Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF



Podobne dokumenty
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Promotor: dr inż. Krzysztof Różanowski

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Maciej Byczkowski ENSI 2017 ENSI 2017

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Szkolenie otwarte 2016 r.

Imed El Fray Włodzimierz Chocianowicz

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Krzysztof Świtała WPiA UKSW

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

SZCZEGÓŁOWY HARMONOGRAM KURSU

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Data utworzenia Numer aktu 1. Akt prawa miejscowego NIE

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Reforma ochrony danych osobowych RODO/GDPR

Zdrowe podejście do informacji

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Konspekt: Bezpieczeństwo systemów bazodanowych. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Kwestionariusz samooceny kontroli zarządczej

Kompleksowe Przygotowanie do Egzaminu CISMP

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

ISO bezpieczeństwo informacji w organizacji

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

KWESTIONARIUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ dla pracowników. Komórka organizacyjna:... A. Środowisko wewnętrzne

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

PRELEGENT Przemek Frańczak Członek SIODO

Normalizacja dla bezpieczeństwa informacyjnego

Bezpieczeństwo informacji. jak i co chronimy

Kryteria oceny Systemu Kontroli Zarządczej

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Bezpieczeństwo teleinformatyczne danych osobowych

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Informatyka w kontroli i audycie

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Bezpieczeństwo danych w sieciach elektroenergetycznych

Z A R Z Ą D Z E N I E Nr 3/2011

I. O P I S S Z K O L E N I A

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Zarządzanie ryzykiem w bezpieczeństwie informacji

Regulacje prawne. Artur Sierszeń

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

DLA SEKTORA INFORMATYCZNEGO W POLSCE

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Informatyczne wsparcie zarządzania bezpieczeństwem lotów aspekty analityczne i ekonomiczne. Jarosław Wójcik Wojskowa Akademia Techniczna

Transkrypt:

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

1 STRESZCZENIE Konspekt powstał na podstawie wykładu z przedmiotu Bezpieczeństwo i ochrona informacji, prowadzonego przez dr inż. Mirosława Hajdera. Omówiona tutaj została polityka bezpieczeństwa w oparciu o polskie unormowania prawne, analiza ryzyka, atrybuty bezpieczeństwa.

SPIS TREŚCI 2 Streszczenie... 1 1. Polityka bezpieczeństwa a polskie unormowania prawne... 3 2. Komponenty polityki bezpieczeństwa (obowiązujące):... 3 3. Podstawy prawne polityki bezpieczeństwa... 3 4. Analiza ryzyka... 4 5. Normy i zalecenia podstawą rozwoju zarządzania bezpieczeństwem informacji... 5 6. Atrybuty bezpieczeństwa:... 6 Literatura... 9

3 1. POLITYKA BEZPIECZEŃSTWA A POLSKIE UNORMOWANIA PRAWNE Podstawowym dokumentem opisującym politykę bezpieczeństwa jest RFC 1224. W Polsce obowiązuje polska norma PN-I-13335-1 1. W normie tej zawarte są między innymi wszelkie definicje dotyczące bezpieczeństwa a także cele polityki bezpieczeństwa systemów komputerowych. Norma ta jest nowym dokumentem powstała w roku 2000 i jest to pierwsza jej wersja. Zgodnie z PN polityka bezpieczeństwa została podzielona na trzy poziomy: - organizacji, - systemów informacyjnych, - systemu informacyjnego. 2. KOMPONENTY POLITYKI BEZPIECZEŃSTWA (OBOWIĄZUJĄCE): a) wyjaśnienia przekonanie użytkownika o słuszności i zasadności stosowania polityki bezpieczeństwa, b) informacje określające co podlega ochronie, wymagania odnoszące się do ochrony, podstawowe zasady dostępu, c) podział kompetencji, d) odpowiedzialność, Polityka nie powinna zawierać a) żadnych metod zabezpieczeń systemów, b) żadnych standardów. Definicja polityki w rozumieniu PN: Polityką bezpieczeństwa nazywamy zbiór ogólnych zasad i podstawowych wymagań określających w jaki sposób powinny być zarządzane udostępniane i chronione przed nieupoważnionym wykorzystaniem zniszczeniem lub nieautoryzowanymi zmianami materialne i informacyjne aktywa organizacji. 3. PODSTAWY PRAWNE POLITYKI BEZPIECZEŃSTWA Podstawowymi ustawami są: 1. Ustawa z dnia 27.VIII.1997 r. o ochronie danych osobowych, 2. Ustawa z dnia 22.I.1999 r. o ochronie informacji niejawnych, 3. Ustawa z dnia 22.VIII.1997 r. o ochronie osób i mienia, 4. Ustawa z dnia 16.IV.1993 r. o zwalczaniu nieuczciwej konkurencji, 5. Kodeks pracy (ustawa z 26.Vi.1974 r.), Ustawa z 02.02.1996 r. (zmiany KP) 6. Ustawa z dnia 04.II.1994 r. o prawie autorskim i prawach pokrewnych 1 Ustanowiona 01.28.1999 r.; Nazwa: Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych Pojęcia i modele bezpieczeństwa systemów informatycznych IDT ISO/IEC Tr13335

