Bezpieczeństwo informacji dla MSP w metodologii ISSA UK

Podobne dokumenty
MSP - czyli jak tłumaczyć wymogi bezpieczeństwa informacji trudne dla Wielkich na potrzeby Maluczkich.

Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Jarosław Żeliński analityk biznesowy, projektant systemów

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Polityka Bezpieczeństwa ochrony danych osobowych

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Rozdział 3 Inwentaryzacja procesów i zasobów biorących udział w procesach

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Bezpieczeństwo dziś i jutro Security InsideOut

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

REKOMENDACJA D Rok PO Rok PRZED

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

POLITYKA E-BEZPIECZEŃSTWA

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Szkolenie otwarte 2016 r.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Reforma ochrony danych osobowych RODO/GDPR

Netia Mobile Secure Netia Backup

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Zarządzanie ryzykiem w bezpieczeństwie informacji

Kontrola dostępu do informacji w administracji publicznej

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

ISO bezpieczeństwo informacji w organizacji

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Symantec Enterprise Security. Andrzej Kontkiewicz

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

ISO w Banku Spółdzielczym - od decyzji do realizacji

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Kompleksowe Przygotowanie do Egzaminu CISMP

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

ZARZĄDZENIE Nr 105/2016 BURMISTRZA KARCZEWA z dnia 12 sierpnia 2016 r.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Normalizacja dla bezpieczeństwa informacyjnego

POLITYKA BEZPIECZEŃSTWA

Monitorowanie systemów IT

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Rozdział I Zagadnienia ogólne

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska

VENDIO SPRZEDAŻ kompleksowa obsługa sprzedaży. dcs.pl Sp. z o.o. vendio.dcs.pl info@dcs.pl Warszawa,

Bibby Financial Services

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

POLITYKA BEZPIECZE STWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE AUTOBAGI POLSKA SP. Z O. O.

Poznań, dzień Zapytanie ofertowe

Polityka Zarządzania Ryzykiem

Nowoczesne aplikacje mobilne i ich rola w podnoszeniu jakości danych

Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o.

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi

cat /agenda.txt /wybrane_fakty_i_mity grep zweryfikowane

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Piotr Krząkała. Dyrektor Handlowy ds. Kluczowych Klientów

Ochrona danych osobowych w biurach rachunkowych

*> DEKRA TISAX. Bezpieczeństwo informacji w przemyśle motoryzacyjnym. Po bezpiecznej stronie.

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

PARTNER.

EBA/GL/2015/ Wytyczne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Wprowadzenie do Kaspersky Value Added Services for xsps

Bezpieczeństwo informacji. jak i co chronimy

OTWARTE DRZWI BADANIA POKAZUJĄ, ŻE DRUKARKI POZOSTAJĄ NARAŻONE NA CYBERATAKI

Norma ISO Zasady, obszary i działania Wyzwania praktyczne. Dr inż. Zofia Pawłowska

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Ochrona biznesu w cyfrowej transformacji

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Transkrypt:

Bezpieczeństwo informacji dla MSP w metodologii ISSA UK ISSA Polska na podstawie ISSA-UK 5173 Information Security for Small and Medium Sized Enterprises Piotr Dzwonkowski 1

MSP są jakieś inne W MSP działalność nastawiona jest na szybkie wykonanie w odpowiedzi na zmieniający się popyt bez zbędnego bagażu administracyjnego i z maksymalnie skróconym, bo bezpośrednim procesem decyzyjnym Jednocześnie brak jest wiedzy i środków aby chronić aktywa informacyjne zgodnie ze standardami przyjętymi w większych organizacjach. 2

MSP są jakieś inne Jaki więc jest odpowiedni oczekiwany poziom IT? Jaki więc jest odpowiedni poziom zabezpieczeń IT? 3

MSP są jakieś inne Rekomendacje dotyczące muszą być szybkie do wdrożenia, proste i tanie przy wdrożeniu i eksploatacji. 4

MSP są jakieś inne Mikro pojedyncze osoby dominują związki osobowe Małe kilkadziesiąt osób Średnie kilkaset osób potrzebne są formalne procesy 5

3 poziomy środków IT 3. Zarządzany System Bezpieczeństwa Polityki i Procedury 2. Zdefiniowane wymogi System zarządzania Technologia Edukacja Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 6

3 poziomy środków IT 3. Zarządzany System Bezpieczeństwa 3.1 Polityki i Procedury 2. Zdefiniowane wymogi 3.2 System zarządzania 3.3 Technologia 3.4 Edukacja 2.1 Zasady 2.1 Odpowiedzial - ność 2.3 Plan Przetrwania 2.4 Nadzór nad bezpieczeństwem 1. Podstawowe środki 1.1 Zaangażowanie właściciela / zarządu 1.2 wymogów 1.3 Ryzyka związanego z BI 1.4 Podstawowe zabezpieczenia Chcielibyśmy dla każdej z 12 w/w zasad podać przykłady akceptowalnych zachowań, wspierających technologii i konkretnych rozwiązań. Potrzebni są ludzie i firmy które opracują poszczególne. Całość musi pozostać neutralna technologicznie, ale zawierać konkretne całościowe rozwiązania gotowe do implementacji. 7

1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1. Podstawowe środki powinny być przestrzegane przez wszystkie organizacje, niezależnie od wielkości i rodzaju działalności. Jest to rodzaj podstawowych zaleceń higieny 8

Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.1a Zaangażowanie właściciela / zarządu Zaczyna się od postawy i rozwija się poprzez formę pisaną. Postawa - jeśli szef: - nie robi backupu swoich danych - składuje swoje poufne pliki bez hasła - nie zamyka drzwi gdy rozmawia o rzeczach poufnych - nie chroni swojego laptopa hasłem, - nie wie gdzie jest jego ostatni backup danych to pracownik na pewno nie będzie lepszy. 9

1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.1b Zaangażowanie właściciela / zarządu Zaczyna się od postawy i rozwija się poprzez formę pisaną. Forma pisana - jeśli szef napisze do pracowników: - że dla firmy bezpieczeństwo informacji jest ważne i dlaczego - jaką informację trzeba chronić - kto jest odpowiedzialny za BI - listy podstawowych reguł to pracownik na pewno zainteresuje się tematem BI 10

1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.2 wymogów a. Prawnych np. wymogi Rozporządzeń o przetwarzaniu danych osobowych lub o przetwarzaniu danych medycznych b. Regulacyjnych np. PCI DSS, BASEL c. Wynikających z umów np. możliwość bycia audytowanym przez Klienta 11

1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.3 ryzyka związanego z BI Na przykład ryzyka związanego z: - Nieposiadania aktualnego backupu danych poza główną lokalizacją - Niezabezpieczonego hasłem laptopa - Niezaszyfrowanego ważnego załącznika wysłanego pocztą elektroniczną - Serwera działającego bez sprawnego UPSa - Kontroli GIODO 12

1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.4 Podstawowe zabezpieczenia: Odpowiednie zabezpieczenia muszą być wdrożone, aby chronić sprzęt i dane przed kradzieżą, nieautoryzowanym dostępem czy zniszczeniem, w szczególności zabezpieczenia można podzielić na: - Zabezpieczenia fizyczne klucze, alarmy pomieszczeń - Zabezpieczenia proceduralne odpowiednie hasła, wykluczenie współdzielenia identyfikatorów, wykonywanie regularnych kopii zapasowych, polityka czystego biurka - Środki techniczne firewall, antywirus, LOGowanie zdarzeń, systemy do robienia backupu, 13

2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2. Zdefiniowane wymogi w przypadku mieszczącym się gdzieś pomiędzy małym i średnim przedsiębiorstwem mają zapewnić że kluczowe środki działają spójnie i wydajnie, z minimalnym ryzykiem nieporozumień, błędów i powtarzających się niepotrzebnie działań. 14

2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2.1 Zasady Zasady powinny być wyrażone przez proste listy Zrób - nie zrób. Na przykład: - Nie pokazuj listy klientów osobom spoza organizacji - Zamykaj laptop i dane wrażliwe w szafie gdy opuszczasz biuro - Rób codzienny backup swoich danych Listy te powinny być regularnie przeglądane i ulepszane 15

2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2.2 Odpowiedzialność Trzeba przydzielić indywidualną odpowiedzialność: - za zabezpieczenie ważnych aktywów włączając w to pomieszczenia, wyposażenie, systemy i dane - za wykonywanie działań związanych z bezpieczeństwem informacji takich jak: tworzenie backupów, zarządzania prawami dostępów do systemów biznesowych i danych. Zastępcy muszą być wyznaczeni na wypadek absencji. Odpowiedzialność partnerów i dostawców musi być jasno wyrażona w kontraktach 16

2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2.3 Plan Przetrwania Należy stworzyć krótki i schematyczny Plan Przetrwania na wypadek zdarzeń zmuszających do opuszczenia normalnego miejsca pracy (ogień, woda) lub uniemożliwiających normalną pracę (awaria serwera, utrata, przejęcie kontroli nad danymi). Plan powinien określić miejsce podjęcia pracy i sposoby działania organizacji w czasie kryzysu. Plan powinien ustanowić odpowiednie przygotowania na wypadek kryzysu na przykład działania mające na celu trzymania aktualnych danych i oprogramowania w innej lokacji. Trzeba odpowiedzieć też na krótkie pytania: w jaki sposób wystawię fakturę? w jaki sposób wypiszę zamówienie i zapłacę za towar?. 17

2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2.4 Nadzór nad bezpieczeństwem Doświadczenie pokazuje, że w aktywnym środowisku pracy, wymogi mogą być łatwo przeoczone np.: - zapomnienie o przeprowadzeniu backupu, - zapomnienie o zainstalowaniu ważnych poprawek oprogramowania. Trzeba więc wprowadzić zestaw weryfikacji (działań kontrolnych) aby zapewnić, że najważniejsze działania związane z zapewnieniem BI są prowadzone. 18

3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3. Zarządzany System Bezpieczeństwa wprowadza dodatkowe środki zarządcze, właściwe dla większych PME (albo też dla tych z większym ryzykiem) aby wydajniej zarządzać pełnym zestawem środków. Zarządzany System Bezpieczeństwa daje większy stopień pewności, że wymagania dotyczące i kontrole zostały wdrożone. 19

3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3.1 Polityki i procedury W coraz większych MSP ilość i skomplikowanie informacji w listach zrób nie zrób i w innych wskazówkach do działań dotyczących IT wzrasta i potrzebne jest wprowadzenie porządku i struktury poprzez wprowadzenie procedur i postawienie celów przed osobami odpowiedzialnymi za konkretne działania. Niezbędne są procedury dla kluczowych procesów takich jak: - zarządzanie prawami dostępu, - wydawanie sprzętu, - tworzenie kopii zapasowych wraz ze zdefiniowaniem odpowiedzialności za kontrolę tych procesów. 20

3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3.2 System zarządzania Doświadczenie większych organizacji pokazało, że większość najefektywniejszych i najwydajniejszych sposobów zarządzania bezpieczeństwem polega na zarządzaniu procesami w sposób zbliżony to używanego dla ulepszania procesów. Ten sposób działania zachęca do planowania, wdrażania, weryfikacji i ciągłego ulepszania procesów jako proaktywną realizację podstawowej strategii. Ten sposób wymaga ustanowienia przejrzystych celów działań związanych z BI, stworzenia programu działań związanych z BI i stworzenia Rady kontrolującej stopień osiągania zamierzonych celów. 21

3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3.3 Technologia MSP powinno rozważać użycie specjalistycznych rozwiązań technologicznych w celu: - ochrony najważniejszych danych - ochrony krytycznych systemów - urealnienia procesów prewencji i detekcji incydentów BI Przykładami takich technologii mogą być: - urządzenia do silnej identyfikacji osób pracujących z domu - szyfrowanie dysków laptopów - Intrusion Detection Systems 22

3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3.4 Edukacja Wszyscy członkowie współczesnej organizacji są odpowiedzialni za BI. Oznacza to, że wszystkim trzeba regularnie przypominać o tej odpowiedzialności, o potrzebie zmniejszania ryzyka do akceptowalnego poziomu, a także informować o nowych zagrożeniach dla prowadzenia biznesu. Edukacja powinna zaczynać się podczas przyjęcia do pracy i być kontynuowana w czasie trwania zatrudnienia. 23

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres