Nowe podejścia w zarządzaniu ryzykiem dla systemów informacyjnych organizacji
|
|
- Antoni Sadowski
- 8 lat temu
- Przeglądów:
Transkrypt
1 doi: / Imed EL FRAY, Jerzy PEJAŚ, Tomaz HYLA Zachodniopomorki Uniwerytet Technologiczny w Szczecinie, Wydział Informatyki, Katedra Inżynierii Oprogramowania Nowe podejścia w zarządzaniu ryzykiem dla ytemów informacyjnych organizacji Strezczenie. W artykule przedtawiono nowe podejście do zarządzania ryzykiem w ytemach informacyjnych zgodne z wymaganiami norm ISO/IEC. Proponowane podejście ma na celu zautomatyzowanie proceu podejmowania decyzji w ytuacjach, gdy ozacowanie ryzyka nie pełnia przyjętych przez organizację kryteriów tzw. potępowania z ryzykiem. W artykule zaproponowano także mechanizm wdrażania głównych procedur potępowania z ryzykiem (unikanie, ograniczenie, przenieienie czy akceptowanie ryzyka) będący podproceu zarządzania ryzykiem. Abtract. The paper preent a new approach to rik management information ytem compliant with the requirement of ISO/IEC. The propoed approach i deigned to automate the deciion-making proce in ituation where the rik aement doe not meet the criteria of o called rik treatment adopted by the organization. The paper alo propoe a mechanim for the implementation of the main procedure of rik (avoidance, reduction, tranfer or acceptance of rik) which i the ub-proce of rik management (New approach to rik management for an organization' information ytem). Słowa kluczowe: analiza ryzyka, potępowania z ryzykiem, zarządzania ryzykiem. Keyword: rik analyi, rik treatment, rik management. Wtęp Ciągłe innowacje technologiczne i konkurencja pomiędzy różnymi organizacjami umożliwiają klientom dotęp do coraz zerzego wachlarza uług i produktów dotarczanych przez ytemy teleinformatyczne [1-3]. Szybki rozwój ytemów teleinformatycznych, w tym Internetu jako medium dytrybucji produktów i uług, nieie za obą zarówno korzyści jak również ryzyka [4,5]. Szczególne ryzyko rodzi możliwość bezprawnego ujawnienia, modyfikacji lub kradzieży informacji mających itotnych znaczenie dla organizacji [6,7,8]. Obecnie, zczególnej uwagi wymaga zapewnienie bezpiecznego dotępu do uług i informacji zawartych w tego typu ytemach [9,10]. Wybór metod zapewnienia bezpieczeńtwa ytemów teleinformatycznych w konkretnej organizacji powinien być adekwatny do rodzaju ryzyka. Przejrzyte i aktywne podejście do analizy i zarządzania ryzykiem może nie tylko minimalizować ryzyko, lecz również kreować przewagę konkurencyjną organizacji [11,12]. Nietety minimalizacja ryzyka pociąga za obą zawze określone wydatki, które nie każda organizacja jet w tanie udźwignąć. W tej ytuacji dobre zdefiniowanie proceu potępowania z ryzykiem może być alternatywą dla organizacji, która chce zminimalizować ryzyka przy ograniczonym budżecie przeznaczonym na zapewnienie bezpieczeńtwa woich ytemów informacyjnych. Więkzość dotępnych obecnie i wdrażanych w organizacjach metod analizy i zarządzania ryzykiem takich jak MEHARI [13], NIST [14], BSI [15] z nienależytą powagą traktuje proce potępowania z ryzykiem. Wyjątkiem jet metoda CRAMM [16], która wprawdzie pełnia wymania proceu potępowania z ryzykiem, jednakże tylko w odnieieniu do dwóch z czterech podproceów (unikanie i/lub ograniczenie ryzyka). Jet to zetaw gotowych zaleceń i rekomendacji podzielonych na 70 grup zabezpieczeń przeciwdziałających zidentyfikowanym zagrożeniom mającym wpływ na informacje, infratrukturę fizyczną i logiczną. CRAMM pomimo pełnienia dwóch z czterech podproceów potępowania z ryzykiem jet jednak dedykowany organizacjom, które nie mają ograniczeń budżetowych. W niniejzym artykule przedtawiono algorytm pozwalający na wybór rozwiązania minimalizującego ryzyko dla każdego ozacowanego cenariuza ryzyka uwzględniając wzytkie podprocey związanych z potępowaniem z ryzykiem (unikanie i/lub ograniczenie, akceptacje oraz tranfer ryzyka). Zarządzania ryzykiem w ytemach informacyjnych Zarządzania ryzykiem jet klaycznym proceem kładającym ię z zeregu logicznych kroków powzechnie znanych z dotępnych w literaturze norm i metod [14-19]. Ryunek 1 przedtawia proce zarządzania ryzykiem. Proce ten kłada ię z utanowienia kontektu organizacji, oceny ryzyka, potępowania z ryzykiem, akceptacji ryzyka, komunikacji ryzyka oraz monitorowania i przeglądu ryzyka. Jak widać na ryunku proce ten jet proceem iteracyjnym. Proce zarzadzania ryzykiem w ytemach informacyjnych powinien być integralną częścią wzytkich działań związanych z zarządzaniem bezpieczeńtwem informacji, który analizuje na bieżąco to, co może ię zdarzyć i jakie mogą być możliwe natęptwa tych zdarzeń, a natępnie decyduje, co i kiedy należy wykonać, aby zredukować ryzyka do akceptowalnego poziomu. Proce zarządzania ryzykiem należy monitorować i regularnie przeglądać. Każda zmiana w zarządzaniu, w kontekście czy w ytemie informacyjnym organizacji może powodować zmiany dotyczące ryzyka i/lub jego poziomu. Proce ten może być zatoowany do organizacji jako całości, dowolnej części organizacji, dowolnego ytemu informacyjnego, itniejących zabezpieczeń, ich planów lub wybranych apektów (np. planowanie ciągłości działania). Formalny model zacowania ryzyka Więkzość metod analizy i zarządzania ryzykiem oparte ą na rozwiązaniach know-how opracowanych przez niezależne lub rządowe organizacje różnych krajów i przeznaczonych do zatoowania w ytemach rządowych i organizacjach użytku publicznego [20]. Metody te nie bazują na formalnych modelach matematycznych, a jedynie ą zbiorami dobrych praktyk z zakreu IT Governance [21]. Itnieje kilka metod bazujących na formalnych modelach [26,30]. Więkzość tych metod jet oparta na przedtawionym poniżej pięciofazowym modelu analizy ryzyka [ 22, 23]: Faza 1 - identyfikacja i klayfikacja zaobów, Faza 2 - identyfikacja zagrożeń wraz z ich źródłem, motywem itp. Faza 3 - ocena ryzyka, 186 PRZEGLĄD ELEKTROTECHNICZNY, ISSN , R. 91 NR 11/2015
2 Faza 4 - identyfikacja, wybór oraz implementacja zabezpieczeń wkazane zotają zabezpieczenia pod kątem ich opłacalności, koztochłonności oraz pilności ich wprowadzenia w organizacji. Ry.1. Proce zarządzania ryzykiem w bezpieczeńtwie informacji Faza 5 - implementacja ytemu zabezpieczeń nowo wybrane zabezpieczenia powinny być rozpatrywane pod kątem założonego poziomu ryzyka. Poniżej przedtawiono podtawowe truktury matematyczne formalnego modelu analizy ryzyka o nazwie FoMRA [23] uzupełnione parametry, które pozwalają na dokładnie zacowanie (analizę i ocenę) itniejącego ryzyka w organizacji dla każdego identyfikowanego cenariuza ryzyka, który negatywne może wpływać na bezpieczeńtwo organizacji. (1) A a i : i 1,..., n A zbiór zaobów (2) V v j : j 1,..., nv - zbiór podatność (3) O o k 1,..., n k : O - zbiór uwarunkowań wewnętrznych i zewnętrznych wpływających na podatność zaobu, T tm : m 1,..., nt - zbiór zagrożeń zaobów P pl : l 1,..., np - zbiór aktorów (źródeł zagrożeń) S n : n 1,..., ns - zbiór cenariuze zagrożeń DP dp : 1,..., ndp - zbiór środki redukujące przyczyny powtania zagrożeń DI dit : t 1,..., ndi - zbiór środki redukujące kutki zagrożeń (4) (5) (6) (7) (8) Powyżze truktury określają odpowiednio klay podatności zaobów ytemu oraz uwarunkowań wewnętrznych i zewnętrznych wpływających na podatność zaobów, klay zagrożenia zaobów oraz źródeł tych zagrożeń, cenariuze zagrożeń, środki redukujące przyczyny powtania zagrożeń oraz środki redukujące kutki zagrożeń wynikające z utraty zaobów. Założono również, że dany jet n-elementowy uporządkowany zbiór wartości dla argumentów ytemu informacyjnego (SI), odpowiadających zbiorom A, V, O, T, P, S, DP, DI oraz M, W gdzie: M i W ą macierzami i wagami redukującymi przyczyny powtania zagrożeń, kutki zagrożeń oraz ryzyka. W zbiorze r min, rmax N, gdzie N jet zbiorem liczb naturalnych, zdefiniowano natępujące pomocnicze funkcje: * * * value A : A - przypiuje danemu zaobowi a A wartości trzech podtawowych parametrów bezpieczeńtwa: CIA (Confidentiality, Integrity, Availability) value V : V - przypiuje danej podatności v V wartości trzech parametrów AEV (Accident, Error, Voluntary). Dla value, value zbiór * null, gdzie A V * null jet wartością neutralną, która oznacza, że ze względu na to, iż określony argument funkcji nie poiada określonej cechy, to nie można mu przypiać żadnej wartości. value T : T - przypiuje dane zagrożenie t T wartości t value DP : DP S N - przypiuje dany środek redukujący przyczyny powtania zagrożenia wartości d p d p DP value DI : DI S N - przypiuje dany środek redukujący kutek powtania zagrożenia d i DI wartości d i a Dodatkowo, w celu określenia wag ryzyka W, dla każdego cenariuza zagrożeń przyporządkowanego zaobowi a predefiniowano poniżze macierze: macierz redukcji przyczyny M pot n nn, która uzależnia deklarowaną wagę środków redukujących przyczyny powtania zagrożenia Wpot [ i, j, k] od CM, j (dla określonego j=dp 1,..., dp n DP ) oraz wartości podatności value V v, macierz redukcji kutku Mimp n n n, która uzależnia deklarowaną wagę środków redukujących kutki zagrożenia W imp [ i, j, k] od CM, j (dla określonego j=di 1,..., value A a, di ) oraz wartości zaobu n DI, a macierz ryzyka M nn, która uzależnia deklarowaną, wagę ryzyka W a [ i, j] od wagi W pot wyznaczonej z macierzy z macierzy M pot M imp n nn oraz od wagi W imp wyznaczonej n nn. PRZEGLĄD ELEKTROTECHNICZNY, ISSN , R. 91 NR 11/
