NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO

Wielkość: px
Rozpocząć pokaz od strony:

Download "NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO"

Transkrypt

1 Grażyna Ożarek 1 NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO Celem referatu jest wskazanie, że powszechnie stosowane doraźne, spontaniczne działania w zakresie ochrony aktywów informacyjnych nie przynoszą spodziewanych korzyści. Brak systemowego podejścia do bezpieczeństwa informacyjnego - to wysokie nakłady i niskie efekty. Informacje w trudzie się produkuje ale łatwo reprodukuje. Zatem może warto sięgnąć po dokumenty normalizacyjne, które wskażą jak zbudować kompleksowy a zatem skuteczny system zarządzania bezpieczeństwem informacyjnym (SZBI). Dzięki nim poznamy własne zasoby informacyjne i ich wartość dla organizacji, zidentyfikujemy zagrożenia i oszacujemy ryzyko, zastosujemy adekwatne do zagrożeń zabezpieczenia, przygotujemy harmonogram wdrożeń zabezpieczeń oraz audytów oceniających stan ochrony, wyznaczymy osoby odpowiedzialne za system i elementy systemu, zbudujemy kulturę bezpieczeństwa informacyjnego w organizacji. W konsekwencji uzyskamy ekonomicznie uzasadniony, dojrzały oraz skuteczny SZBI. 1. NORMALIZACJA DLA BEZPIECZEŃSTWA INFORMACYJNEGO Normalizacja jest działalnością zmierzającą do uzyskania optymalnego, w danych okolicznościach, stopnia uporządkowania w określonym zakresie, poprzez ustalanie postanowień przeznaczonych do powszechnego i wielokrotnego stosowania, dotyczących istniejących lub mogących wystąpić problemów 2 Tym współczesnym problemem, z którym musi poradzić sobie każda organizacja zarówno mała jak i duża; ta ze sfery biznesu jak i publiczna, jest zapewnienie bezpieczeństwa aktywom informacyjnym (danym i informacjom). W dokumentach normalizacyjnych można znaleźć zasady, wytyczne, charakterystyki, które odnoszą się do różnych rodzajów działalności i zmierzają do uzyskania optymalnego stopnia uporządkowania w określonym zakresie. Kompleksowe podejście do zorganizowania w instytucji systemu zarządzania bezpieczeństwem informacyjnym zostało zawarte w dokumencie normalizacyjnym PN-ISO/IEC Technika informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania. W tabeli 1 przedstawiono zbiór dokumentów komplementarnych z PN-ISO/IEC i jednocześnie uszczegóławiających zagadnienie budowy i utrzymania wdrożonego systemu zarządzania bezpieczeństwem informacyjnym (SZBI) w organizacji. Tabela 1 Podstawowy zbiór dokumentów normalizacyjnych niezbędny do budowy SZBI w organizacji Numer normy Tytuł Zawartość normy PN-ISO/IEC Technika informatyczna. Techniki Prezentuje model oraz metodę ustanowienia, Bezpieczeństwa. Systemy zarządzania wdrożenia, eksploatacji, monitorowania, bezpieczeństwem informacji. przeglądu, utrzymania i doskonalenia SZBI. Wymagania PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. Zawiera wytyczne do zarządzania ryzykiem dotyczącym bezpieczeństwa informacyjnego. Stanowi rozwinięcie ogólnych koncepcji opisanych w PN ISO/IEC Referat został wygłoszony w dniu 17 września 2010 r. na sympozjum zorganizowanym przez Polskie Forum ISO 9000 w Dymaczewie k/poznania 2 Ustawa o normalizacji z dnia 12 września 2002 r. (Dz.U. Nr 169, poz. 1386)

2 PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. ISO/IEC Information technology - Security techniques - Information security management - Measurement Jest to praktyczny przewodnik umożliwiający opracowanie skutecznego SZBI. Omawia cele stosowania zabezpieczeń oraz opisuje metody wdrażania zabezpieczeń na podstawie oszacowanego ryzyka. W tym dokumencie przedstawiono wymagania i wytyczne dla jednostek prowadzących audyty i certyfikację SZBI, jednakże norma ta może być także stosowana w innych procesach audytowych np. do celów audytu wewnętrznego SZBI Dokument zawiera wytyczne dotyczące rozwoju i wykorzystania środków pomiaru w celu oceny skuteczności wdrożenia SZBI Zasady opisane w przedstawionych normach to modelowe, uznane sposoby postępowania najlepsze praktyki, które dają duże prawdopodobieństwo odniesienia sukcesu ale go nie gwarantują, bowiem nie zawierają recepty (jednego algorytmu rozwiązania problemu) lecz ogólne wytyczne, które powinny zostać indywidualnie dopasowane do każdej organizacji i doskonalone w procesie użytkowania. Skuteczna ochrona aktywów informacyjnych w sposób holistyczny ujmuje aspekty bezpieczeństwa mając na uwadze kwestie: teleinformatyczne, prawne, fizyczne, organizacyjne, ludzkie, społeczne, kulturowe, psychologiczne a także ekonomiczne. Inwestowanie w bezpieczeństwo informacyjne powinno być ekonomicznie opłacalne dla organizacji, powinno wynikać z potrzeb biznesowych. Sukces uzależniony jest od stopnia rozumienia potrzeb organizacji w zakresie bezpieczeństwa informacyjnego i zaangażowania w ten proces członków organizacji oraz systematycznego badania poziomu ochrony. Wszystkie te kwestie zostały uwzględnione w normalizacyjnym spojrzeniu na bezpieczeństwo informacyjne. 2. BEZPIECZEŃSTWO INFORMACYJNE Bezpieczeństwo informacyjne oznacza ochronę danych i informacji przed zagrożeniami (i wynikającymi stąd niekontrolowanymi stratami) płynącymi z otoczenia oraz wnętrza organizacji. Celem tej ochrony jest m. in. zapewnienie ciągłości działania procesów, wykorzystanie w pełni możliwości biznesowych, obniżenie ryzyka ewentualnych strat na skutek zaistniałych incydentów. Ale także możliwość podejmowania skutecznych decyzji opartych na analizie danych i informacji do których możemy mieć zaufanie. Bezpieczeństwo informacyjne w swoim szerokim znaczeniu obejmuje każdą postać danych i informacji, aczkolwiek podstawową rolę w instytucjach odgrywa obecnie ich cyfrowa postać. Chronić zatem trzeba zarówno zasoby cyfrowe jak i te występujące w postaci dokumentów papierowych, graficznych, filmowych oraz zapamiętane przez człowieka i przekazywane przez środki łączności. Bezpieczeństwo informacyjne związane jest z zachowaniem tzw. atrybutów bezpieczeństwa aktywów informacyjnych, do których przede wszystkim zaliczamy: integralność, poufność i dostępność; dodatkowo można rozważyć ochronę innych własności takich jak rozliczalność, autentyczność, niezawodność i niezaprzeczalność (tab. 2). Utrzymywanie tych atrybutów, dla wybranych grup aktywów informacyjnych, na założonym poziomie bezpieczeństwa oraz empirycznie stwierdzona odporność na zakłócenia, świadczy o prawidłowym funkcjonowaniu systemu zarządzania bezpieczeństwem informacyjnym w organizacji. 3 Norma została wydana 15 grudnia 2009 r.

3 Definicje atrybutów bezpieczeństwa danych i informacji Nazwa atrybutu bezpieczeństwa Definicja Integralność (integrity) Poufność (confidentiality) Dostępność (availability) Niezawodność (reliability) Autentyczność (authenticity) Rozliczalność (accountability) Niezaprzeczalność (non-repudiation) 3. PROJEKTOWANIE SZBI Tabela 2 Zapewnienie, że dane lub informacje nie zostały zmienione w sposób nieautoryzowany (dokładne i kompletne aktywa) Dane i informacje udostępniane są tylko osobom upoważnionym Możliwość wykorzystania na każde żądanie w założonym czasie przez upoważnione podmioty Oznacza koherentne, zamierzone zachowanie i skutki Zapewnienie, że tożsamość podmiotu lub zasobu jest zgodna z deklarowaną Pewność, że działania danego podmiotu są w sposób jednoznaczny przypisane temu podmiotowi Brak możliwości wyparcia się swego uczestnictwa w przetwarzaniu danych. Przystępując do budowy SZBI zgodnie z zaleceniami normy należy dokonać inwentaryzacji zasobów informacyjnych, określić ich wartość rynkową lub wrażliwość; połączyć w grupy, określić poziom zabezpieczeń i rodzaj zabezpieczeń. Aby zastosować właściwe zabezpieczenia należy dokonać analizy podatności i zagrożeń dokonać analizy ryzyka. Miarą ważności określonych grup aktywów informacyjnych jest ich tzw. wrażliwość, jeśli nie możemy wycenić ich w jednostce monetarnej. Wrażliwymi aktywami informacyjnymi są takie, które mogą zostać wykorzystane na szkodę zainteresowanej organizacji. Wrażliwość poszczególnych grup aktywów informacyjnych jest ustalana przez właścicieli informacji i ma na celu ustalenie poziomu ich ochrony. Warto wspomnieć, że im bardziej wartościowe lub wrażliwe są zasoby tym większe jest ryzyko związane z ich utratą i tym większe są wymagania bezpieczeństwa co obrazuje rys.1. Rys. 1 Ryzyko, wymagania bezpieczeństwa a wartość zasobów [Źródło: opr. wł. na podst. PN-I ]

4 4. SZACOWANIE RYZYKA Zgodnie z PN-ISO/IEC ryzyko mierzone jest jako kombinacja prawdopodobieństwa zdarzenia i jego następstw. Ryzyko dotyczy zdarzeń powtarzalnych, których możliwość zaistnienia można obliczyć statystycznie, czyli można je skalkulować. Na rys. 2 ukazano proces analizy ryzyka w celu podjęcia próby oszacowania ryzyka. Rys. 2 Analiza ryzyka i szacowanie ryzyka [źródło: opr. wł.] 4.1. Analiza ryzyka Identyfikowanie ryzyka Identyfikowanie ryzyka jest procesem wyszukiwania, zestawiania i charakteryzowania elementów ryzyka. Innymi słowy jest to działanie, w którym przewiduje się: co może się zdarzyć, gdzie to może się zdarzyć, dlaczego może wystąpić to zdarzenie, jak często może wystąpić to zdarzenie i jakie będą tego następstwa. W trakcie identyfikowania należy dokonać: 1. Inwentaryzacji aktywów i identyfikowania zagrożeń (o czym wspomniano wyżej). 2. Spisu istniejących zabezpieczeń. 3. Sporządzenia listy podatności (luk w systemie) w stosunku do aktywów, zagrożeń i zabezpieczeń (np. dla aktywów typu sieć podatnością może być brak dowodu wysłania i odebrania wiadomości, a zagrożeniem - odmowa działania). Obszerną listę przykładów podatności zawarto PN-ISO/IEC w załączniku D. 4. Określenie następstw (szkód). Następstwem może być utrata skuteczności, ciągłości działania, reputacji, straty biznesowe, zniszczenie, procesy karne itp. Dokonując szacowania szkód w wyniku incydentów należy wziąć pod uwagę takie elementy jak: 1. Czas wykrycia i naprawy 2. Straty liczone w nakładzie pracy 3. Utrata możliwości biznesowych 4. Koszty specjalistycznej naprawy lub odtworzenia aktywów 5. Straty z powodu obniżonego zaufania interesariuszy Estymowanie ryzyka Estymacja ryzyka to proces w którym przypisywane są wartości do prawdopodobieństwa i skutków ryzyka.

5 1. Estymacja ryzyka może być prowadzona metodą: Jakościową - stosowana w celu zgrubnego określenia poziomu oraz ujawnienia źródeł poważnego ryzyka. W estymacji jakościowej używa się skali atrybutów kwalifikujących potencjalne następstwa takie jak np. niski, średni i wysoki oraz prawdopodobieństwo wystąpienia tych następstw. Ilościową jest droższa, lecz dokładniejsza od poprzedniej; wykorzystuje się skalę numeryczną zarówno dla następstw jak i dla prawdopodobieństwa wystąpienia następstw. Wykorzystywane są dane o incydentach z różnych źródeł, najczęściej sięga się do danych historycznych. Mieszaną połączenie metody jakościowej i ilościowej. Wybór metody powinien być dostosowany do określonych potrzeb. 4.2 Ocena ryzyka Ocena ryzyka jest to proces porównywania estymowanego ryzyka z ustalonymi kryteriami w celu określenia znaczenia ryzyka. Ryzyko z przypisanymi wartościami dla poszczególnych grup aktywów informacyjnych oraz kryteria oceny ryzyka umożliwiają podjęcie decyzji w stosunku do przyszłych działań. Decyzje te powinny określać czy należy podjąć działanie, a także powinny ustalać działania priorytetowe. W wyniku oceny powinno się otrzymać listę rankingową postępowania z ryzykiem Szacowanie ryzyka zgrubne i dokładne Szacowanie ryzyka (zgodnie z rys. 2) realizowane jest poprzez proces analizy i oceny ryzyka. Tzw. szacowanie zgrubne - na wysokim poziomie ogólności - zwykle umożliwia jedynie wytyczenie chronologii działań związanych z zabezpieczeniami, bowiem często z powodów finansowych zabezpieczanie niektórych grup danych i informacji musimy odłożyć na później. Jak wspomniano wyżej, w pierwszej kolejności zabezpieczymy zatem te najbardziej krytyczne. Zgrubne szacowanie ryzyka rzadko odnosi się do szczegółów technologicznych i wskazuje głównie na zabezpieczenia organizacyjne oraz ogólne zabezpieczenia techniczne typu oprogramowanie antywirusowe lub kopie zapasowe. Szczegółowe szacowanie ryzyka wymaga dużo większych nakładów czasu, wysiłku i umiejętności niż w przypadku szacowania zgrubnego. Tablica 3 przedstawia przykład budowy macierzy do szczegółowego określania poziomu ryzyka związanego bezpieczeństwem informacji. Tablica 3 Przykładowa macierz do wyznaczania szczegółowego poziomu ryzyka [źródło: PN-ISO/IEC 27005] Wartość aktywów Zagrożenie - prawdopodobieństwo wystąpienia Podatność - łatwość wykorzystania Niskie (L) Średnie (M) Wysokie (H) L M H L M H L M H

6 Wiersze macierzy określają liczbowo wartość aktywów dla poszczególnych grup informacji (skala od 0 do 4). W kolumnach odzwierciedlone jest prawdopodobieństwo wystąpienia zagrożenia oraz łatwość wykorzystania podatności. Poziom ryzyka określony jest w skali od 0 do 8 dla każdej kombinacji. Wartość lub wrażliwość aktywów informacyjnych wyznaczają (jak wspomniano wyżej) kierownicy, którzy zwykle są tzw. właścicielami grup informacji w oparciu o takie czynniki jak: straty finansowe, przerwy w działaniu, utrata reputacji, zobowiązania i regulacje prawne itp. W podobny sposób (poprzez przypisanie poziomów: niskie, średnie, wysokie) szacowana jest łatwość wykorzystania zagrożeń oraz prawdopodobieństwo urzeczywistnienia się zagrożenia. Na przykład niech wartość aktywów wynosi 2, prawdopodobieństwo wystąpienia zagrożenia jest wysokie H, a łatwość wykorzystania L. Przy tych parametrach (zgodnie z tab. 3) poziom ryzyka wynosi 4. Przedstawiona metoda umożliwia tworzenie rankingu ryzyka dla poszczególnych grup aktywów. 5. ZARZĄDZANIE RYZYKIEM Istotnym elementem zarządzania bezpieczeństwem informacyjnym jest zarządzanie ryzykiem. Uproszczony proces zarządzania ryzykiem został przedstawiony na rys. 3. Rys. 3 Uproszczony schemat zarządzania ryzykiem [opr. wł. na podstawie PN-ISO/IEC 27005] Wszystkie powyżej opisane działania występują w fazie planuj SZBI. W fazie wykonuj należy zastosować odpowiednie zabezpieczenia w celu zredukowania ryzyka. Zabezpieczenia oraz cele zabezpieczeń zgodnie z PN-ISO/IEC powinny zostać opracowane w Deklaracji Stosowania jednym z najważniejszych dokumentów SZBI. Po praktyczne wskazówki warto sięgnąć do dokumentu PN-ISO/IEC Zgodnie z fundamentalną zasadą PN-ISO/IEC 27001, SZBI powinien żyć według cyklu PDCA (Planuj-Wykonaj- Sprawdź-Popraw). Oznacza to ciągłe monitorowanie, sprawdzanie i ulepszanie wdrożonego systemu. Tylko ciągłe monitorowanie i ocenianie przebiegu procesów związanych z bezpieczeństwem informacji pozwala stwierdzić jak ta ochrona jest realizowana. Wyniki pomiarów powinny być analizowane, aby umożliwić podejmowanie decyzji, co, gdzie i jak

7 poprawić - służyć doskonaleniu systemu. Etap eksploatacji systemu (sprawdź i popraw) wymaga, jak dobrze utrzymany ogród, stałej pielęgnacji systematycznej pracy i nadzoru. 6. KOORDYNOWANIE SZBI Kto powinien pełnić rolę menedżera bezpieczeństwa informacyjnego? W wielu firmach wyznacza się do tej funkcji pracownika komórki IT. Jeśli są to administratorzy lub informatycy wtedy nadzorują sami siebie. Jest to ewidentny błąd. Warto podkreślić, że menedżerem bezpieczeństwa informacyjnego nie musi być informatyk, ale osoba która rozumie nowe technologie oraz doskonale zna organizację i procesy w niej przebiegające. Zaleca się aby menedżer bezpieczeństwa był pełnomocnikiem najwyższego kierownictwa z odpowiednimi pełnomocnictwami, które umożliwiają mu wydawanie poleceń wszystkim pracownikom z żądaniem ich wykonania. Pełnomocnik powinien kierować i uczestniczyć w tworzeniu systemu w organizacji. Błędem jest kupowanie gotowych rozwiązań sporządzonych przez wyspecjalizowane firmy. Przygotowana przez nich polityka bezpieczeństwa informacyjnego, procedury, instrukcje zwykle są robotą seryjną z którą nikt z pracowników się nie utożsamia. Z empirii wynika, że rozwiązania muszą być wspólnie wypracowane a procedury akceptowane przez pracowników. Nie da się stworzyć efektywnego SZBI bez udziału wszystkich pracowników. W tym celu należy położyć duży nacisk na uwiadamianie pracownikom problemów bezpieczeństwa poprzez cykl szkoleń. Szkolenia te powinny objąć cały personel firmy, łącznie z pracownikami obsługi o których często się zapomina a stanowią ważne ogniwo w zapewnieniu bezpieczeństwa. W ten sposób tworzy się swoista kultura bezpieczeństwa informacyjnego w organizacji. Bez jej istnienia, czyli z pracownikami, którzy nie są uwrażliwieni na możliwość wystąpienia incydentów, zastosowane środki bezpieczeństwa zawsze będą niepełne a zatem niedoskonałe. 7. POMIAR BEZPIECZEŃSTWA INFORMACYJNEGO Jeśli nie potrafisz czegoś zmierzyć to niewiele o tym wiesz, w tym kontekście została wydana międzynarodowa norma ISO/IEC Zarządzanie bezpieczeństwem informacyjnym Pomiary. Norma ta objaśnia miary i dostarcza metod pomiarów potrzebnych do oszacowania skuteczności SZBI wymaganych przez ISO/IEC W tym miejscu należy zauważyć, że pojęcie pomiar zostało tu użyte w znaczeniu innym niż w przypadku pomiaru wielkości fizycznych. Pomiar wielkości fizycznych charakteryzuje się obiektywnością i empirycznością. W pomiarze tym ściśle określony jest przedmiot pomiaru, a wielkości mierzone mają przyporządkowaną jednostkę miary i wyrażone są liczbowo. Ponadto z terminem pomiar związane są narzędzia pomiarowe. Bezpieczeństwo jest niemierzalne z technicznego punktu widzenia, bowiem jest pojęciem abstrakcyjnym, subiektywnie odczuwanym przez odbiorcę. W bezpieczeństwie korzysta się z arbitralnych miar symbolicznych, często opisowych (np. niskie, średnie, wysokie). Z tego powodu, podczas audytu bezpieczeństwa informacyjnego audytor zbiera dane dotyczące wdrożonych zabezpieczeń na podstawie których wydaje ocenę stanu ochrony. Na podstawie stanu ochrony (np. posługując się deklaracją stosowania) może zdiagnozować, mniej lub bardziej precyzyjnie, dojrzałość SZBI. Co oznacza, że w danym momencie zostały spełnione warunki dające zapewnienie ochrony. Zatem w przypadku SZBI właściwym wydaje się stosowanie pojęcia ocena niż pomiar, a praca audytorów powinna skupiać się na badaniu stanu ochrony na podstawie wdrożonych zabezpieczeń i szacowaniu dojrzałości sytemu bezpieczeństwa informacyjnego, a nie na pomiarze bezpieczeństwa.

8 8. PODSUMOWANIE Bezpieczeństwo to imponderabilia 4 czyli rzecz nieuchwytna, nie dająca się, zmierzyć, zważyć, dokładnie określić, mogąca jednak oddziaływać i mieć znaczenie, wpływ. Bezpieczeństwo jest jedną z najważniejszych potrzeb człowieka, i jest to sui generis wewnętrzne przekonanie, że należące do niego zasoby pozostaną nienaruszone. Aby ta pewność miała oparcie w faktach należy ustanowić, wdrożyć, sprawdzać i doskonalić SZBI wg PN-ISO/IEC Jednym z symptomów skuteczności SZBI, dostrzeganych z wnętrza organizacji, jest niezakłócona realizacja określonych zadań i procesów. Z perspektywy zewnętrznej, potwierdzeniem istnienia dojrzałego SZBI, jest posiadanie certyfikatu bezpieczeństwa informacyjnego. Warto raz jeszcze podkreślić, że wszelkie działania spontaniczne, ad hock, bez głębszej analizy skazane są na niską efektywność w stosunku do nakładów. Tylko działania prowadzone systemowo w oparciu o najlepsze praktyki dają szansę optymalnej ochrony informacyjnych aktywów danej organizacji. LITERATURA 1. Krawiec J. Ożarek G.: Certyfikacja w informatyce. Warszawa. PKN PN-ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania. 3. PN-ISO/IEC 27005:2010 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. 4. PN-I :1999 Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. 5. ISO/IEC 27004:2009 Information technology - Security techniques - Information security management - Measurement 6. Liderman K.: Analiza ryzyka i ochrona informacji w systemach komputerowych. Warszawa. PWN imponderabilia (łc. in- nie- + p.łc. ponderabilis dający się zważyć od łc. ponderare ważyć ) rzeczy nieuchwytne, niedające się zmierzyć; rzeczy niesamowite, cudowne.

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeostwie IT

Zarządzanie ryzykiem w bezpieczeostwie IT Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005

Bardziej szczegółowo

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski bezpieczeństwa informacji w jednostce Marcin Dublaszewski Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek? Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej

Bardziej szczegółowo

ISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

ISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved. ISO 9001 + 3 kroki w przód = ISO 27001 ISO Polska - Rzeszów 22 stycznia 2009r. O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie

Bardziej szczegółowo

I. O P I S S Z K O L E N I A

I. O P I S S Z K O L E N I A Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora

Bardziej szczegółowo

Imed El Fray Włodzimierz Chocianowicz

Imed El Fray Włodzimierz Chocianowicz Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w

Bardziej szczegółowo

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje Załącznik do Zarządzenia nr 70/2015 Rektora UEP z dnia 27 listopada 2015 roku Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu 1 Definicje Określenia użyte w Polityce zarządzania

Bardziej szczegółowo

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych

Bardziej szczegółowo

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia

Bardziej szczegółowo

HARMONOGRAM SZKOLENIA

HARMONOGRAM SZKOLENIA Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

Zdrowe podejście do informacji

Zdrowe podejście do informacji Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony

Bardziej szczegółowo

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r. Zarządzanie ryzykiem w ochronie informacji niejawnych KSIBIT Warszawa 22 lipca 2014 r. Agenda spotkania Zamiast wstępu Wymagania prawne Zalecenia uzupełniające Pojęcia i terminy Metodyka szacowania ryzyk

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.

Bardziej szczegółowo

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11 Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces

Bardziej szczegółowo

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Warszawa, dnia 28 czerwca 2012 r. Poz. 93 Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych

Bardziej szczegółowo

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

Komunikat nr 115 z dnia 12.11.2012 r.

Komunikat nr 115 z dnia 12.11.2012 r. Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Klasyfikacja informacji

Klasyfikacja informacji Bezpieczeństwo informacji BIULETYN TEMATYCZNY Nr 1 / styczeń 2006 Klasyfikacja informacji www.security.dga.pl Spis treści Wstęp 3 Czym jest klasyfikacja informacji? 4 Cel klasyfikacji informacji 5 Sposoby

Bardziej szczegółowo

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych

Bardziej szczegółowo

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji

Bardziej szczegółowo

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF 1 STRESZCZENIE Konspekt powstał na podstawie wykładu z przedmiotu

Bardziej szczegółowo

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien.. Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien.. Czy dane osobowe są informacją szczególną dla Administratora Systemów IT? Administrator

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 1 Bezpieczeństwo systemu informatycznego banku 2 Przyczyny unikania bankowych usług elektronicznych 60% 50% 52% 40% 30% 20% 10% 20% 20% 9% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski : bezpieczeństwo IT w wybranych standardach niemieckich i francuskich Maciej Kaniewski 1/19 IT Baseline Protection Manual IT Grundschutz = zabezpieczenie podstawowe Opracowany przez Federalny Urząd ds.

Bardziej szczegółowo

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski

Bardziej szczegółowo

Audyt funkcjonalnego systemu monitorowania energii w Homanit Polska w Karlinie

Audyt funkcjonalnego systemu monitorowania energii w Homanit Polska w Karlinie Audyt funkcjonalnego systemu monitorowania energii w Homanit Polska w Karlinie System zarządzania energią to uniwersalne narzędzie dające możliwość generowania oszczędności energii, podnoszenia jej efektywności

Bardziej szczegółowo

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 nr

Bardziej szczegółowo

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego Problem wdrażania IT w organizacji Wskaźnik powodzeń dużych

Bardziej szczegółowo

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Normy ISO serii 9000 Zostały uznane za podstawę wyznaczania standardów zarządzania jakością Opublikowane po raz

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

Normy ISO serii 9000. www.greber.com.pl. Normy ISO serii 9000. Tomasz Greber (www.greber.com.pl) dr inż. Tomasz Greber. www.greber.com.

Normy ISO serii 9000. www.greber.com.pl. Normy ISO serii 9000. Tomasz Greber (www.greber.com.pl) dr inż. Tomasz Greber. www.greber.com. Normy ISO serii 9000 dr inż. Tomasz Greber www.greber.com.pl www.greber.com.pl 1 Droga do jakości ISO 9001 Organizacja tradycyjna TQM/PNJ KAIZEN Organizacja jakościowa SIX SIGMA Ewolucja systemów jakości

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Centrum Informatyzacji II Konferencja Zabezpieczenie danych osobowych Nowa rola ABI aspekty organizacyjne

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W

Bardziej szczegółowo

ZARZĄDZENIE Starosty Bielskiego

ZARZĄDZENIE Starosty Bielskiego - Zarządzenia Nr 4/2009 Starosty Bielskiego z dnia 14 stycznia 2009 roku; - Zarządzenia Nr 12/2010 Starosty Bielskiego z dnia 24 marca 2010 roku; - Zarządzenia Nr 18/2011 Starosty Bielskiego z dnia 21

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

Bezpieczeńtwo informacji

Bezpieczeńtwo informacji Bezpieczeńtwo informacji Czy chronisz istotne aktywa twojej firmy? Normy dotyczące bezpieczeństwa informacji to nowoczesne standardy zachowania poufności, integralności i dostępności informacji. Bezpieczeńtwo

Bardziej szczegółowo

Bezpieczeństwo teleinformatyczne danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych Bezpieczna Firma Bezpieczeństwo teleinformatyczne danych osobowych Andrzej Guzik stopień trudności System informatyczny, w którym przetwarza się dane osobowe, powinien oprócz wymagań wynikających z przepisów

Bardziej szczegółowo

Księga Zintegrowanego Systemu Zarządzania ZINTEGROWANY SYSTEM ZARZĄDZANIA

Księga Zintegrowanego Systemu Zarządzania ZINTEGROWANY SYSTEM ZARZĄDZANIA Strona: 1 z 5 1. Opis systemu zintegrowanego systemu zarządzania 1.1. Postanowienia ogólne i zakres obowiązywania W Samodzielnym Zespole Publicznych Zakładów Lecznictwa Otwartego Warszawa Ochota jest ustanowiony,

Bardziej szczegółowo

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU P OLITECHNIK A W AR S Z AWSKA FILIA W PŁOCKU ul. Łukasiewicza 17, 09-400 Płock SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU Opracowano na podstawie załącznika do

Bardziej szczegółowo

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka zatwierdzona przez Zarząd dnia 14 czerwca 2010 roku zmieniona przez Zarząd dnia 28 października 2010r. (Uchwała nr 3/X/2010) Tekst jednolity

Bardziej szczegółowo

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie

Bardziej szczegółowo

Akademia Młodego Ekonomisty

Akademia Młodego Ekonomisty Akademia Młodego Ekonomisty Zarządzanie ryzykiem dr Grzegorz Głód Uniwersytet Ekonomiczny w Katowicach 14.10.2013 r. Kto chce mieć absolutną pewność przed podjęciem decyzji nigdy decyzji nie podejmie 1

Bardziej szczegółowo

Warszawa, 17 marca 2014 r.

Warszawa, 17 marca 2014 r. Warszawa, 17 marca 2014 r. Stanowisko Zespołu Ekspertów powołanego przez GIODO, dotyczące potrzeby zmiany art. 39a ustawy o ochronie danych osobowych (zawierającego delegację do wydania rozporządzenia)

Bardziej szczegółowo

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013 Wersja Jednostka realizująca Typ Poziom Program Profil Blok Grupa Kod Semestr nominalny Język prowadzenia zajęć Liczba punktów ECTS Liczba godzin pracy studenta związanych z osiągnięciem efektów Liczba

Bardziej szczegółowo

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących

Bardziej szczegółowo

Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r.

Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r. Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki Warszawa, 25 lutego 2015 r. 2 W celu zapewnienia, jak również ciągłego doskonalenia jakości,

Bardziej szczegółowo

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie

Bardziej szczegółowo

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015 Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015 ZAPEWNIAMY BEZPIECZEŃSTWO Piotr Błoński, Warszawa, 17.03.2016 r. Program 1. Zarządzanie zmianą - zmiany w normie ISO 9001:2015 2. Zarządzanie

Bardziej szczegółowo

Korzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych.

Korzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych. Norma PN-EN ISO 9001:2009 System Zarządzania Jakością w usługach medycznych Korzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych. www.isomed.pl Grzegorz Dobrakowski Uwarunkowania

Bardziej szczegółowo

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006 ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005

Bardziej szczegółowo

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting

Bardziej szczegółowo

ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r.

ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r. ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r. w sprawie wprowadzenia Polityki zarządzania ryzykiem Na

Bardziej szczegółowo

SYSTEMY ZARZĄDZANIA JAKOŚCIĄ WEDŁUG

SYSTEMY ZARZĄDZANIA JAKOŚCIĄ WEDŁUG Wykład 10. SYSTEMY ZARZĄDZANIA JAKOŚCIĄ WEDŁUG NORM ISO 9000 1 1. Rodzina norm ISO 9000: Normy ISO 9000 są od 1987r., a trzecia rodzina norm ISO 9000 z 2000 r. (doskonalona w kolejnych latach) składa się

Bardziej szczegółowo

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne Załącznik Nr 1 do Zarządzenia Nr 29 z 01.07.2013r. REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU Postanowienia ogólne 1 1. Kontrola zarządcza w Powiatowym Urzędzie

Bardziej szczegółowo

Systemy zarządzania jakością

Systemy zarządzania jakością Systemy zarządzania jakością cechy, funkcje, etapy wdrażania systemu Prezentacja na spotkanie 3 System zarządzania jakością - czym jest a czym nie jest? System zarządzania jakością jest: zbiorem reguł,

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka Strona: 1 Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka Strona: 2 Spis treści: 1. Wstęp 2. Definicje 3. Zakres Systemu Bezpieczeństwa Informacji 4. Deklaracja Najwyższego Kierownictwa Urzędu

Bardziej szczegółowo

Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO 50001 w Dzierżoniowie. Warszawa 8 maja 2013 r.

Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO 50001 w Dzierżoniowie. Warszawa 8 maja 2013 r. Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO 50001 w Dzierżoniowie Warszawa 8 maja 2013 r. Efektywne zarządzanie energią jest jednym z warunków krytycznych do osiągnięcia

Bardziej szczegółowo