4 Pełna nazwa normy brzmi PN-1-13335-1 Technika informatyczna, Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. ZAKRES ROZPOWSZECHNIANIA POLITYKI Polityka bezpieczeństwa opisuje wymagania w zakresie zabezpieczania systemów. Politykę bezpieczeństwa kończy określenie odpowiedzialności za jej realizację. 4. ANALIZA RYZYKA Do celu określenia ryzyka wykorzystać można metody morfologiczne. W tym celu określa się zagrożenia dla systemu. Każde z których opisuje się skutkiem oraz podatnością. Ryzyko traktowane jest jako iloczyn skutków i podatności. Jeżeli skutek i podatność ocenione są w zakresie o 0 do 10 to: jeżeli ryzyko znajduje się w zakresie od 0 do 20 jest ono pomijalnie małe jeżeli przekracza ono 80 jest ono ekstremalnie wysokie. NOTATKI DODATKOWE: Zarządzanie bezpieczeństwem informacji to nowa dziedzina z pogranicza informatyki, prawa, organizacji i zarządzania, zajmująca się definiowaniem aspektów bezpieczeństwa dla instytucji i jej systemów teleinformatycznych, jego osiąganiem i utrzymywaniem. 2 Zarządzanie bezpieczeństwem to ciągły i złożony proces umożliwiający bezpieczną realizację misji, do której instytucję powołano. Proces ten zachodzi w stale zmieniającym się środowisku, przy występowaniu coraz to nowych form zagrożeń i wyzwań dla instytucji, a także przy niebywałym postępie technologicznym. W artykule przybliżono standardową terminologię, zwłaszcza związaną z modelami bezpieczeństwa. Zwrócono też uwagę na materiały normatywne i zalecenia dotyczące samego zarządzania bezpieczeństwem informacji. Bezpieczeństwo nie jest aktem jednorazowym, polegającym na wdrożeniu zabezpieczeń, lecz ciągłym, dynamicznym, a przy tym bardzo złożonym procesem, wymagającym stałego nadzoru i przystosowywania się do zmiennych warunków otoczenia. Bezpieczeństwo musi być rozpatrywane w aspekcie organizacyjnym, technicznym oraz prawnym - jest zawsze dziełem interdyscyplinarnego zespołu specjalistów. Jak każda dziedzina zarządzanie bezpieczeństwem informacji wykształciło swoją terminologię, modele i metody działania. 2 A. Białas Zarządzanie bezpieczeństwem informacji, NETWORLD 3/2001

5. NORMY I ZALECENIA PODSTAWĄ ROZWOJU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Kluczowym dla zarządzania bezpieczeństwem informacji jest Raport Techniczny - ISO/IEC TR 13335, składający się z pięciu części, z których pierwsza obowiązuje od roku jako Polska Norma. Pozostałe części są w różnym stadium przygotowania. Poszczególne części raportu zawierają następujące informacje: * ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych: - terminologia, związki między pojęciami, - podstawowe modele. * ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów informatycznych: - różne podejścia do prowadzenia analizy ryzyka, - plany zabezpieczeń, - rola szkoleń i działań uświadamiających, - stanowiska pracy w instytucji związane z bezpieczeństwem. * ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych: - formułowanie trójpoziomowej polityki bezpieczeństwa, - rozwinięcie problematyki analizy ryzyka, - rozwinięcie problematyki implementacji planu zabezpieczeń, - reagowanie na incydenty. * ISO/IEC/TR 13335-4: Wybór zabezpieczeń: - klasyfikacja i charakterystyka różnych form zabezpieczeń, - dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu. * ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi: - dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną. Oprócz dokumentów ISO istnieje szereg zaleceń zawierających wytyczne w zakresie ochrony systemów teleinformatycznych o zasięgu raczej lokalnym, dotyczących kraju, grupy krajów lub grupy użytkowników, np. Internetu. Dokumenty tego typu, opracowane w sposób dość szczegółowy, stanowią cenne uzupełnienie norm ISO/IEC. Należy przypuszczać, że na ich podstawie niebawem powstaną normy międzynarodowe. Ponadto istnieje wiele standardów związanych z bezpieczeństwem teleinformatycznym, które pośrednio dotykają problematyki zarządzania bezpieczeństwem informacji. Do tej grupy należy zaliczyć przede wszystkim Wspólne Kryteria do Oceny Zabezpieczeń Teleinformatyki, które uzyskały status normy ISO (ISO/IEC 15408). Na uwagę zasługują także standardy FIPS, np. do oceny modułów kryptograficznych, standardy związane z infrastrukturą klucza publicznego, podpisem elektronicznym, zabezpieczeniami kryptograficznymi, kartami elektronicznymi i jeszcze z wieloma innymi zagadnieniami szczegółowymi z obszaru bezpieczeństwa. 5

