Jak zbudować standard (bezpieczeństwa) doskonały?

HTML
DOWNLOAD

Wielkość: px

Rozpocząć pokaz od strony:

Download "Jak zbudować standard (bezpieczeństwa) doskonały?"

Wiktor Bednarek
9 lat temu
Przeglądów:

1 1 Jak zbudować standard (bezpieczeństwa) doskonały? Konferencja IT Security Trends Kliknij, aby edytować styl wzorca 28 listopada Warszawa

2 Plan wystąpienia 2 Standard bezpieczeństwa co to takiego? Dojrzałość organizacji vs podejście do bezpieczeństwa Ryzyko ustalenie kontekstu dlaczego jest ważne? Siatka bezpieczeństwa w organizacji bezpieczeństwa

3 Standard bezpieczeństwa 3 Zbiór wymagań odnoszących się do bezpieczeństwa i wskazujący działania niezbędne do podjęcia, w celu uzyskania i utrzymania założonego poziomu bezpieczeństwa. Przykłady standardów: BS standard zarządzania ciągłością działania (obecnie zastępowany przez ISO 22301); ISO standard bezpieczeństwa informacji; Rozporządzenie MSWIA w sprawie dokumentacji

Przykłady standardów: BS 25999 standard zarządzania ciągłością działania (obecnie zastępowany

4 Standardy organizacji 4 Polityka bezpieczeństwa danych osobowych; Instrukcja bezpieczeństwa pożarowego; Plan ochrony (ochrona fizyczna); Zasady wykonywania prac szczególnie niebezpiecznych (BHP); Plan ciągłości działania; System oceny i szacowania ryzyka; Systemy zarządzania zgodne z ISO;

Zasady wykonywania prac szczególnie niebezpiecznych (BHP); Plan

5 5 Dojrzałość organizacji

6 Niemowlę 6 Wiodące podejście: jakoś to będzie ; Szacowanie i ocena ryzyka: w locie ; Kontekst szacowania i oceny ryzyka czy mi się opłaca? (o dpow ie dź brzm i je s zc ze nie ); Odsetek firm: Bardzo dużo; Wypełniane standardy: ZYSK (utrzymanie się).

7 Dziecko 7 Wiodące podejście: aby się nie przyczepili ; Szacowanie i ocena ryzyka: w locie ; Kontekst szacowania i oceny ryzyka: czy mi się opłaca? (odpowiedź brzmi na dwoje babka wróżyła); Odsetek firm: Dużo; Wypełniane standardy: ZYSK ze spełnieniem minimum wymagań z przepisów prawa.

8 Młodzież 8 Wiodące podejście: bezpieczeństwo elementem walki konkurencyjnej ; Szacowanie i ocena ryzyka: mechaniczne ; Kontekst szacowania i oceny ryzyka: czy mi się opłaca? (odpowiedź tak, jakaś wartość dodana będzie). Odsetek firm: Średnio; Wypełniane standardy: ZYSK, ze spełnieniem wymagań klientów (łańcuch dostaw), wymagania prawne w pełni.

się opłaca? (odpowiedź tak, jakaś wartość dodana będzie).

9 Dorosły 9 Wiodące podejście: WIEM że mi się opłaca ; Szacowanie i ocena ryzyka: organiczne (każdy dział, pojawia się CRO); Kontekst szacowania ryzyka: jak jeszcze mogę oszczędzić zapobiegając stratom (czasem jako jednostka biznesowa); Odsetek firm: Mało; Wypełniane standardy: liczymy koszty (rachunkowość zarządcza, ROI, NPV). Realizacja przepisów, standardów (ISO, BS)

zapobiegając stratom (czasem jako jednostka biznesowa); Odsetek firm: Mało; Wypełniane

10 10 Ryzyko kontekst wewnętrzny

11 Ryzyko przez atrybuty 11 Podejście Instytutu Bezpieczeństwa i Informacji oparte o atrybuty bezpieczeństwa. Założenia: Każdy zasób może być opisany przez atrybuty (cechy inherentne); Podatności jako słabości możliwe do wykorzystania przez zagrożenie są atrybutami które są tracone (niszczone) w wyniku kontaktu z zagrożeniem;

Założenia: Każdy zasób może być opisany przez atrybuty (cechy inherentne);

12 Procesowa analiza ryzyka 12 Diagram rybiej ości (ISHIKAWA), Zasoby z opisanymi atrybutami; Wskazanie atrybutów krytycznych dla zasobów, niezbędnych do utrzymania w danym etapie procesu; Ryzyko jako kombinacja prawdopodobieństwa utraty niezbędnego lub krytycznego atrybutu (atrybutów) zasobu w wyniku oddziaływania zagrożenia;

utrzymania w danym etapie procesu; Ryzyko jako kombinacja prawdopodobieństwa

13 Diagram ISHIKAWA 13 Ludzie Kwalifikacj e Technika/Ciepł o Informacje Do s tę pn o ś ć Inte g ra ln o ś ć Temperatu ra Do s tę pn o ś ć Poufno ść Do s ta rc ze nie s urow c a Wstępne mieszanie B a za do pro dukc ji

14 Analiza zagrożeń 14 Analiza Od źródła skutku od źródła skutku typowanie potencjalnych skutków przyczyn wystąpienia (zagrożeń) zagrożenia skutkujących w utratą kontekście atrybutów zasobów. utraty atrybutów zasobów;

15 Kto i za co, czyli siatka bezpieczeństwa IT ADM LOG SUR Powódź P P P P Awaria systemu IT Awaria maszyny Kradzież W P P P W W

16 Kto i za co, czyli siatka bezpieczeństwa IT ADM LOG PRO Etap I P P W Etap II P P P W Etap III P P P W Etap IV P P W

17 S ta nda r d be zpie c z e ńs tw a IB II ze s pó ł za be zpie c ze ń, dzia ła ją c yc h łą c znie Standard IBII 17

18 18 Dziękuję za uwagę Grzegorz Krzemiński

Podobne dokumenty

OCENA ZDOLNOŚCI ORGANIZACJI DO ZARZĄDZANIA KRYZYSOWEGO

OCENA ZDOLNOŚCI ORGANIZACJI DO ZARZĄDZANIA KRYZYSOWEGO KONFERENCJA CIĄGŁOŚĆ DZIAŁANIA WYZWANIA DLA SYSTEMU INFRASTRUKTURY KRYTYCZNEJ 26-27 LISTOPADA 2015 JACHRANKA K./WARSZAWY World Sec Info LTD 590 Kingston