JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?



Podobne dokumenty
Szczegółowy opis przedmiotu zamówienia:

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Promotor: dr inż. Krzysztof Różanowski

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Audytowane obszary IT

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Szkolenie otwarte 2016 r.

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

1. Zakres modernizacji Active Directory

udokumentowanych poprzez publikacje naukowe lub raporty, z zakresu baz danych

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Opis Przedmiotu Zamówienia

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Krzysztof Świtała WPiA UKSW

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

SZCZEGÓŁOWY HARMONOGRAM KURSU

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Data utworzenia Numer aktu 1. Akt prawa miejscowego NIE

Zbuduj prywatną chmurę backupu w firmie. Xopero Backup. Centralnie zarządzane rozwiązanie do backupu serwerów i stacji roboczych

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Kompleksowe Przygotowanie do Egzaminu CISMP

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

ISO w Banku Spółdzielczym - od decyzji do realizacji

Imed El Fray Włodzimierz Chocianowicz

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Maciej Byczkowski ENSI 2017 ENSI 2017

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia r.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zajęcia prowadzone przez MCT, auditora wiodącego systemów bezpieczeństwa informacji.

Software Asset Management SAM

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Deklaracja stosowania

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Opis przedmiotu zamówienia

Opis przedmiotu zamówienia

POLITYKA E-BEZPIECZEŃSTWA

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

XXIII Forum Teleinformatyki

Bezpieczeństwo danych w sieciach elektroenergetycznych

Zarządzanie projektami a zarządzanie ryzykiem

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

Reforma ochrony danych osobowych RODO/GDPR

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

ZAPYTANIE CENOWE dotyczące Opracowania Projektu i Wdrożenie Systemu Zarządzania Zasobami Infrastruktury Techniczno-Systemowej

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

ZAPROSZENIE DO SKŁADANIA OFERT

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Szkolenie autoryzowane. MS Konfiguracja, zarządzanie i rozwiązywanie problemów Microsoft Exchange Server 2010 SP2

Deklaracja stosowania

Bezpieczeństwo dziś i jutro Security InsideOut

7. zainstalowane oprogramowanie zarządzane stacje robocze

SIŁA PROSTOTY. Business Suite

KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

Na podstawie 6 ust. 1 oraz 10 ust. 1 Regulaminu Organizacyjnego ACK Cyfronet AGH z dnia 28 kwietnia 2005 roku zarządzam co następuje:

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Usługa Outsourcing u IT

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU

System INTEGRYB jako zintegrowane repozytorium danych umożliwiające zaawansowaną analitykę badawczą

Można rozpatrywać dwa sposoby zapewnienia obsługi informatycznej firmy:

Transkrypt:

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? Przedstawiony pakiet usług ma za cel wspomaganie systemu zarządzania bezpieczeństwem informacyjnym, obejmującego strukturę zarządzania bezpieczeństwem IT oraz mechanizmy zapewnienia bezpieczeństwa, zarówno prawne, organizacyjne jak i oferowane przez rozwiązania techniczne. Podstawą podejmowanych działań jest identyfikacja procesów wykorzystujących usługi informatyczne oraz zasobów informacyjnych, wykonana pod kątem odnalezienia procesów i zasobów krytycznych, z punktu widzenia głównych atrybutów bezpieczeństwa informacyjnego - poufności, integralności i dostępności. Celem identyfikacji jest wydzielenie określonych typów procesów i zasobów, dla których można następnie stworzyć wzorcowe szablony polityki bezpieczeństwa. Dalsze prace obejmują szczegółową identyfikację wymagań bezpieczeństwa dla procesów i zasobów. Niektóre wymagania bezpieczeństwa mogą być zdefiniowane w rozmaitych dokumentach wewnętrznych przedsiębiorstwa, od rozporządzeń normatywnych wydanych przez Zarząd, poprzez przepisy wynikające z wymogów ustawowych, aż po dokumentację projektową systemów informatycznych. Zgromadzenie wszystkich wymagań bezpieczeństwa i przedstawienie ich w jednolitym formacie, stanowi punkt wyjścia do ich systematyzacji i weryfikacji oraz do opracowania polityk bezpieczeństwa dla poszczególnych systemów informatycznych. Inwentaryzacja systemów informatycznych stanowi podstawę do opracowania szczegółowych wytycznych, umożliwiających spełnienie wymagań bezpieczeństwa. Inwentaryzacja wykonywana jest na szczegółowym poziomie technicznym, w sposób automatyczny, przy pomocy narzędzi informatycznych. Celem inwentaryzacji jest, z jednej strony, dokładne poznanie środowiska systemów wykorzystywanych w przedsiębiorstwie, z drugiej zaś strony przyporządkowanie konkretnych urządzeń, oprogramowania i elementów infrastruktury, zidentyfikowanym wcześniej procesom i zasobom. Analiza ryzyka stanowi kluczowy składnik prac, pozwalający na ustalenie, na jakie niebezpieczeństwa i w jakim zakresie narażone są zasoby i procesy informatyczne. W zależności od rangi analizowanych systemów, można przeprowadzić szczegółową analizę architektury i konfiguracji badanych systemów lub analizę podstawową (baseline), opierającą się na gotowych katalogach zagrożeń. Wyniki analizy ryzyka oraz wytyczne bezpieczeństwa służą do opracowania rozwiązań, w postaci koncepcji, projektów i wdrożeń środków prawnych, organizacyjnych i technicznych, umożliwiających obniżenie ryzyka do poziomu ocenianego jako wystarczająco niski, w świetle opracowanych wcześniej wymagań bezpieczeństwa. W tym celu wykorzystywane są w zależności od potrzeb standardy generyczne (ISO/IEC 17799, IT BPM itp.), jak również standardy i zalecenia bezpieczeństwa odnoszące się do konkretnych produktów i technologii. Maciej Kaniewski (c) [1/7]

Rozwiązania w postaci zbioru zabezpieczeń (konkretnych środków ochrony), wraz z mechanizmami zarządczymi, muszą stanowić spójny system bezpieczeństwa. O jakości zbudowanego w ten sposób systemu bezpieczeństwa decydują okresowe oceny sprawdzające jego rzeczywistą sprawność i przydatności, umożliwiającą porównanie planowanej sytuacji w zakresie bezpieczeństwa IT ze stanem rzeczywistym. Osiągnięcie tego celu wspomaga dodatkowy pakiet usług analitycznych i audytorskich, które możemy wykonać w sposób całościowy (kompleksowy) jak i fragmentaryczny (jednostkowy). OPIS USŁUG SZCZEGÓŁOWYCH 1. Analiza potrzeb Analiza potrzeb bezpieczeństwa IT obejmuje następujące usługi: 1.1. Analiza i klasyfikacja procesów i zasobów informatycznych Identyfikacja i analiza procesów wykorzystujących usługi informatyczne Identyfikacja procesów krytycznych dla funkcjonowania przedsiębiorstwa z punktu widzenia atrybutów bezpieczeństwa informacyjnego Identyfikacja i analiza zasobów informacyjnych Identyfikacja krytycznych zasobów informacyjnych Klasyfikacja procesów i zasobów informacyjnych z punktu widzenia nadrzędnych wymagań bezpieczeństwa 1.2. Identyfikacja wymagań bezpieczeństwa Identyfikacja i kwantyfikacja wymagań bezpieczeństwa dla poszczególnych procesów i kategorii informacji w zakresie poufności, integralności i dostępności 1.3. Inwentaryzacja systemów informatycznych Inwentaryzacja i klasyfikacja systemów informatycznych Przyporządkowanie zanalizowanych procesów i zasobów informatycznych do systemów Określenie wytycznych bezpieczeństwa na podstawie zidentyfikowanych wymagań 1.4. Analiza ryzyka Klasyfikacja zagrożeń i podatności dla poszczególnych typów systemów informatycznych Analiza scenariuszy zagrożeń uwzględniająca prawdopodobieństwo wystąpienia Ewaluacja konsekwencji zagrożeń (Business Impact Analysis) z uwzględnieniem efektów kumulatywnych Sformułowanie szczegółowych wytycznych dla tworzonego systemu bezpieczeństwa 2. Inżynieria bezpieczeństwa informatycznego Maciej Kaniewski (c) [2/7]

W ramach opracowywania systemu bezpieczeństwa informatycznego przewidujemy następujące usługi: 2.1. Opracowanie mechanizmów zarządzania bezpieczeństwem IT Odpowiedzialność za bezpieczeństwo IT w świetle ustaw i wewnętrznych regulaminów przedsiębiorstwa Propozycja struktury zarządzania bezpieczeństwem IT Zasady zarządzania bezpieczeństwem IT (IT Security Governance) Zakres uprawnień i obowiązków administratorów System dystrybucji wiedzy o bezpieczeństwie System uświadamiania i szkolenia pracowników Zasady wewnętrznego i zewnętrznego audytu bezpieczeństwa IT Możliwości outsourcingu poszczególnych procesów bezpieczeństwa IT 2.2. Zaprojektowanie systemu bezpieczeństwa IT Opracowanie koncepcji ochrony informacji i procesów IT Opracowanie polityki (polityk) bezpieczeństwa IT Opracowanie regulaminów i instrukcji bezpieczeństwa IT Oszacowanie kosztów systemu bezpieczeństwa IT Dobór rozwiązań informatycznych (szczegółowe usługi z rozdz. 3) Mechanizm tworzenia bazy wiedzy o zagrożeniach, podatnościach i incydentach Narzędzia ciągłego monitorowania ryzyka Wykorzystanie standardów PN-ISO/IEC 17799, IT BPM (Grundschutz) i innych 2.3. Integracja systemu bezpieczeństwa IT z ISO 9001 Usługa ma zastosowanie w przypadku istniejącego bądź wdrażanego systemu zarządzania jakością opartego na standardzie ISO 9001:2000. Zgodnie z intencją twórców standardu, system zarządzania jakością powinien stanowić całościowe rozwiązanie, umożliwiające stałe osiąganie przez przedsiębiorstwo swoich celów biznesowych. Ponieważ zarządzanie bezpieczeństwem jest jednym z kluczowych czynników w tym zakresie, zasadne jest objęcie procesów związanych z bezpieczeństwem IT ISO 9001. O zalecie takiego podejścia stanowi nie tylko jednolity system dokumentacji, ale także zastosowanie do procesów zarządzania bezpieczeństwem IT mechanizmów rewizyjnych i optymalizacyjnych przewidzianych w standardzie. Usługa polega na zdefiniowaniu i opisaniu procesów zarządzania bezpieczeństwem zgodnie z zaleceniami i logiką ISO 9001 przy wsparciu standardów ISO 17799 oraz BS 7799:2002. 2.4. Zapewnienie ciągłości działania Zaprojektowanie centrum zapasowego Zarządzanie dostępnością zasobów systemowych Dostępność infrastruktury sieciowej Opracowanie planów ciągłości działania 2.5. Plany awaryjne Struktura zarządzania w sytuacji kryzysu infrastruktury IT Zasady komunikacji wewnątrz przedsiębiorstwa Maciej Kaniewski (c) [3/7]