6 6. ATRYBUTY BEZPIECZEŃSTWA: Określenie atrybutów bezpieczeństwa (powyższa tabela) pozwoli precyzyjnie zdefiniować inne pojęcia, w tym tak kluczowe, jak samo bezpieczeństwo, jego polityka i zarządzanie bezpieczeństwem. Bezpieczeństwo informacji czy systemu teleinformatycznego utożsamiane jest z uwzględnieniem tych właśnie atrybutów. Nie można mówić o zarządzaniu bezpieczeństwem bez próby określenia, czym jest samo pojęcie bezpieczeństwa. Bezpieczeństwo teleinformatyczne (IT security) określane jest jako wszelkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Drugie kluczowe pojęcie, które w tym miejscu należy przytoczyć, to polityka bezpieczeństwa instytucji w zakresie systemów informatycznych (IT security policy). Obejmuje ona zasady, zarządzenia i procedury, które określają, jak zasoby - włącznie z informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w instytucji i jej systemach teleinformatycznych. Zarządzanie bezpieczeństwem informacji (systemów informatycznych) (IT security management) obejmuje zespół procesów zmierzających do osiągnięcia i utrzymywania ustalonego poziomu bezpieczeństwa, tzn. poziomu poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Jego realizacja obejmuje działania, takie jak: - określenie celów (co należy chronić), strategii (w jaki sposób) i polityk bezpieczeństwa systemów informatycznych w instytucji (jakie konkretne przedsięwzięcia należy podjąć), - identyfikowanie i analizowanie zagrożeń dla zasobów,

- identyfikowanie i analizowanie ryzyka, - określenie adekwatnych zabezpieczeń, - monitorowanie wdrożenia, eksploatacji (skuteczności) zabezpieczeń, - opracowanie i wdrożenie programu szkoleniowo-uświadamiającego, - wykrywanie incydentów i reakcja na nie. 7 Zarządzanie bezpieczeństwem systemów informatycznych (poniższy rysunek rys.), jak już wspomniano, obejmuje zbiór procesów zawierających inne procesy bezpośrednio lub pośrednio związane z bezpieczeństwem. Kluczowym jest tu proces zarządzania ryzykiem z podprocesem analizy ryzyka. Istotnymi z punktu widzenia bezpieczeństwa są również procesy zarządzania konfiguracją oraz zarządzania zmianami. Zarządzanie konfiguracją jest procesem śledzenia zmian w konfiguracji systemu, aby nie obniżały one już osiągniętego poziomu bezpieczeństwa. Wiadomo, że trudno obyć się bez takich zmian, ale czyż muszą one oznaczać obniżenie bezpieczeństwa? Należy być świadomym wpływu zmian na bezpieczeństwo. Może się nawet zdarzyć, że konieczne są zmiany, które obniżą poziom bezpieczeństwa - tego typu przypadki wymagają świadomej decyzji kierownictwa popartej szczegółową analizą. Ważne jest, aby wszelkie zmiany były odzwierciedlane w różnych dokumentach związanych z bezpieczeństwem, takich jak plany awaryjne czy plany odtwarzania po katastrofach. Zarządzanie zmianami - jest procesem wykorzystywanym do identyfikacji nowych wymagań bezpieczeństwa wówczas, gdy w systemie informatycznym występują zmiany, co jest dość częstym zjawiskiem. Nowe wyzwania dla instytucji wymuszają rozwój technologii informatycznych, a temu towarzyszy występowanie nowych typów zagrożeń i podatności. Za przykłady zmian w systemach informatycznych mogą posłużyć: - zmiany sprzętowe, - aktualizacje oprogramowania, - nowe procedury, - nowe funkcje, - nowi użytkownicy, w tym grupy użytkowników zewnętrznych i anonimowych, - dodatkowe połączenia sieciowe i międzysieciowe. Dla każdej zmiany należy określić jej wpływ na bezpieczeństwo - czasem zmiana wymaga głębszej analizy, a czasem wystarczy ocena gremium zajmującego się systemem informatycz-

nym i jego bezpieczeństwem. Wyniki takich ocen powinny zostać pisemnie udokumentowane. 8 Kluczowym procesem jest zarządzanie ryzykiem, które powinno być prowadzone podczas całego okresu eksploatacji systemu, gdyż tylko wówczas jest efektywne. Analiza ryzyka - jest głównym procesem zarządzania ryzykiem, identyfikuje ryzyko, które ma być kontrolowane lub akceptowane. Analiza ryzyka obejmuje ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Pełny cykl analizy ryzyka może być stosowany: - dla nowych systemów, - dla eksploatowanych systemów - w dowolnym momencie życia systemu, - podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń, - podczas projektowania systemu, - przy planowaniu znaczących zmian w systemie. Proces zarządzania ryzykiem sprowadza się do porównywania określonego ryzyka z zyskami i/lub kosztami zabezpieczeń oraz wypracowywania strategii ich wdrożenia oraz polityki bezpieczeństwa instytucji w zakresie systemów informatycznych zgodnej z polityką bezpieczeństwa instytucji i celami działania instytucji. Po analizie zysków i/lub kosztów oraz potencjalnych następstw spośród wielu możliwych do zastosowania zabezpieczeń wybierane jest właściwe, przy jednoczesnej akceptacji wielkości ryzyka szczątkowego. Należy ponadto mieć na uwadze, że zabezpieczenia mogą wprowadzać własne podatności. Trzeba więc skupić uwagę nie tylko na redukcji znanego ryzyka, lecz również nie wprowadzać nowego, związanego z zabezpieczeniem. Stosowane są różne metody analizy ryzyka. Niezależnie od tego, jakiej użyjemy, decydująca jest równowaga między czasem a kosztem identyfikacji, kosztem zabezpieczeń a osiągniętym poziomem bezpieczeństwa. Analiza ryzyka jest pracochłonna, jednak w większości systemów wystarczy wprowadzenie tzw. ochrony podstawowej (baseline controls, baseline protection), którą określa się jako minimalny zbiór zabezpieczeń ustalony dla systemu lub instytucji. Skuteczność działań w dziedzinie bezpieczeństwa zależy od osiągnięcia i utrzymywania wysokiego poziomu fachowości i świadomości personelu, który jest powszechnie uważany za najsłabsze ogniwo. Osiąga się to przez program działań uświadamiających, szkoleniowych, motywujących i dyscyplinujących. Program musi dotykać wszystkich szczebli organizacji instytucji i musi być dostosowany do ich specyfiki. Jak już wspomniano na wstępie, osiągnięcie bezpieczeństwa nie jest aktem jednorazowym - bezpieczeństwo musi być utrzymywane, a więc również monitorowane. Analizowany jest wpływ zmian na bezpieczeństwo, kontrolowana permanentnie rozliczalność, sprawdzane są - coraz częściej automatycznie - dzienniki działań (logi), używane są narzędzia do wykrywania i odstraszania intruzów, praktykowany jest kontrolowany audyt itp. Nawet najlepsze zabezpieczenia nie likwidują do końca ryzyka szczątkowego. Należy być zawsze przygotowanym na wypadek niekorzystnych zdarzeń, mając przygotowane różne warianty planów awaryjnych, opisujące różne scenariusze zachowań, uwzględniające między innymi: - różne okresy trwania awarii, - częściową lub pełną utratę funkcjonalności, - brak dostępu do pomieszczeń lub budynków zajmowanych przez instytucję.

Plany odtwarzania po katastrofach opisują sposoby przywrócenia systemu do pierwotnego stanu, uwzględniając elementy, takie jak: - kryteria definiujące katastrofę, - odpowiedzialnego za wprowadzenie w życie planu odtwarzania, - odpowiedzialnych za poszczególne działania odtwarzające, - opis działań odtwarzających. 9 Cytowane powyżej pojęcia oraz cele działania instytucji tworzą razem plany, strategie i politykę bezpieczeństwa w zakresie systemów informatycznych dla instytucji. Instytucja musi mieć zapewnioną możliwość prawidłowego funkcjonowania, z ryzykiem ograniczonym do akceptowalnego poziomu. Nie istnieją absolutnie skuteczne zabezpieczenia, stąd instytucja musi być przygotowana do odtwarzania swego stanu po incydentach. LITERATURA [1] Raport Techniczny - ISO/IEC TR 13335 [2] Strona WWW autorów konspektu: http://city.net.pl/editha/

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres