Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Transkrypt

1 Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski

2 Podstawy organizacji systemów zarządzania bezpieczeństwem informacji Zawartość prezentacji: Myśl przewodnia Cel i zakres pracy Metodyki i wzorce Opracowane dokumenty, procedury Podsumowanie i dalsze działania

3 Bezpieczeństwo to nie produkt to proces B.Schneier Bezpieczeństwo w firmie to kwestia równowagi. Zbyt mało zabezpieczeń pozostawia firmę w zagrożeniu, a zbyt dużo przeszkadza w prowadzeniu działalności K.Mitnick Czynnik ludzki jest piętą achillesową systemów bezpieczeństwa K.Mitnick

4 Cel i Zakres pracy. Cel podstawowy: Stworzenie wytycznych oraz wzorców dokumentów dla Systemu Zarządzania Bezpieczeństwem informacji zgodnie z przepisami prawa, wytycznymi międzynarodowych organizacji standaryzujących oraz wewnętrznymi potrzebami organizacji.

5 Cel i zakres pracy podstawowa charakterystyka Charakterystyka działalności biznesowej - zależności pomiędzy bezpieczeństwem informacji, a celami biznesowymi. Identyfikacja struktur organizacyjnych firmy, metody tworzenia zależności między poszczególnymi składowymi procesu biznesowego. Metodologia Polityki Bezpieczeństwa w organizacji biznesowej - przegląd dokumentów. Aspekty symulacji procesu wdrażania polityk bezpieczeństwa związane z czynnikami mającymi wpływ na skuteczność przeprowadzanych zmian procesowych oraz dalszą efektywność podjętych działań.

6 Zakres pracy - Charakterystyka działalności biznesowej - zależności pomiędzy bezpieczeństwem informacji, a celami biznesowymi. Misja biznesu Analiza SWOT CEL Budow. strategii Formuł. planu Wdrażanie Info. kontrola Misja biznesu - know how organizacji Analiza SWOT/PEST - dokonujemy analizy szans i zagrożeń, sił politycznych, ekonomicznych, czynników kulturowych i technologicznych, macierz RACI Określenie celu - cele biznesowe, priorytety Budowanie strategii - wyznaczenie kluczowych czynników sukcesu, ustalenie norm, ustalenie zakresu odpowiedzialności i obiegu informacji Formułowanie planu - sformalizowanie strategii, nadanie ram czasowych, określenie kamieni milowych (milestones) Wdrażanie - implementacja zakładanego planu Informacja zwrotna i kontrola weryfikacja procesu implementacji, ustalenie przyczyn ew. porażek, implementacja planu naprawczego

7 Zakres pracy - Charakterystyka działalności biznesowej - zależności pomiędzy bezpieczeństwem informacji, a celami biznesowymi - 2 Informacja Proces informacji zwrotnej Analiza czynników ryzyka Wdrożenie Identyfikacja zagrożeń Plan wdrożenia ustalonej normy Plan polityki naprawczej

8 Zakres pracy Identyfikacja struktur organizacyjnych firmy KTO & CO ROBI & W JAKI SPOSÓB: Jakie jest nasze stanowisko w organizacji? Jaki jest nasz zakres odpowiedzialności/obowiązków? Komu podlegamy, kto podlega nam? Kto nas zastępuje i w jakim zakresie? Jakie procedury wiążą się z naszą pracą? Jak a dokumentacja wiąże się z naszą pracą?

9 Cel i zakres pracy - krótkie podsumowanie Przegląd i analiza działalności biznesowej organizacji: opracowanie podstawowej charakterystyki firmy zidentyfikowanie struktur organizacyjnych opracowanie podstawowych analiz i modeli biznesowych Stworzenie podstaw dla zastosowania metodologii i wzorców dokumentów.

10 Zastosowana metodyka - przegląd dokumentów. Wzorce dokumentów: Normy ISO/IEC ogłoszona 14 października 2005 r. na podstawie brytyjskiego standardu BS ; w Polsce opublikowana 4 stycznia 2007r. jako PN-ISO/IEC 27001:2007 Normy ISO/IEC 17799:2005 od 6 lipca 2007 znana jako ISO/IEC 27002:2005; w Polsce występuje pod numerem referencyjnym PN- ISO/IEC 17799:2007 Standardów COBIT (Control Objectives for Information and related Technology) - standard opracowany przez ISACA oraz IT Governance Institute, jako zbiór dobrych praktyk z zakresu IT Governance. UODO Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tj. Dz. U. z 2002r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004r. Nr 25, poz. 219 i Nr 33, poz.285)

11 Opracowane dokumenty i wzorce - Metodologia Polityki Bezpieczeństwa w kontekście organizacji biznesowej. Wzorce dokumentów w organizacji: Dokument analizy SOA Dokument analizy SWOT Dokument analizy PEST Dokument Polityki Bezpieczeństwa Systemów Informacyjnych Deklaracja prezesa zarządu Znaczenie bezpieczeństwa informacji Definicja bezpieczeństwa informacji Cele i strategie bezpieczeństwa firmy Informacje przetwarzane przez system informacyjny i informatyczny Systemy zarządzania bezpieczeństwem informacji Struktura dokumentów polityki bezpieczeństwa systemu informacyjnego Zakres stosowania polityki bezpieczeństwa systemu informacyjnego Podstawy prawne Zakres rozpowszechniania Wzór dokumentu oświadczenia pracownika

12 Opracowane dokumenty i wzorce - Metodologia Polityki Bezpieczeństwa w kontekście organizacji biznesowej. Wzorce dokumentów w organizacji: Dokument Ról i Odpowiedzialności Użytkowników Systemu Dokument Klasyfikacji Informacji Dokument Inwentaryzacji Aktywów Dokumenty procedur Wzory dokumentów zgodnych z procedurami Dokument Metodologii Szacowania Ryzyka Dokument Analizy Ryzyka

13 Podsumowanie i dalsze działania. Podsumowanie: Opracowane wzorce i dokumenty polityki bezpieczeństwa stanowią podstawę dla rozwoju i dalszego kształtowania procesów bezpieczeństwa organizacji. Propozycje rozwoju: Wprowadzenie cyklicznych audytów bezpieczeństwa i ustanowienie zespołu odpowiedzialnego za aktualizacji i archiwizację dokumentów polityki BSI. Wprowadzenie jednolitej metodologii zgodnej z przyjętymi w polityce BSI normami bezpieczeństwa: np. ITIL Zastosowanie narzędzi monitorujących poziom bezpieczeństwa np. stron internetowych, platform serwerowych Stworzenie procedur, polityk i procesów obejmujących działania DRP - Disaster Recovery Protocol

14 Dziękuję.