3 CM, j jet ważoną wartością środka redukującego przyczyny powtania zagrożenia lub redukującego kutki tego zagrożenia. Poniżze równanie przedtawia poób obliczania CM, j : (9) R i Pi CM, j ( r r ) r 0. 5 max min min Pi gdzie: j DP DI zatoowany środek zaradczy, x - oznacza operację zaokrąglania wyniku x w dół do liczby należącej do zbioru (do kreu dolnego liczby x w tym zbiorze), R i odpowiedź na zadane pytanie audytowe (wartość 1 lub 0), P value j,, nor i X i wartość przypiana i-temu pytaniu, przy czym X = DP lub DI; wartość ta zależy od określonego typu środka zaradczego j, cenariuza oraz numeru pytania no(r i ) powiązanego z odpowiedzią R i. Wagi zdefiniowanych macierzy M pot, M imp a i M, uzależniono od krytyczności proceów bizneowych w danej organizacji. Krytyczność proceu zależeć będzie od wartości podatności value V v, zaobów value A a oraz kuteczności implementowanych środków redukujących przyczyny powtania zagrożenia DP ( dp : 1,..., ndp ) i jego kutek DI ( dp t : t 1,..., ndi ). Dla tak określonych macierzy wyznaczano dodatkowo także poniżze zbiory macierzy: (10) M pot { M } : (, dp) DP pot dpdp (11) M imp { M } : (, di) DI imp. didi (12) M, a { M } ( a, ) AS Przedtawiony powyżej krócony opi modelu nazywany jako FoMRA(1) uwzględnia podtawowe wymagania ISO/IEC 27005: Zarządzania ryzykiem w bezpieczeńtwie informacji. Model FoMRA(1) umożliwia w pełni zacować ryzyka. Potępowania z ryzykiem Kolejną modyfikacją modelu FoMRA(1), zapewniającą jego nową funkcjonalność jet zgodność z wymaganiami ISO/IEC (potępowanie z ryzykiem) [18]. Szacowanie ryzyka odbywa ię według tandardowego proceu opianego wyżej i polega na porównaniu zacunkowej wielkości ryzyka z przyjętymi przez organizację kryteriami. Określają one, czy i na ile dane ryzyko jet dla organizacji itotne, czy należy je przyjąć i jakie działania względem niego podjąć. W przypadku uzykania wyniku, który nie pełnia (częściowo lub w pełni) kryteriów organizacji mogą być wdrożone poniżze procey potępowania z ryzykiem: ograniczenie ryzyka podejmowanie działań, które mają na celu zmniejzenie prawdopodobieńtwa powtania zagrożenia i/lub kutku tej zagrożenia lub obydwu, związanych z ryzykiem (np. zatoowanie odpowiednich zabezpieczeń), akceptowanie ryzyka przyjęcie powtałych trat wynikających z określonego ryzyka (np. zaakceptować ryzyka takiego, jakie jet, ponieważ jego prawdopodobieńtwo i konekwencje ą wytarczająco nikie lub średnio nikie), unikanie ryzyka niedopuzczanie do działań, które mogłyby powodować wytąpienie ryzyka, przenieienie ryzyka dzielenie trat z tytułu powtałego ryzyka ze trzecią troną (np. ubezpieczenie przed konekwencjami ryzyka). Decyzja o wyborze określonej czynności (wdrożenia określonego proceu) jet na ogół oparta na zacowaniu koztów między ryzykiem a potępowaniem z ryzykiem. W proponowanym rozwiązaniu możemy ograniczyć ryzyko na kilka różnych poobów (według oceny możliwości organizacji w kontekście ich zaobów i aktywów): wybór cenariuzy S, które podlegają ograniczeniu w odnieieniu do zabezpieczeń przyporządkowanych do nich (zabezpieczenia te ą podzbiorami świadczonych uług w potaci środków CM, j (dla określonego j=dp 1,..., dp n DP redukujących przyczyny (np. zniechęcających czy zapobiegawczych), i/lub j=di 1,..., di n DI redukującego kutku (ochronnych czy łagodzących)). Ograniczenie takie będzie związane z wdrożeniem nowych zabezpieczeń w miejcu tych zabezpieczeń, które ą niekuteczne lub ich brak, i które ą niezbędne dla działania organizacji, wybór wzytkich działań, które charakteryzują ię najwiękzym kutkiem w danym cenariuzu i tylko one podlegają ograniczeniu (wdrażamy tylko te zabezpieczenia, które mogą nam generować najwiękze traty w ytuacji ich braku), wybór działań poiadających zabezpieczenia według możliwych ponozonych koztów (od najmniejzych do najwiękzych), jeśli organizacja podejmie ię ich unikania, ograniczenia lub np. ich tranferu (zabezpieczenia proceduralno-prawne (CS Control Security), zabezpieczenia peronalno-komunikacyjne (PS Peronel ecurity), zabezpieczenia przętowoprogramowe (SHS Software-Hardware Security). Powyżze pooby ograniczenia ryzyka oraz innych możliwych poobów, w tym akceptacji, i tranferu ryzyka zotały zamodelowane poniżzej (patrz rozdz. 3). Warunki tworzenia algorytmu potępowania z ryzykiem oraz wyniki ekperymentu Podobnie jak w przypadku innych ytemów obliczeniowych, ytemy zarządzania ryzykiem poddawane ą nieutannym modyfikacjom lub udokonaleniom. Zmiany te można podzielić na dwie grupy. Pierwza z nich to różnego rodzaju optymalizacje obliczeń, w tym zmiany koncepcyjne toowanych algorytmów lub ich optymalizacje, czy wręcz praktyczne zatoowanie różnych metod opracowanych dla rozwiązania dowolnego zadania obliczeniowego. Druga to zwiękzanie funkcjonalności ytemu o dodatkowe opcje lub wprowadzenie całkiem nowych możliwości. Poniżej przedtawiono algorytm, który pozwala na taką optymalizację obliczeń, aby uzykać odpowiedni tań zabezpieczeń zaobów bez wpływu na działalność organizacji (np. niezakłócone świadczenie uług): Dane wejściowe algorytmu ą zgodne z danymi wejściowymi modelu FoMRA(1) z natępującymi modyfikacjami: zbiór zaobów A jet uporządkowany w poób natępujący: zaoby ą kolejno indekowane liczbami naturalnymi więkzymi od zera zgodnie z kryteriami bezpieczeńtwa poufności, integralności oraz dotępności, zbiory działań kutkowych przyporządkowanych odpowiednim cenariuzom oraz zaobom ą uporządkowane według dwóch hierarchii, najpierw 188 PRZEGLĄD ELEKTROTECHNICZNY, ISSN , R. 91 NR 11/2015
4 według kryteriów bezpieczeńtwa zaobów: poufności, integralności oraz dotępności, a natępnie zgodnie z kryteriami: działania ochronne i działania łagodzące (jako działania generujące kutek dla organizacji), zbiór działań przyczynowych jet uporządkowany w poób natępujący: działania ą kolejno indekowane liczbami naturalnymi więkzymi od zera zgodnie z kryteriami: działania zniechęcające i zapobiegające. W tych kategoriach touje ię ponadto natępującą hierarchię: działania celowe, awarie oraz błędy. Zaprojektowany algorytm wykonuje ię w dwunatu natępujących fazach: najpierw rozważane ą zabezpieczenia typu CS, potem PS, natępnie ISHS (wybrane ważniejze obiekty typu SHS mające przyporządkowaną wartość Max wymagające pełnienia warunku opianego w CM,j, a na końcu pozotałe SHS (przynależność zmiennych CM,j (dp) oraz CM,j (di)). W każdym z tych przypadków wytępują trzy fazy obliczeń: kolejno dla akceptowanego parametru zabezpieczeń 4, 3 oraz 2 (wartość zmiennej W[i,o]). Wzytkie kroki algorytmu mogą być przerwane na żądania (w każdej chwili możemy tranferować, akceptować czy podjąć dalze czynności mające na celu ograniczenie i/lub unikanie ryzyka). Poniżej na ryunku 2 przedtawiono peudokod algorytmu dla fazy CS z poziomem czwartym. Pozotałe fazy ą analogiczne. Celem jet uzykanie jak najlepzego tanu bezpieczeńtwa opiywanego ytemu. W konekwencji po zakończeniu wzytkich tych faz uzykujemy ryzyko zczątkowe (ryzyko zczątkowe jet otateczne wynikiem uzykanym po podjęciu wzytkich decyzji odnośnie otatecznej oceny tanu ryzyka oraz potępowania z ryzykiem (akceptacje, tranfer, ograniczenia/unikania). 1. for i=1 to n A do 2. for o=1 to n S do 3. cond[i,o] true; 4. while cond[i,o] do 5. if W[i,o]=4 then 6. if WI[i,o]=4 and DI(i,o)= then 7. if DP[i,o]= then cond[i,o] fale 8. ele 9. if WP[i,o]=4 then 10. X DP(i,o); 11. while X do 12. if dpx then 13. if val(cm(dp))=0 and CM(dp)CS then 14. val(cm(dp)) 1; 15. comp(wp[i,o]); 16. if WP[i,o]=4then goto ele 18. comp(w[i,o]); 19 cond[i,o] fale 20. endif; 21. endif; 22. X X\{dp}; 23. endwhile 24 ele 25. if WP[i,o]{2,3} then goto endif; 27. if WP[i,o]=1 then comp W[i,o] 28. endif; 29. endif; 30. endif; 31. endif; 32. if WI[i,o]=4 and DI(i,o) then 33. X DI(i,o); 34. while X do 35. if dix then 36. if val(cm(di))=0 and CM(di)CS then 37. val(cm) 1; 38. comp(wi[i,o]); 39. if WI[i,o]> 3 then goto 5; 40. endif; 41. if WI[i,o]< 3 then comp(w[i,o]); 42. endif; 43. if W[i,o]< 4 then goto 3; 44. endif; 45. endif; 46. X X\{di}; 47. endwhile 48. endif; 49. endif; 50. endif; 51. endwhile; 52. endfor; 53. endfor. Ry. 2. Algorytm potępowania z ryzykiem dla fazy z CM(dp), CM(di)CS oraz W[i,o]=4 Powyżzy algorytm pełnia wymagania wytycznych normy ISO/IEC odnośnie potępowania z ryzykiem. Uzupełniony o algorytm potępowania z ryzykiem model FoMRA(1) pełnia w pełni wymagania normy odnośnie zacowania i potępowania z ryzykiem. Poniżej (patrz ryunek 3) przedtawiono graficzny przykład zatoowania algorytmu prezentowanego powyżej. Ry. 3. Graficzne realizacja algorytmu potępowania z ryzykiem Wprowadzone modyfikacje formalnej metody zacowania i potępowania z ryzykiem FoMRA(1) wyraźnie pokazały, że itnieje możliwość wprowadzania nowych funkcjonalności, które ą itotne z punktu widzenia praktyki audytora bezpieczeńtwa w branży IT i pozwalają na pełne zautomatyzowanie proceu potępowania z ryzykiem. Najważniejzym oiągnięciem wynikającym z przeprowadzonych modyfikacji, pozwalających na nową funkcjonalność jet zgodność FoMRA(1) z wymaganiami ISO/IEC Rozwiązanie to na dzień dziiejzy jet unikatowe, gdyż żadna z obecnych metod nie charakteryzuje ię automatyzacją działania proceów ograniczając ię tylko do ręcznego terowania tymi proceami. Wnioki Na podtawie wyników badań dotyczących potępowania z ryzykiem wykazano, że itnieje możliwość redukcji ryzyka poprzez tworzenie bazy wiedzy o wzytkich rodzajach zabezpieczeń, umożliwiającej audytorowi podejmowania decyzji związanych z unikaniem/ograniczeniem ryzyka, jego akceptacją lub tranferem ryzyka według kryteriów zdefiniowanych przez organizację (nienarzuconych jak w więkzości modeli PRZEGLĄD ELEKTROTECHNICZNY, ISSN , R. 91 NR 11/
5 bizneowych). Otrzymane wyniki potwierdzają prawidłowość przejętych założeń teoretycznych. Kierunkiem dalzych badań jet przede wzytkim rozwój FoMRA(1) umożliwiający unikania kozto- i czaochłonnych analiz, które muzą być wykonane po wprowadzeniu dowolnych zmian w ytemie LITERATURA [1] Datta, A.: Information Technology Capability, Knowledge Aet and Firm Innovation: A Theoretical Framework for Conceptualizing the Role of Information Technology in Firm Innovation. International Journal of Strategic Information Technology and Application. 2(2011) 9-26 [2] Raduan, C. R., Jegak, U., Halinda, A., Alimin, I.I.: A Conceptual Framework of the Relationhip Between Organizational Reource, Capabilitie, Sytem, Competitive Advantage and Performance. Reearch Journal of International Studie. 12(2009) [3] Van Kleef, J.A.G., Roome, N.J.: Developing capabilitie and competence for utainable buine management a innovation: a reearch agenda. Journal of Cleaner Production. 15(2007) [4] Bhatnagar, A., Ghoe, S.: Segmenting conumer baed on the benefit and rik of Internet hopping. Journal of Buine Reearch. 57 (2004) [5] Byeong-Joon, M.: Conumer adoption of the internet a an information earch and product purchae channel: ome reearch hypothee. Int. J. Internet Marketing and Advertiing. 1(2004) [6] Bumuk, J., Ingoo, H., Sangjae L.: Security threat to Internet: a Korean multi-indutry invetigation. Information & Management. 38(2001) [7] Pothumu, S., Solm, R.: A framework for the governance of information ecurity. Computer & Security. 23(2004) [8] Baker, W. H., Wallace, L.: I Information Security Under Control?: Invetigating Quality in Information Security Management. Security & Privacy, IEEE. 5(2007) [9] Yeh, Q-J., Chang, A., J-T.: Threat and countermeaure for information ytem ecurity: A cro-indutry tudy. Information & Management. 44(2007) [10] Ezingeard, J. N., Bowen, S. M.: Trigger of change in information ecurity management practice. Journal of General Management. 32(2007) [11] Whitman, M. E., Mattord, H.: Principle of Information Security. 3 rd ed., coure technology, Boton, US (2009) [12] Mellado, D., Blanco, C., Sánchez, L. E., Medina, E. F.: A ytematic review of ecurity requirement engineering. Computer Standard & Interface. 32(2010) [13] Méthode Harmoniée d'analye de Rique (MEHARI): Club de la Sécurité de l'information Françai, France (2010) [14] G. Stoneburner, A. Goguen, A. Feringa (2002) NIST Special Publication : Rik Management Guide for Information Technology Sytem. National Intitute of Standard and Technology, Gaitherburg, US [15] Bundeamt für Sicherheit in der Informationtechnik (2008) BSI-Standard 100-2: IT-Grundchutz Methodology, Bonn, Deutche [16] Rik Analyi and Management Method (CRAMM): Central Computing and Telecommunication Agency. United Kingdom (1987) [17] Artur Rot (2008) IT Rik Aement: Quantitative and Qualitative Approach, Proceeding of the Word Congre on Engineering and Computer Science, WCECS 2008, San Francico, USA [18] ISOIEC (2008) Information technology _ Security technique _ Information ecurity rik management. International Organization for Standardization, Genève, Suie [19] EBIOS (2004) Expreion de Beoin et Identification de Objectif de Securite. DCSSI, France [20] El Fray, I., Kurkowki, M., Pejaś, J., Mackow, W.: A New Mathematical Model for Analytical Rik Aement and Prediction in IT Sytem. Control and Cybernetic 41(2012) 1-28 [21] Moeller, R.: IT Audit, Control, and Security. John Wiley & Son, Inc., Hoboken, New Jerey, US (2010) [22] Rik Analyi and Management Method (CRAMM): Central Computing and Telecommunication Agency. United Kingdom (1987) [23] El Fray, I., A comparative tudy of rik aement method, MEHARI & CRAMM with a new formal model of rik aement (FoMRA) in information ytem. Computer Information Sytem and Indutrial Management. Springer Berlin Heidelberg, Autorzy: dr hab. inż. Imed El Fray, Zachodniopomorki Uniwerytet Technologiczny w Szczecinie, Katedra Inżynierii Oprogramowania, ul. Żołnierka 52, Szczecin ielfray@zut.edu.pl; dr hab. inż. Jerzy Pejaś, Zachodniopomorki Uniwerytet Technologiczny w Szczecinie, Katedra Inżynierii Oprogramowania, ul. Żołnierka 52, Szczecin jpeja@zut.edu.pl; dr inż. Tomaz Hyla, Zachodniopomorki Uniwerytet Technologiczny w Szczecinie, Katedra Inżynierii Oprogramowania, ul. Żołnierka 52, Szczecin thyla@zut.edu.pl. 190 PRZEGLĄD ELEKTROTECHNICZNY, ISSN , R. 91 NR 11/2015
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoSzacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów
Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów Prowadzący: Artur Cieślik MBA, IRCA lead auditor ISO/IEC 27001, redaktor naczelny IT Professional
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora
Bardziej szczegółowoKoncepcja zastosowania metody CBR oraz algorytmów genetycznych w systemie obsługującym windykację ubezpieczeniową
Rozdział monografii: 'Bazy Danych: truktury, Algorytmy, Metody', Kozielki., Małyiak B., Kaprowki P., Mrozek D. (red.), WKŁ 2006 Rozdział 40 Koncepca zatoowania metody CBR oraz algorytmów genetycznych w
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoSpis treści. Analiza Ryzyka Instrukcja Użytkowania
Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.
Bardziej szczegółowoBezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Bardziej szczegółowoSpis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania
Listopad 2017 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeo... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy
AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoDZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski
DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Strategia i Polityka Bezpieczeństwa Systemów Informatycznych Wykład Aleksander Poniewierski 1 Plan wykładu Informacja w firmie Bezpieczeństwo w firmie Zarządzanie
Bardziej szczegółowoZarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.
Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r. Anna Jaskulska Kontrola zarządcza jest systemem, który ma sprawić, aby jednostka osiągnęła postawione przed nią cele w sposób
Bardziej szczegółowoWybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa
Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,
Bardziej szczegółowoMaksymalny błąd oszacowania prędkości pojazdów uczestniczących w wypadkach drogowych wyznaczonej różnymi metodami
BIULETYN WAT VOL LV, NR 3, 2006 Makymalny błąd ozacowania prędkości pojazdów uczetniczących w wypadkach drogowych wyznaczonej różnymi metodami BOLESŁAW PANKIEWICZ, STANISŁAW WAŚKO* Wojkowa Akademia Techniczna,
Bardziej szczegółowoZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.
ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...
Bardziej szczegółowoZdrowe podejście do informacji
Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony
Bardziej szczegółowoBAKER TILLY POLAND CONSULTING
BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie
Bardziej szczegółowoDZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Analiza i zarządzanie ryzykiem systemów informatycznych. Wykład. Mirosław Ryba
DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Analiza i zarządzanie ryzykiem systemów informatycznych Wykład Mirosław Ryba 1 Plan wykładu Ryzyko vs. ryzyko systemów informatycznych Podejścia do analizy ryzyka
Bardziej szczegółowoGrzegorz Pieniążek Hubert Szczepaniuk
Grzegorz Pieniążek Hubert Szczepaniuk Ogólny model oceny i analizy ryzyka informacyjnego Metodyki zarządzania ryzykiem w kontekście bezpieczeństwa Wpływ asymetrii informacyjnej na wartość organizacji Istota
Bardziej szczegółowoWPŁYW OSZCZĘDNOŚCI W STRATACH ENERGII NA DOBÓR TRANSFORMATORÓW ROZDZIELCZYCH SN/nn
Elżbieta Niewiedział, Ryzard Niewiedział Wyżza Szkoła Kadr Menedżerkich w Koninie WPŁYW OSZCZĘDNOŚCI W STRATACH ENERGII NA DOBÓR TRANSFORMATORÓW ROZDZIELCZYCH SN/nn Strezczenie: W referacie przedtawiono
Bardziej szczegółowoZarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem
Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoAgenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?
Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO? Maciej Byczkowski European Network Security Institute Agenda Nowy system przepisów dotyczących ochrony danych osobowych
Bardziej szczegółowoRyzyko w Nowoczesnych Systemach Zarządzania
Ryzyko w Nowoczesnych Systemach Zarządzania Joanna Bańkowska Dyrektor Zarządzający BSI Group Polska Copyright 2016 BSI. All rights reserved. 1 WCZEŚNIEJ: Szacowanie ryzyka dla procesów TERAZ: Szacowanie
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoINFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE
INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE wynikająca z art. 111a ustawy Prawo bankowe Stan na 31 grudnia 2015 roku Wyszków, 2016r. Spis treści 1. Opis systemu zarządzania, w tym systemu zarządzania
Bardziej szczegółowoRadca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera
Operacje mogące powodować z dużym prawdopodobieństwem wysokie ryzyko naruszenia praw i wolności osób fizycznych zgodnie z RODO oraz w świetle aktualnych wytycznymi Grupy Roboczej art. 29 ds. Ochrony Danych
Bardziej szczegółowoCel warsztatu: Wypracowanie metod oceny zwrotu z inwestycji i sprzedaży w mediach społecznościowych i technologiach mobilnych
workshops Return on investment (ROI) i Return on sales (ROS) w mediach społecznościowych i technologiach mobilnych. Dedykowany workshop wg metodologii TRUE prowadzi dr Albert Hupa. Cel warsztatu: Wypracowanie
Bardziej szczegółowoRyzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością
Ryzyko w działalności przedsiębiorstw przemysłowych Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością Plan Prezentacji Cel artykułu Dlaczego działalność przemysłowa wiąże się z ryzykiem?
Bardziej szczegółowoZarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.
Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r. w sprawie: Polityki Zarządzania Ryzykiem w Akademii Wychowania Fizycznego Józefa
Bardziej szczegółowoPrzedszkole Nr 30 - Śródmieście
RAPORT OCENA KONTROLI ZARZĄDCZEJ Przedszkole Nr 30 - Śródmieście raport za rok: 2016 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych
Bardziej szczegółowoBezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści
Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, 2017 Spis treści Od Autora 15 1. Wstęp 27 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo
Bardziej szczegółowoZarządzanie relacjami z dostawcami
Zarządzanie relacjami z dostawcami Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK). Certyfikowany audytor systemów
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoCechy charakterystyczne tworzenia oprogramowania w Inżynierii Biomedycznej. Wykładowca Dr inż. Zofia Kruczkiewicz
Cechy charakterystyczne tworzenia oprogramowania w Inżynierii Biomedycznej. Wykładowca Dr inż. Zofia Kruczkiewicz Zofia Kruczkiewicz Wyklad_INP002017_3 1 CMMI (Capability Maturity Model Integration ) -
Bardziej szczegółowoZarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.
Zarządzanie ryzykiem w ochronie informacji niejawnych KSIBIT Warszawa 22 lipca 2014 r. Agenda spotkania Zamiast wstępu Wymagania prawne Zalecenia uzupełniające Pojęcia i terminy Metodyka szacowania ryzyk
Bardziej szczegółowoKwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Bardziej szczegółowoZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku
ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku w sprawie wprowadzenia procedury zarządzania ryzykiem w Urzędzie Miejskim w Pasłęku Na podstawie art. (69 ust. 1 pkt 3 w związku z art.
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoZarządzanie ryzykiem w projektach informatycznych. Marcin Krysiński marcin@krysinski.eu
Zarządzanie ryzykiem w projektach informatycznych Marcin Krysiński marcin@krysinski.eu O czym będziemy mówić? Zarządzanie ryzykiem Co to jest ryzyko Planowanie zarządzania ryzykiem Identyfikacja czynników
Bardziej szczegółowoProcedura zarządzania ryzykiem w Urzędzie Gminy Damasławek
Załącznik nr 3 do Zarządzenia Nr Or. 0152-38/10 Wójta Gminy Damasławek z dnia 31 grudnia 2010 r. Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek celem procedury jest zapewnienie mechanizmów
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM
POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1.1.Ilekroć w dokumencie jest mowa o: 1) ryzyku należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację
Bardziej szczegółowoZarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014
Zarządzanie ryzykiem w rozwiązaniach prawnych by Antoni Jeżowski, 2014 Najbardziej ryzykuje ten, kto lekceważy ryzyko 2 www.mf.gov.pl 3 Ryzyko definicje Ryzyko prawdopodobieństwo, że określone zdarzenie
Bardziej szczegółowoAnaliza stateczności zbocza
Przewodnik Inżyniera Nr 8 Aktualizacja: 02/2016 Analiza tateczności zbocza Program powiązany: Stateczność zbocza Plik powiązany: Demo_manual_08.gt Niniejzy rozdział przedtawia problematykę prawdzania tateczności
Bardziej szczegółowoDwie oceny systemu bezpieczeństwa: ilościowa i jakościowa. Robert Kępczyński Senior Consultant
Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa Robert Kępczyński Senior Consultant Mechanizm bezpieczeństwa zawsze jest kompromisem " Akceptowalne ryzyko Skomplikowanie Dłuższy czas reakcji
Bardziej szczegółowoRegulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu
Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia
Bardziej szczegółowoP O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH
Załącznik do zarządzenia Rektora UJK nr 69/2017 z dnia 30 czerwca 2017 r. P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH 1 Podstawowe definicje
Bardziej szczegółowoZarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.
Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r. w sprawie wprowadzenia i funkcjonowania w Uniwersytecie Kazimierza Wielkiego Systemu zarządzania ryzykiem
Bardziej szczegółowoSKUTECZNOŚĆ ROZDZIELANIA MIESZANINY ZIARNIAKÓW ZBÓŻ I ORZESZKÓW GRYKI W TRYJERZE Z WGŁĘBIENIAMI KIESZONKOWYMI
Inżynieria Rolnicza 6(115)/009 SKUTECZNOŚĆ ROZDZIELANIA MIESZANINY ZIARNIAKÓW ZBÓŻ I ORZESZKÓW GRYKI W TRYJERZE Z WGŁĘBIENIAMI KIESZONKOWYMI Zdziław Kaliniewicz Katedra Mazyn Roboczych i Proceów Separacji,
Bardziej szczegółowoINFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE
INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE wynikająca z art. 111a i 111b ustawy Prawo bankowe Stan na 31 grudnia 2016 roku Wyszków, 2017r. Spis treści Spis treści... 2 1. Opis systemu zarządzania,
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoCOBIT 5 I I N N E S TA N D A R D Y. Sylwia Wystub, CISA, ABCP
COBIT 5 I I N N E S TA N D A R D Y Sylwia Wystub, CISA, ABCP COBIT 5 HISTORIA ROZWOJU Control OBjectices for IT and related solutions Początek prac nad standardem w roku 1992 Najnowsze wydanie standardu,
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoPRELEGENT Przemek Frańczak Członek SIODO
TEMAT WYSTĄPIENIA: Rozporządzenie ws. Krajowych Ram Interoperacyjności standaryzacja realizacji procesów audytu bezpieczeństwa informacji. Określenie zależności pomiędzy RODO a Rozporządzeniem KRI w aspekcie
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoZasady analizy ryzyka w Urzędzie Miasta Leszna
Załącznik nr 3 do Zarządzenia Nr K/592/2015 Prezydenta Miasta Leszna Zasady analizy ryzyka w Urzędzie Miasta Leszna Obszar poddawany kontroli zarządczej to wszelkie działania i procesy związane z realizacją
Bardziej szczegółowo1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w
Obowiązki administratora według RODO... 1 Krok 1. Przygotowanie harmonogramu zmian... 2 Wskazanie kategorii osób, których dane są przetwarzane... 2 Weryfikacja, czy dane są przetwarzane zgodnie z RODO...
Bardziej szczegółowoPolityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu
Załącznik nr do zarządzenia nr 156 Rektora UMK z 15 listopada 011r. Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu 1 1. Polityka zarządzania ryzykiem, zwana dalej Polityką,
Bardziej szczegółowoSKZ System Kontroli Zarządczej
SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z
Bardziej szczegółowo1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?
PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy
Bardziej szczegółowoAnaliza Ryzyka - wytyczne ISO/IEC TR 13335
Analiza Ryzyka - wytyczne ISO/IEC TR 13335 Andrzej Zoła 21 listopada 2003 Spis treści 1 Czym jest ISO/IEC TR 13335 2 2 Zarzadzanie bezpieczeństwem systemów informatycznych 2 3 Zarządzanie ryzykiem 3 4
Bardziej szczegółowoSzkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów
RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi
Bardziej szczegółowoAudyt systemów informatycznych w świetle standardów ISACA
Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoMSF. Microsoft Solution Framework
MSF Microsoft Solution Framework MSF a PMI PMI - metodyka podobna dla każdego rodzaju projektów MSF metodyka przeznaczona dla projektów informatycznych mająca cechy PMI MSF metodyka utworzona na podstawie
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM
Załącznik nr 3 do Zarządzenia Dyrektora Nr 6/2011 z dnia 14.12.2011 POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM POLITYKA ZARZĄDZANIA RYZYKIEM 1.1.Ilekroć w dokumencie jest
Bardziej szczegółowoKlaster sposób na lepszą współpracę przedsiębiorstw
Klater poób na lepzą wpółpracę przediębiortw Tworzenie klatrów w Polce od niedawna tało ię tematem modnym. Jako innowacyjne przedięwzięcie idea taka daje możliwość dofinanowania ze środków Unii Europejkiej.
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoZAŁĄCZNIK SPROSTOWANIE
ZAŁĄCZNIK SPROSTOWANIE do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
Bardziej szczegółowoKryteria oceny Systemu Kontroli Zarządczej
Załącznik nr 2 do Zasad kontroli zarządczej w gminnych jednostkach organizacyjnych oraz zobowiązania kierowników tych jednostek do ich stosowania Kryteria oceny Systemu Kontroli Zarządczej Ocena Środowisko
Bardziej szczegółowoINSTYTUT ENERGOELEKTRYKI POLITECHNIKI WROCŁAWSKIEJ Raport serii SPRAWOZDANIA Nr LABORATORIUM TEORII I TEHCNIKI STEROWANIA INSTRUKCJA LABORATORYJNA
Na prawach rękopiu do użytku łużbowego INSTYTUT ENEROELEKTRYKI POLITECHNIKI WROCŁAWSKIEJ Raport erii SPRAWOZDANIA Nr LABORATORIUM TEORII I TEHCNIKI STEROWANIA INSTRUKCJA LABORATORYJNA ĆWICZENIE Nr SPOSOBY
Bardziej szczegółowoINFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE
INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE wynikająca z art. 111a i 111b ustawy Prawo bankowe Stan na 31 grudnia 2017 roku Wyszków, 2018r. Spis treści Spis treści... 2 1. Opis systemu zarządzania,
Bardziej szczegółowoOgraniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO
Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO adwokat Krzysztof Muciak Kobylańska & Lewoszewski Kancelaria
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoJak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia
Bardziej szczegółowoWarszawa, dnia 15 stycznia 2014 r. Poz. 3
Warszawa, dnia 15 stycznia 2014 r. Poz. 3 DECYZJA NR 5 KOMENDANTA GŁÓWNEGO PAŃSTWOWEJ STRAŻY POŻARNEJ z dnia 15 stycznia 2014 r. w sprawie wprowadzenia Polityki zarządzania ryzykiem w Komendzie Głównej
Bardziej szczegółowoProjekty BPM z perspektywy analityka biznesowego. Wrocław, 20 stycznia 2011
Projekty BPM z perspektywy analityka biznesowego Wrocław, 20 stycznia 2011 Agenda Definicja pojęć: Analiza biznesowa oraz analityk biznesowy Co kryje się za hasłem BPM? Organizacja zarządzana procesowo
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoRyzyko w świetle nowych norm ISO 9001:2015 i 14001:2015
Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015 Rafał Śmiłowski_04.2016 Harmonogram zmian 2 Najważniejsze zmiany oraz obszary Przywództwo Większy nacisk na top menedżerów do udziału w systemie
Bardziej szczegółowoProcedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku
Załącznik Nr 1 do Zarządzenia Nr A-0220-25/11 z dnia 20 czerwca 2011 r. zmieniony Zarządzeniem Nr A-0220-43/12 z dnia 12 października 2012 r. Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeostwie IT
Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005
Bardziej szczegółowoINFORMACJA BANKU SPÓŁDZIELCZEGO KRASNOSIELCU Z SIEDZIBĄ W MAKOWIE MAZOWIECKIM
BANK SPÓŁDZIELCZY W KRASNOSIELCU z siedzibą w Makowie Mazowieckim INFORMACJA BANKU SPÓŁDZIELCZEGO KRASNOSIELCU Z SIEDZIBĄ W MAKOWIE MAZOWIECKIM wynikająca z art. 111a i 111b ustawy Prawo bankowe Stan na
Bardziej szczegółowoPodstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych
Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska
Bardziej szczegółowoSYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU
P OLITECHNIK A W AR S Z AWSKA FILIA W PŁOCKU ul. Łukasiewicza 17, 09-400 Płock SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU Opracowano na podstawie załącznika do
Bardziej szczegółowoZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI
ZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI XVIII Forum Teleinformatyki mgr inż. Michał BIJATA, doktorant, Wydział Cybernetyki WAT Michal.Bijata@WAT.edu.pl, Michal@Bijata.com 28 września 2012 AGENDA Architektura
Bardziej szczegółowoZasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie
Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie 1. Kontrola zarządcza w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie, zwanym dalej zespołem, to ogół działań podejmowanych
Bardziej szczegółowoRegulamin zarządzania ryzykiem. Założenia ogólne
Załącznik nr 1 do Zarządzenia Nr 14/2018 dyrektora Zespołu Obsługi Oświaty i Wychowania w Kędzierzynie-Koźlu z dnia 29.11.2018r. Regulamin zarządzania ryzykiem 1 Założenia ogólne 1. Regulamin zarządzania
Bardziej szczegółowoWyznaczanie minimalnej odważki jako element kwalifikacji operacyjnej procesu walidacji dla wagi analitycznej.
Wyznaczanie minimalnej odważki jako element kwalifikacji operacyjnej procesu walidacji dla wagi analitycznej. Andrzej Hantz Dyrektor Centrum Metrologii RADWAG Wagi Elektroniczne Pomiary w laboratorium
Bardziej szczegółowoPolityka Zarządzania Ryzykiem
Polityka Zarządzania Ryzykiem Spis treści 1. Wprowadzenie 3 2. Cel 3 3. Zakres wewnętrzny 3 4. Identyfikacja Ryzyka 4 5. Analiza ryzyka 4 6. Reakcja na ryzyko 4 7. Mechanizmy kontroli 4 8. Nadzór 5 9.
Bardziej szczegółowoTomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o.
Rola Zintegrowanego Zarządzania Ryzykiem w organizacji Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o. Agenda 1. Ryzyko
Bardziej szczegółowo