ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006



Podobne dokumenty
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Promotor: dr inż. Krzysztof Różanowski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ISO bezpieczeństwo informacji w organizacji

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Marcin Soczko. Agenda

Normalizacja dla bezpieczeństwa informacyjnego

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

I. O P I S S Z K O L E N I A

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Krzysztof Świtała WPiA UKSW

SZCZEGÓŁOWY HARMONOGRAM KURSU

Szkolenie otwarte 2016 r.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

HARMONOGRAM SZKOLENIA

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Maciej Byczkowski ENSI 2017 ENSI 2017

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

BAKER TILLY POLAND CONSULTING

Szczegółowy opis przedmiotu zamówienia:

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

Standard ISO 9001:2015

ISO 9001:2015 przegląd wymagań

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Reforma ochrony danych osobowych RODO/GDPR

Imed El Fray Włodzimierz Chocianowicz

SPIS TREŚCI SPIS TREŚCI Postanowienia ogólne Zastosowanie POWOŁANIA NORMATYWNE TERMINY I DEFINICJE SYSTEM ZA

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

ISO w Banku Spółdzielczym - od decyzji do realizacji

PARTNER.

Bezpieczeństwo systemów informacyjnych

PRELEGENT Przemek Frańczak Członek SIODO

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Świadomy Podatnik projekt Rady Podatkowej PKPP Lewiatan.

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Bezpieczeństwo informacji. jak i co chronimy

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

13. Zarządzanie incydentami w zakresie bezpieczeństwa informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości

Amatorski Klub Sportowy Wybiegani Polkowice

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Normy ISO serii Normy ISO serii Tomasz Greber ( dr inż. Tomasz Greber.

POLITYKA E-BEZPIECZEŃSTWA

Zarządzanie ryzykiem w bezpieczeostwie IT

Bezpieczeństwo systemów informacyjnych

Czy wszystko jest jasne??? Janusz Czauderna Tel

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Certified IT Manager Training (CITM ) Dni: 3. Opis:

REKOMENDACJA D Rok PO Rok PRZED

Szczegółowe informacje o kursach

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Opis przedmiotu zamówienia

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Zarządzanie bezpieczeństwem i higieną pracy wg. normy ISO 45001

Program Kontroli Jakości Bezpieczeństwa Informacji

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Bezpieczeństwo danych w sieciach elektroenergetycznych

CERTYFIKACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI ISMS Z WYKORZYSTANIEM KOMPUTEROWO WSPOMAGANYCH TECHNIK AUDITOWANIA CAAT

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Transkrypt:

ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006

Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

Liczba incydentów Procent firm deklarujących wystąpienie incydentów % 60 50 40 30 36 36 46 56 51 2002 2004 2005 20 23 10 0 12 14 10 4 5 3 1 2 1 0 1-9 10-49 50-499 >500 Liczba incydentów Źródło: CSO 2005

Główne typy ataków Pięć głównych typów ataku Złośliwy kod 59% Inny 26% Nieautoryzowane wejście Przeciążenie serwera poczty 21% 25% Nielegalne dane i dokumenty 15% 0% 10% 20% 30% 40% 50% 60% 70% Źródło: CSO 2005

Główne kierunki ataków Pięć głównych kierunków ataku E-mail z wirusem 68% Znana luka w systemie operacyjnym 26% Nadużycie uprawnień 21% Inne 19% Znana luka w programowaniu 16% 0% 10% 20% 30% 40% 50% 60% 70% 80% Źródło: CSO 2005

Główne źródła ataków Pięć głównych źródeł ataku Hakerzy 63% Pracownicy 33% Inne 25% Byli pracownicy 20% Klienci 11% 0% 10% 20% 30% 40% 50% 60% 70% Źródło: CSO 2005

Skąd firma dowiedziała się o ataku? Skąd firma dowiedziała się o ataku Firewall, plik Log, IDS 50% Ostrzeżenie od kolegi 39% Uszkodzenia materialne lub danych 21% Alarm od klienta Ostrzeżenie od dostawcy usług 11% 14% 0% 10% 20% 30% 40% 50% 60% Źródło: CSO 2005

Kto został poinformowany o ataku W rezultacie ataku skontaktowałem się z: Nikim 55% Klientami 16% Partnerami/dostawcami 14% Konsultantami 12% 0% 10% 20% 30% 40% 50% 60% Źródło: CSO 2005

Bezpieczeństwo w praktyce Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ. Nie ma pewności, że dane podatników w urzędach skarbowych są całkowicie bezpieczne cytat Wojewódzkiego Sądu Administracyjnego w Warszawie. Na śmietniku znaleziono dokumenty z informacjami o osobach, które pobierały zasiłki (500 nazwisk, PESEL, adresy zamieszkania).

Bezpieczeństwo w praktyce Sprzedali mu nasze konta Poufne dane z Banku Millennium znalazły się na wysypisku. Bankowcy są zszokowani tą informacją. To jak mają czuć się klienci? Tysiąc numerów kart płatniczych, dane osobowe, faktury, informacje o kontach i niemal tysiąc listów od klientów Banku Millennium, wylądowało na złomowisku. Wszystko to zawierał twardy dysk komputera, który trafił przypadkiem do mieszkańca Gdańska. Super Express, 17 lutego 2005

Konieczność ochrony informacji Konieczność uchronienia się przed utratą reputacji, odpowiedzialnością karną czy koniecznością zapłaty kar finansowych spowodowanych przez przypadkowe oraz umyślne naruszenia bezpieczeństwa. Zagrożenia związane z coraz to nowymi zastosowaniami systemów informatycznych, przetwarzających coraz więcej informacji. Niska świadomość pracowników dotycząca zagrożeń. Stworzenie struktury zarządzania gwarantującej monitorowanie stanu bezpieczeństwa i reagującej na zmieniające się uwarunkowania w tym zakresie. Określenie odpowiedzialności związanych z bezpieczeństwem informacji. Aspekt marketingowy najlepsi inwestują w bezpieczeństwo.

Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

Historia standardów 1993 BS PD0003:1993 WYTYCZNE WYMAGANIA 1995 BS 7799-1:1995 1998 1999 BS 7799-2:1998 BS 7799-1:1999 BS 7799-2:1999 Standardy: Polskie Brytyjskie Międzynarodowe 2000 2002 2003 2005 2007 ISO/IEC 17799:2000 BS 7799-1:2002 PN-ISO 17799:2003 ISO/IEC 17799:2005 BS 7799-2:2002 PN-I-07799-2:2005 ISO/IEC 27001:2005 Rodzina standardów ISO/IEC 27000

ISO/IEC 27001 a ISO/IEC 17799 Norma ISO/IEC 27001 służy do certyfikacji Norma ISO/IEC 17799 jest kodeksem, zawiera wytyczne, a nie wymagania Wymagania Wytyczne System zarządzania bezpieczeństwem informacji

Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

Norma ISO/IEC 27001:2005 Mając na uwadze postępujący rozwój na rynku bezpieczeństwa informacji organizacja ISO (International Organization for Standardization) w listopadzie ubiegłego roku zakończyła prace nad nową normą, której zamierzeniem jest zapewnienie bezpieczeństwa informacji we wszystkich jego aspektach. Norma ta wprowadza udoskonalenia w stosunku do poprzednio obowiązującego standardu, czyli normy BS 7799-2:2002.

Zmiany wprowadzone w ISO/IEC 27001:2005 Wymagania dotyczące zarządzaniu incydentami bezpieczeństwa zebrano w jeden nowy punkt normy. Rozszerzone zostały kwestie dotyczące identyfikacji sprzętu w sieciach, jak również zarządzania i nadzoru nad technicznymi podatnościami. Dodano kryteria oceny nowych technologii takich jak: transakcje on-line, mobilny kod.

Zmiany wprowadzone w ISO/IEC 27001:2005 Wprowadzono wymaganie dotyczące pomiaru skuteczności wdrożonych zabezpieczeń. Wprowadzono wymaganie ukierunkowania planów ciągłości działania na aspekt bezpieczeństwa informacji. Rozszerzone zostały kwestie dotyczące między innymi bezpieczeństwa w kontaktach z klientami.

Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

Systemowe podejście do bezpieczeństwa informacji Ludzie Bezpieczeństwo osobowe Usługi Bezpieczeństwo fizyczne ISO 27001 Bezpieczeństwo informatyczne Informacje Bezpieczeństwo prawne Technologia

Norma ISO/IEC 27001:2005 Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań. Pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Szczególny nacisk położony jest na zarządzanie ryzykiem utraty ważnych informacji. Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing.

Zarządzanie ryzykiem Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najważniejszych informacji organizacji. OCENA RYZYKA UTRATY INFORMACJI OPRACOWANIE PLANU MINIMALIZACJI RYZYKA MONITOROWANIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI WDROŻENIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI

ISO/IEC 27001 Spis treści Wymagania 0 Wstęp 1 Zakres normy 2 Odwołania normatywne 3 Terminy i definicje 4 System zarządzania bezpieczeństwem informacji 5 Odpowiedzialność kierownictwa 6 Audyty wewnętrzne 7 Przegląd kierownictwa SZBI 8 Udoskonalanie SZBI 9 Załącznik A (ISO/IEC 17799) ISO/IEC 27001

ISO/IEC 27001 Spis treści ISO/IEC 27001 1. Polityka bezpieczeństwa 2. Organizacja bezpieczeństwa 3. Klasyfikacja i kontrola zasobów 4. Bezpieczeństwo osobowe Wymagania 5. Zarządzanie systemami i sieciami 6. Bezpieczeństwo fizyczne i środowiskowe 7. Kontrola dostępu do systemu 8. Pozyskiwanie, rozwój i utrzymanie systemu 9. Zarządzanie incydentami bezpieczeństwa 10. Zarządzanie ciągłością działania 11. Zgodność z wymaganiami prawa i własnymi standardami A.5 Polityka bezpieczeństwa A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.8 Bezpieczeństwo osobowe A.9 Bezpieczeństwo fizyczne i środowiskowe A.10 Zarządzanie systemami i sieciami A.11 Kontrola dostępu do systemów A.12 Pozyskanie, rozwój i utrzymanie systemów A.13 Zarządzanie incydentami bezpieczeństwa A.14 Zarządzanie ciągłością działania A.15 Zgodność (z wymaganiami prawa i własnymi standardami)

ISO/IEC 27001 wymagania Wymagania dotyczące ce dokumentacji Zakres dokumentacji SZBI Polityka Bezpieczeństwa Informacji Zakres SZBI Raport z procesu szacowania ryzyka Plan minimalizacji ryzyka Udokumentowane procedury służące eksploatacji SZBI Metodyka szacowania skuteczności wdrożonych zabezpieczeń Zapisy wymagane przez normę Deklaracja stosowania Nadzór nad dokumentami Nadzór nad zapisami

ISO/IEC 27001 wymagania Odpowiedzialność kierownictwa Zaangażowanie kierownictwa Zapewnienie zasobów Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo Szkolenia i uświadamianie pracowników

ISO/IEC 27001 wymagania Audyty wewnętrzne SZBI Badające spełnienie wymagań prawnych i normy Badające spełnienie wymagań SZBI Udokumentowane Przeprowadzane planowo

ISO/IEC 27001 wymagania Przegląd d SZBI realizowany przez kierownictwo Przeprowadzane planowo Zapewniające stosowność, adekwatność i efektywność SZBI Udokumentowane Dane wejściowe przeglądu Dane wyjściowe przeglądu

ISO/IEC 27001 wymagania Doskonalenie SZBI Ciągłe doskonalenie Działania korygujące Działania prewencyjne

ISO/IEC 27001 wymagania A.5 Polityka bezpieczeństwa Polityka bezpieczeństwa informacji Ukazanie wsparcia kierownictwa dla bezpieczeństwa informacji.

ISO/IEC 27001 wymagania A.6 Organizacja bezpieczeństwa informacji Infrastruktura wewnątrz organizacji Określenie odpowiedzialności i zasad zarządzania bezpieczeństwem informacji. Strony trzecie Ryzyka związane z dostępem stron trzecich do aktywów organizacji.

ISO/IEC 27001 wymagania A.7 Zarządzanie aktywami Odpowiedzialność za aktywa Określenie odpowiedzialności za aktywa organizacji. Klasyfikacja informacji Zdefiniowanie klasyfikacji informacji i określenie właściwych poziomów ochrony.

ISO/IEC 27001 wymagania A.8 Bezpieczeństwo osobowe Bezpieczeństwo procesu rekrutacji Zapewnienie bezpieczeństwa procesu rekrutacji (określenie odpowiedzialności, przypisanie ról, redukcja ryzyka kradzieży, oszustwa lub nadużycia). Obsługa zatrudnienia Kreowanie świadomości pracowników w odniesieniu do zagrożeń dla informacji organizacji, odpowiedzialności i obowiązków. Derekrutacja lub ruchy kadrowe Zapewnienie prawidłowości procesu derekrutacji (odpowiedzialności za derekrutację, zwrot aktywów, odebranie praw dostępu).

ISO/IEC 27001 wymagania A.9 Bezpieczeństwo fizyczne i środowiskowe Obszary bezpieczne Zapobieganie nieautoryzowanemu wtargnięciu lub zakłóceniu działania organizacji. Bezpieczeństwo wyposażenia Zapobieganie utracie, uszkodzeniu, kradzieży wyposażenia.

ISO/IEC 27001 wymagania A.10 Zarządzanie systemami i sieciami Procedury operacyjne i odpowiedzialność Zapewnienie bezpieczeństwa dla działania urządzeń przetwarzających informacje. Zarządzanie realizacją usług przez strony trzecie Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie. Planowanie systemu i akceptacja Minimalizowanie ryzyka wystąpienia awarii systemu.

ISO/IEC 27001 wymagania A.10 Zarządzanie systemami i sieciami c.d. Ochrona przed złośliwym oprogramowaniem Zapewnienie integralności oprogramowania i informacji. Kopie zapasowe Zapewnienie integralności i dostępności informacji oraz zabezpieczenie miejsc ich przetwarzania. Zarządzanie bezpieczeństwem sieciowym Zapewnienie bezpieczeństwa informacji w sieci teleinformatycznej.

ISO/IEC 27001 wymagania A.10 Zarządzanie systemami i sieciami c.d. Bezpieczeństwo nośników informacji Zapobieganie nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu informacji zawartych na nośnikach. Wymiana informacji Zapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na zewnątrz organizacji. Usługi handlu elektronicznego Zapewnienie bezpieczeństwa usług handlu elektronicznego. Monitorowanie użycia systemów Zapewnienie możliwości wykrycia nieuprawnionego przetwarzania informacji.

ISO/IEC 27001 wymagania A.11 Kontrola dostępu do systemów Wymagania biznesowe w dostępie do informacji Określenie polityki kontroli dostępu do informacji. Zarządzanie dostępem użytkowników Zapewnienie kontroli dostępu do systemów informacyjnych. Odpowiedzialność użytkowników Zapobieganie nieuprawnionemu dostępowi do informacji i systemów informacyjnych, jak również ich zniszczeniu, modyfikacji oraz kradzieży.

ISO/IEC 27001 wymagania A.11 Kontrola dostępu do systemów w c.d. Kontrola dostępu do sieci Zapobieganie nieuprawnionemu dostępowi do usług sieciowych. Kontrola dostępu do systemów operacyjnych Zapobieganie nieuprawnionemu dostępowi do systemów operacyjnych. Kontrola dostępu do aplikacji i informacji Zapobieganie nieuprawnionemu dostępowi do aplikacji i zawartych w nich informacji. Stosowanie komputerów przenośnych i praca zdalna Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej.

ISO/IEC 27001 wymagania A.12 Pozyskanie, rozwój j i utrzymanie systemów Wymagania dotyczące bezpieczeństwa systemów Zapewnienie, że bezpieczeństwo jest integralną częścią systemów informacyjnych. Poprawność przetwarzania w aplikacjach Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach. Kryptograficzne środki nadzoru Zapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii.

ISO/IEC 27001 wymagania A.12 Pozyskanie, rozwój j i utrzymanie systemów w c.d. Bezpieczeństwo plików systemowych Zapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem. Bezpieczeństwo procesu tworzenia oprogramowania i pomocy technicznej Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji. Zarządzanie podatnościami technicznymi Zapewnienie ograniczania ryzyka wynikającego z wykorzystania wykrytych podatności technicznych.

ISO/IEC 27001 wymagania A.13 Zarządzanie incydentami bezpieczeństwa Raportowanie incydentów bezpieczeństwa i słabości Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podjęcie na czas stosownych działań. Zarządzanie incydentami bezpieczeństwa i doskonalenie Zapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa.

ISO/IEC 27001 wymagania A.14 Zarządzanie ciągłości cią działania ania Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności.

ISO/IEC 27001 wymagania A.15 Zgodność (z wymaganiami prawa i własnymi w standardami) Zgodność z przepisami prawnymi Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą organizacji (w tym wymagań bezpieczeństwa). Zgodność z politykami bezpieczeństwa i zgodność techniczna Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji. Rozważania dotyczące audytu systemów Zapewnienie maksymalizacji efektywności audytów i minimalizacji ich negatywnego wpływu na działalność biznesową (zajętość zasobów).

Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

Wdrożenie i certyfikacja systemu Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Minimalizacji Ryzyka Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Minimalizacji Ryzyka Certyfikacja systemu

Liczba akredytowanych certyfikatów na świecie czerwiec 2006 1800 1634 1500 1200 900 600 300 244 186 92 57 42 39 38 30 27 26 22 20 15 14 14 13 0 Japonia Wlk. Bryt. Indie Tajwan Niemcy Włochy USA Korea Węgry Chiny Holandia Hong Kong Australia Finlandia Polska Norwegia Szwajcaria Źródło: ISMS International User Group

Tomasz Szała tomasz.szala@dga.pl tel. (61) 643-51-95 Dziękuję za uwagę Krzysztof Maćkowiak krzysztof.mackowiak@dga.pl tel. (61) 643-51-97