kryteria oceny Systemu Kontroli Zarządczej. Zgodnie z zapisanym w Komunikacie Nr 23 Ministra Finansów z dnia 16 grudnia 2009r. standardem nr 20 1 : Zaleca się przeprowadzenie co najmniej
Bardziej szczegółowoCYBERBEZPIECZEŃSTWO W ŚWIETLE WYMAGAŃ TECHNICZNYCH I PRAWNYCH
Z E S Z Y T Y N A U K O W E WYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE t. 15, z. 2(39) 2017 ISSN 1641 9707 s. 36 49 Jerzy KRAWIEC 1 CYBERBEZPIECZEŃSTWO W ŚWIETLE WYMAGAŃ TECHNICZNYCH
Bardziej szczegółowoZintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego
Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,
Bardziej szczegółowoI. O P I S S Z K O L E N I A
Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka
Bardziej szczegółowoISO 9001:2015 przegląd wymagań
ISO 9001:2015 przegląd wymagań dr Inż. Tomasz Greber (www.greber.com.pl) Normy systemowe - historia MIL-Q-9858 (1959 r.) ANSI-N 45-2 (1971 r.) BS 4891 (1972 r.) PN-N 18001 ISO 14001 BS 5750 (1979 r.) EN
Bardziej szczegółowoArchitektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011
Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów
Bardziej szczegółowoAudyt systemów informatycznych w świetle standardów ISACA
Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoLuki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej
Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej Michał Kurek, Partner KPMG, Cyber Security Forum Bezpieczeństwo Sieci Technologicznych Konstancin-Jeziorna, 21 listopada
Bardziej szczegółowoSYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI ZABEZPIECZENIA
Z E S Z Y T Y N A U K O W E WYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE t. 15, z. 1(38) 2017 ISSN 1641 9707 s. 46 59 Jerzy KRAWIEC 1 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
Bardziej szczegółowoZakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 22, 2005 Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, 00 908 Warszawa STRESZCZENIE: Artykuł zawiera przegląd
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoKomunikat nr 115 z dnia 12.11.2012 r.
Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania
Bardziej szczegółowoDokument obowiązkowy IAF
IAF MD 4:2008 International Accreditation Forum, Inc. Dokument obowiązkowy IAF Dokument obowiązkowy IAF dotyczący stosowania wspomaganych komputerowo technik auditowania ( CAAT ) w akredytowanej certyfikacji
Bardziej szczegółowoOpis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.
Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach
Bardziej szczegółowoBezpieczeństwo danych i systemów informatycznych. Wykład 1
Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane
Bardziej szczegółowoZarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak.
Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak. Książka stanowi szerokie kompendium wiedzy z zakresu systemów zarządzania. Stanowić ona może cenną pomoc
Bardziej szczegółowoPrzedszkole Nr 30 - Śródmieście
RAPORT OCENA KONTROLI ZARZĄDCZEJ Przedszkole Nr 30 - Śródmieście raport za rok: 2016 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych
Bardziej szczegółowoOpis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.
Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A. I. Cele Systemu Kontroli Wewnętrznej 1. System Kontroli Wewnętrznej stanowi część systemu zarządzania funkcjonującego w
Bardziej szczegółowoJak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia
Bardziej szczegółowoUstawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.
Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych. r.pr. Paweł Gruszecki, Partner, Szef Praktyki Nowych Technologii i Telekomunikacji, Kochański Zięba & Partners Sp.
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoPakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.
Pakiet Interoperacyjny Urząd Oferujemy kompleksowy pakiet wdrożenia Krajowych Ram Interoperacyjności w Urzędzie. W skład pakietu wchodzi 6 modułów: e-learning, audyt, wzory dokumentów, asysta merytoryczna,
Bardziej szczegółowoCertified IT Manager Training (CITM ) Dni: 3. Opis:
Kod szkolenia: Tytuł szkolenia: HK333S Certified IT Manager Training (CITM ) Dni: 3 Opis: Jest to trzydniowe szkolenie przeznaczone dla kierowników działów informatycznych oraz osób, które ubiegają się
Bardziej szczegółowoIATF 16949:2016 Zatwierdzone Interpretacje
:2016 Zatwierdzone Interpretacje Standard, wydanie pierwsze, został opublikowany w październiku 2016 roku i obowiązuje od 1 stycznia 2017 roku. Niniejsze Zatwierdzone Interpretacje zostały ustalone i zatwierdzone
Bardziej szczegółowoBezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
Bardziej szczegółowoCharakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000
Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Normy ISO serii 9000 Zostały uznane za podstawę wyznaczania standardów zarządzania jakością Opublikowane po raz
Bardziej szczegółowoWykłady. Znormalizowane systemy zarządzania BHP AGENDA. Wprowadzenie normalizacja. Norma PN-N 18001:2004 wstęp. Dyskusja wolne wnioski
Wykłady Znormalizowane systemy zarządzania BHP AGENDA normalizacja Norma PN-N 18001:2004 wstęp Dyskusja wolne wnioski 1 AGENDA normalizacja Norma PN-N 18001:2004 wstęp Dyskusja wolne wnioski Wybrane krajowe
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoZastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych
Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki
Bardziej szczegółowoSzczegółowy opis przedmiotu zamówienia:
Załącznik nr 1 do SIWZ Szczegółowy opis przedmiotu zamówienia: I. Opracowanie polityki i procedur bezpieczeństwa danych medycznych. Zamawiający oczekuje opracowania Systemu zarządzania bezpieczeństwem
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoSystem kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku
System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku Kraśnik grudzień 2017 CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele systemu kontroli wewnętrznej 1. W Banku Spółdzielczym
Bardziej szczegółowoSystem kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS
System kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS I. CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele systemu kontroli
Bardziej szczegółowoepolska XX lat później Daniel Grabski Paweł Walczak
epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe
Bardziej szczegółowoPodstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe
Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski
Bardziej szczegółowoKultura usługowa i jej znaczenie dla relacji biznes - IT
Kultura usługowa i jej znaczenie dla relacji biznes - IT Andrzej Bartkowiak Dyrektor Centrum Kompetencji Zarządzania Usługami IT BZ WBK System Zarządzania Usługami to zestaw wyspecjalizowanych zdolności
Bardziej szczegółowoNowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele
Nowa Strategia Cyberbezpieczeństwa RP na lata 2017-2022 główne założenia i cele Dariusz Deptała Serock, 29-31 maja 2017 r. Strategia Cyberbezpieczeństwa RP- Krajowe Ramy Polityki Cyberbezpieczeństwa Ustawa
Bardziej szczegółowoSPÓŁDZIELCZY BANK POWIATOWY w Piaskach
SPÓŁDZIELCZY BANK POWIATOWY w Piaskach System kontroli wewnętrznej Spółdzielczego Banku Powiatowego w Piaskach Będącego uczestnikiem Systemu Ochrony Zrzeszenia BPS Piaski, 2017 r. S t r o n a 2 I. CELE
Bardziej szczegółowoSystem Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim
System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim I. CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele Systemu Kontroli Wewnętrznej W Banku Spółdzielczym w Mińsku Mazowieckim
Bardziej szczegółowoSystem kontroli wewnętrznej w Systemie Ochrony Zrzeszenia BPS
Załącznik nr 4 do Umowy Systemu Ochrony System kontroli wewnętrznej w Systemie Ochrony Zrzeszenia BPS I. CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele systemu kontroli wewnętrznej W Systemie Ochrony
Bardziej szczegółowoRektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 9 listopada 2011 roku
ZARZĄDZENIE Nr 84/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 9 listopada 2011 roku zmieniające zasady organizacji studiów podyplomowych Zarządzanie jakością Na podstawie 7 Regulaminu
Bardziej szczegółowoUsługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie
Usługowy model zarządzania w oparciu o ITIL v3 wprowadzenie do biblioteki ITIL na prostym przykładzie Plan prezentacji Krótka definicja ITIL i kilka pojęć Umowy i kontrakty SLA, OLA, UC Podstawowe publikacje
Bardziej szczegółowoStandardy typu best practice. Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl
Standardy typu best practice Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl Standardy w audycie Do standardów opracowanych przez odpowiednie organizacje dotyczących audytu należą: ISO
Bardziej szczegółowoCentrum zarządzania bezpieczeństwem i ciągłością działania organizacji
Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji Narzędzie informatyczne i metodyka postępowania, z wzorcami i szablonami, opracowanymi na podstawie wiedzy, doświadczenia i dobrych
Bardziej szczegółowoGrupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA
Grupa DEKRA w Polsce Cyberbezpieczeństwo GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA SOLIDNY GLOBALNY PARTNER 1925 1990 Rozwój wszechstronnej Założona w Berlinie jako zarejestrowane stowarzyszenie sieci
Bardziej szczegółowoBezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Bardziej szczegółowoOGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania
OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania ofert, zmodyfikować treść dokumentów zawierających istotne
Bardziej szczegółowoZespół do spraw Transformacji Przemysłowej Departament Innowacji
Zespół do spraw Transformacji Przemysłowej 26.07.2016 Departament Innowacji Kierunki transformacji polskiej gospodarki 5 Filarów rozwoju gospodarczego Polski Reindustrializacja Rozwój innowacyjnych firm
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowomgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji
mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK
Bardziej szczegółowoAudyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS
Audyty bezpieczeństwa dla samorządów i firm Gerard Frankowski, Zespół Bezpieczeństwa PCSS 1 Plan prezentacji Wprowadzenie Dlaczego korzystanie z infrastruktur teleinformatycznych jest niebezpieczne? Czy
Bardziej szczegółowoTransport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI
Transport odpadów a standardy bezpieczeństwa System Zarządzania Bezpieczeństwem Ruchu drogowego Joanna Bańkowska Dyrektor Zarządzający BSI NOWOCZESNY SYSTEM GOSPODARKI ODPADAMI PROBLEM CZY BIZNES? 13.11.2013
Bardziej szczegółowoOchrona biznesu w cyfrowej transformacji
www.pwc.pl/badaniebezpieczenstwa Ochrona biznesu w cyfrowej transformacji Prezentacja wyników 4. edycji badania Stan bezpieczeństwa informacji w Polsce 16 maja 2017 r. Stan cyberbezpieczeństwa w Polsce
Bardziej szczegółowoSystem kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie
System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie I. CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele systemu kontroli wewnętrznej W Banku Spółdzielczym w Gogolinie funkcjonuje system
Bardziej szczegółowoKod przedmiotu Standardy systemów zarządzania w transporcie Wersja przedmiotu 2015/16 A. Usytuowanie przedmiotu w systemie studiów
Kod przedmiotu Nazwa przedmiotu Standardy systemów zarządzania w transporcie Wersja przedmiotu 2015/16 A. Usytuowanie przedmiotu w systemie studiów Poziom kształcenia Studia II stopnia Forma i tryb prowadzenia
Bardziej szczegółowoOpis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.
Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Jednym z elementów zarządzania Bankiem jest system kontroli wewnętrznej (SKW), którego podstawy, zasady i cele wynikają
Bardziej szczegółowoOpracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej
Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.
Bardziej szczegółowoZAŁĄCZNIK. rozporządzenia delegowanego Komisji
KOMISJA EUROPEJSKA Bruksela, dnia 13.3.2019 r. C(2019) 1789 final ANNEX 4 ZAŁĄCZNIK do rozporządzenia delegowanego Komisji uzupełniającego dyrektywę Parlamentu Europejskiego i Rady 2010/40/UE w odniesieniu
Bardziej szczegółowoISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia
Bardziej szczegółowo