Zasady komunikacji ze służbami zewnętrznymi Metody i procedury postępowania 2.6. Procedury bezpiecznej eksploatacji Opracowanie procedur bezpiecznej eksploatacji dla systemów informatycznych, obejmujących m.in.: pracę użytkownika o standardowych uprawnieniach, pracę użytkownika o podwyższonych uprawnieniach, zasady postępowania z informacją, posługiwanie się nośnikami danych, pozostawianie sprzętu użytkownika bez opieki, zasady postępowania w przypadku podejrzenia naruszenia systemu. 2.7. Szczegółowe rozwiązania bezpieczeństwa Niniejszy rozdział obejmuje usługi polegające na opracowaniu rozwiązań bezpieczeństwa dotyczących poszczególnych technologii lub grup produktów 2.7.1. Bezpieczeństwo poczty elektronicznej Opracowanie regulaminu w zakresie korzystania z poczty elektronicznej Zapewnienie bezpieczeństwa serwerów pocztowych Usługi szyfrujące i infrastruktura klucza publicznego Filtrowanie poczty, alerty Rozwiązania antyspamowe 2.7.2. Infrastruktura klucza publicznego Zdefiniowanie funkcji pełnionych przez PKI Definicja wymagań dla PKI Wybór architektury Zaprojektowanie rozwiązania Wdrożenie rozwiązania 2.7.3. Bezpieczne sieci LAN Bezpieczeństwo infrastruktury sieci LAN Bezpieczna topologia sieci Wybór usług i protokołów dostępnych w sieci Bezpieczna konfiguracja urządzeń aktywnych Uwierzytelnienie urządzeń w sieci Zabezpieczenie przed sniffingiem Dobór systemu zarządzania siecią Bezpieczeństwo informacji o sieci Ciągłość dostępu Bezpieczeństwo sieci bezprzewodowych 2.7.4. Bezpieczne rozwiązania WAN i VPN Bezpieczna architektura sieci korporacyjnej Maciej Kaniewski (c) [4/7]

Bezpieczeństwo integracji z sieciami zewnętrznymi (np. Internet) na poziomie perymetru dobór zapór ogniowych, routerów, systemów IDS Bezpieczeństwo na poziomie stacji roboczej Zapewnienie dostępności usług Wybór metod zabezpieczenia i urządzeń w oparciu o technologię komercyjną bądź Open Source Rozwiązania kryptograficzne Bezpieczna konfiguracja urządzeń sieciowych 2.7.5. Bezpieczne systemy składowania danych Dobór systemów składowania danych w oparciu o potrzeby przedsiębiorstwa Systemy archiwizacji oparte o sieci SAN Archiwizacja w ośrodkach zdalnych Outsourcing składowania danych 2.7.6. Bezpieczeństwo systemów opartych na Oracle Bezpieczeństwo architektury rozwiązania opartego na Oracle Bezpieczeństwo konfiguracji serwera RDBMS Oracle Bezpieczna konfiguracja SQL*Net (Net8) Szyfrowanie komunikacji Bezpieczeństwo struktur bazodanowych Bezpieczeństwo modelu uprawnień Bezpieczeństwo kodu PL/SQL i Java Szyfrowanie danych w bazie Bezpieczeństwo rozwiązań opartych na Oracle Application Server Analogiczne usługi są dostępne dla systemów opartych o inny standard RDBMS. 2.7.7. Bezpieczeństwo sieci opartej na Windows 2000/XP/2003 Bezpieczna konfiguracja serwerów Bezpieczeństwo usług ActiveDirectory Zarządzanie polityką kontroli dostępu do zasobów (policy) Bezpieczna konfiguracja stacji roboczych Mechanizmy monitorowania działalności użytkowników 2.7.8. Bezpieczeństwo serwisów WWW i usług sieciowych Opracowanie wymagań bezpieczeństwa serwisu Zaprojektowanie bezpiecznej architektury serwisu 2.7.9. Bezpieczeństwo konfiguracji systemów IT Opracowanie repozytorium konfiguracji Zasady zarządzania bezpieczną konfiguracją systemów Izolacja środowisk developerskich i eksperymentalnych Maciej Kaniewski (c) [5/7]

3. Analizy i audyty bezpieczeństwa Ocena jakości i skuteczności mechanizmów bezpieczeństwa wdrożonych w instytucji, zarówno z punktu widzenia technicznego jak i organizacyjnego. Niektóre z wyszczególnionych poniżej usług korespondują z usługami wykonywanymi w fazie analizy potrzeb. 3.1. Audyt zarządzania bezpieczeństwem informatycznym według standardu COBiT Wybór procesów do analizy Identyfikacja celów biznesowych Identyfikacja kluczowych wskaźników wydajności Identyfikacja kluczowych czynników sukcesu Ocena stopnia realizacji celów biznesowych 3.2. Audyt bezpieczeństwa na podstawie standardu IT BPM (IT- Grundschutz) Analiza struktury i metod zarządzania bezpieczeństwem Inwentaryzacja i klasyfikacja systemów informatycznych zgodnie z IT BPM Inwentaryzacja i klasyfikacja zabezpieczeń Ocena stanu zabezpieczeń Sformułowanie wniosków pokontrolnych 3.3. Ocena bezpieczeństwa IT na podstawie PN-ISO/IEC 17799 Analiza struktury i metod zarządzania bezpieczeństwem Inwentaryzacja i klasyfikacja systemów informatycznych Inwentaryzacja i klasyfikacja zabezpieczeń Ocena stanu zabezpieczeń Sformułowanie wniosków pokontrolnych 3.4. Audyt bezpieczeństwa IT połączony z testami zabezpieczeń Testy penetracyjne sieci zorientowane na możliwość uzyskania niepowołanego dostępu Testy penetracyjne systemów bazodanowych Testy zorientowane na możliwość blokady dostępu (denial of service) 3.5. Audyt bezpieczeństwa sieci LAN i WAN Bezpieczna struktura i topologia sieci (sprawdzanie dostępności i poufności) Bezpieczeństwo wersji firmware'u i konfiguracji urządzeń aktywnych Bezpieczeństwo sieci bezprzewodowych Protokoły i usługi sieciowe 3.6. Audyt ochrony danych osobowych Identyfikacja zbiorów danych osobowych Analiza struktury danych osobowych Analiza procedur ochrony danych Maciej Kaniewski (c) [6/7]

3.7. Audyt legalności oprogramowania Inwentaryzacja oprogramowania zainstalowanego w systemach informatycznych Inwentaryzacja licencji i umów licencyjnych Sformułowanie wniosków pokontrolnych 3.8. Analiza bezpieczeństwa projektowanych rozwiązań informatycznych Zakres usługi zależy od stanu zaawansowania projektowanego rozwiązania informatycznego i może obejmować następujące elementy usług: Analiza wymagań bezpieczeństwa sformułowanych w dokumentach projektowych (kompletność i precyzyjność wymagań) Doprecyzowanie wymagań bezpieczeństwa (uwzględnienie wszystkich kryteriów informacyjnych, uwzględnienie wszystkich poziomów architektury, zdefiniowanie mierzalnych celów, określenie kryteriów testowania) Opracowanie wytycznych projektowych Analiza zaproponowanych rozwiązań 4. Szkolenia z bezpieczeństwa informatycznego Przygotowanie personelu do reakcji na istotne zagrożenia bezpieczeństwa prezentacja przypadków testowych Zapoznanie z obowiązującą polityką bezpieczeństwa i innymi dokumentami normatywnymi, regulującymi zagadnienia bezpieczeństwa w przedsiębiorstwie. Przygotowanie wytypowanych osób i struktur organizacyjnych przedsiębiorstwa do spełnienia wymagań ustaw i rozporządzeń, dotyczących spraw bezpieczeństwa przedsiębiorstwa Uświadomienie zakresu indywidualnych obowiązków w zakresie bezpieczeństwa Przeszkolenie w zakresie typowych procedur eksploatacyjnych, biurowych itp. Przeszkolenie w zakresie sytuacji kryzysowych 5. Bezpieczeństwo projektów informatycznych Opracowanie systemu zarządzania projektami informatycznymi uwzględniające następujące obszary bezpieczeństwa: uwzględnienie zasad tworzenia bezpiecznych systemów informatycznych w metodyce projektowej (np. SSE-CMM) zapewnienie bezpieczeństwa dokumentacji projektowej i innych danych podlegających ochronie efektywna i bezpieczna struktura komunikacji w projekcie (dobór właściwych mediów, metod i odbiorców transmisji) bezpieczeństwo współpracy z partnerami i podwykonawcami bezpieczeństwo danych testowych i innych materiałów klienckich w trakcie trwania projektu metodyka zarządzania ryzykiem w projekcie Maciej Kaniewski (c) [7/7]

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres