DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski



Podobne dokumenty
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

SZCZEGÓŁOWY HARMONOGRAM KURSU

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Marcin Soczko. Agenda

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Maciej Byczkowski ENSI 2017 ENSI 2017

Audyt systemów informatycznych w świetle standardów ISACA

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Kompleksowe Przygotowanie do Egzaminu CISMP

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Promotor: dr inż. Krzysztof Różanowski

Zdrowe podejście do informacji

Zarządzanie relacjami z dostawcami

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Przedszkole Nr 30 - Śródmieście

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

ANKIETA dla kadry kierowniczej samoocena systemu kontroli zarządczej za rok

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Certified IT Manager Training (CITM ) Dni: 3. Opis:

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Kwestionariusz samooceny kontroli zarządczej

Bezpieczeństwo dziś i jutro Security InsideOut

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

ISO w Banku Spółdzielczym - od decyzji do realizacji

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Strategie analizy ryzyka w opracowywaniu polityki bezpieczeństwa systemu informatycznego

Reforma ochrony danych osobowych RODO/GDPR

ZARZĄDZENIE NR 19/2011/2012 DYREKTORA PRZEDSZKOLA KRÓLA Maciusia I w Komornikach z dnia w sprawie przyjęcia regulaminu kontroli zarządczej

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Bezpieczeństwo teleinformatyczne danych osobowych

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Polityka zgodności w Banku Spółdzielczym w Wąsewie na 2018 rok

Krzysztof Świtała WPiA UKSW

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Informacja Banku Spółdzielczego w Chojnowie

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

Bezpieczeństwo informacji. jak i co chronimy

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Sprawozdanie. I. Środowisko wewnętrzne

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

NORMA ISO/IEC W ZARZĄDZANIU SERWISEM IT

Wstęp do zarządzania projektami

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

SYSTEM KONTROLI ZARZĄDCZEJ Dokumenty Systemu Kontroli Zarządczej na Politechnice Śląskiej

KWESTIONARIUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ ZA ROK..

Polityka Zarządzania Ryzykiem

Standardy kontroli zarządczej

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Transkrypt:

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Strategia i Polityka Bezpieczeństwa Systemów Informatycznych Wykład Aleksander Poniewierski 1

Plan wykładu Informacja w firmie Bezpieczeństwo w firmie Zarządzanie bezpieczeństwem systemów informatycznych (SI) Strategia bezpieczeństwa SI Dlaczego? Polityka bezpieczeństwa SI Co? Procedury bezpieczeństwa SI Jak? Zatwierdzenie strategii, polityki i procedur bezpieczeństwa SI Program ochrony informacji Podsumowanie Literatura 2 2

Informacja w firmie

Cechy dobrej informacji kompletna istotna terminowa właściwa wiarygodna zrozumiała 4 4

Forma informacji i jej rola w firmie wypowiedź rozmowa gesty dokument papierowy dokument elektroniczny kody źródłowe rysunki techniczne Zarządzanie strategiczne Zarządzanie taktyczne Zarządzanie operacyjne Przetwarzanie danych 5 5

Wartość informacji Informacja ma określoną wartość w danym czasie dla danych podmiotów. wartość informacji o wygrywających numerach w LOTTO na 1 godzinę przed losowaniem <= wartości wygranej, wartość informacji o numerach wylosowanych w losowaniu LOTTO dzień po losowaniu = 0 6 6

Bezpieczeństwo informacji w firmie

Obszary bezpieczeństwa informacji ADMINISTRACYJNO - ORGANIZACYJNE FORMALNO - PRAWNE TECHNICZNO - PROGRAMOWE FIZYCZNE 8 8

Składowe bezpieczeństwa informacji w firmie 9 9

Składowe systemu informatycznego w firmie WARSTWA ORGANIZACYJNA WARSTWA PROCESOWA Procesy strategiczne Procesy rozwoju Procesy utrzymania Procesy wsparcia Poziom fizyczny Poziom systemu operacyjnego Poziom bazy danych Definicja potrzeb Poziom interfejsu Poziom aplikacji Obsługa informatyczna UŻYTKOWNIK PROCES BIZNESOWY 10 10

Główne ryzyka związane z bezpieczeństwem SI ryzyko utraty poufności zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi, ryzyko utraty dostępności zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników, ryzyko utraty integralności zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny. 11 11

Zarządzanie bezpieczeństwem systemów informatycznych w firmie

Cel zarządzania bezpieczeństwem SI Identyfikacja zagrożeń na jakie podatny jest system informatyczny. Ocena ryzyka związanego z bezpieczeństwem systemu informatycznego. WIEDZIEĆ CO REALNIE ZAGRAŻA SI Dobranie odpowiedniej metody zarządzania bezpieczeństwem Dobranie mechanizmów bezpieczeństwa (zabezpieczeń) adekwatnych do potrzeb ODPOWIEDNIO ZABEZPIECZYĆ SI Permanentne monitorowanie ryzyk. Monitorowanie wykorzystania mechanizmów bezpieczeństwa i ich efektywności STALE UTRZYMYWAĆ PRZYJETY POZIOM BEZPIECZEŃSTWA 13 13

Model zarządzania bezpieczeństwem SI w firmie Cele Biznesowe Strategia Bezpieczeństwa Analiza Ryzyka Organizacja, Procesy, Modele Polityka Bezpieczeństwa Klasyfikacja Systemy Informacje / informatyczne Użytkownicy Kluczowe Mierniki Sukcesu Wytyczne Procedury Standardy Techniczno-Programowe Mechanizmy Bezpieczeństwa Identyfikacja i uwierzytelnianie Autoryzacja i kontrola dostępu Połączenie z sieciami zewnętrznymi Audyt i rozliczalność Kryptograficzna ochrona danych Utrzymanie systemów informatycznych Ciągłość działalności Rozwój systemów informatycznych Ochrona przed szkodliwym oprogramowaniem Formalno-Prawne Mechanizmy Bezpieczeństwa Klauzule poufności Umowy serwisowe Upoważnienia i pełnomocnictwa Zasady kontaktu z mediami Fizyczne Mechanizmy Bezpieczeństwa Lokalizacja i bezpieczeństwo konstrukcyjne miejsc przetwarzania danych Bezpieczeństwo logiczne i ochrona miejsc przetwarzania danych Systemy zasilania Komfort pracy urządzeń Systemy kontroli dostępu Ochrona przeciwpożarowa Monitorowanie i Zarządzanie Mechanizmami Kontrolnymi Poufność 14 14

Strategia bezpieczeństwa systemów informatycznych Dlaczego

Strategia bezpieczeństwa systemów informatycznych Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 16 16

Perspektywy strategii bezpieczeństwa SI Strategia Bezpieczeństwa SI STRATEGIA FIRMY UDZIAŁOWCY PRACOWNICY REGULATOR -USTAWODAWCA BRANŻA -RYNEK KLIENT 17 17

Części składowe strategii bezpieczeństwa SI PODSUMOWANIE Główny cel strategii bezpieczeństwa systemów informatycznych Ogólny harmonogram realizacji (długoterminowy) STRATEGIA BEZPIECZEŃSTWA Identyfikacja potrzeby zapewnienia bezpieczeństwa systemów informatycznych Identyfikacja perspektyw strategii bezpieczeństwa systemów informatycznych Określenie głównego celu nadrzędnego bezpieczeństwa systemów informatycznych Określenie celów cząstkowych składowych bezpieczeństwa systemów informatycznych SPOSÓB REALIZACJI STRATEGII Określenie odpowiedzialności i narzędzi sposobu realizacji celów strategicznych Wyznaczenie etapów realizacji strategii (kamieni milowych) Określenie czynników sukcesu realizacji strategii 18 18

Polityka bezpieczeństwa systemów informatycznych Co

Polityka bezpieczeństwa systemów informatycznych Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 20 20

Części składowe polityki bezpieczeństwa SI 1/2 PODSUMOWANIE Troska Zarządu firmy o bezpieczeństwo informacji Klasyfikacja informacji i systemów informatycznych REGUŁY BEZPIECZEŃSTWA odpowiedzialność każda informacja przetwarzana w instytucji posiada swojego właściciela, który jest odpowiedzialny za zapewnienie odpowiedniego poziomu bezpieczeństwa informacji szczególności jej poufności, integralności i dostępności kontrola dostępu do informacji -dostęp do informacji mogą posiadać jedynie upoważnieni do tego użytkownicy, którzy są jednoznacznie identyfikowani, uwierzytelnieni i rozpoznawalni w systemie informatycznym bezpieczeństwo systemów informatycznych -każdy system informatyczny powinien zapewniać odpowiedni poziom bezpieczeństwa, wynikający z zasad i reguł Polityki Bezpieczeństwa, wymagań prawa, standardów i dobrych praktyk (ang. Best Practice) bezpieczeństwo kanałów wymiany informacji -kanały wymiany informacji muszą zapewniać odpowiedni poziom bezpieczeństwa informacji w nich przesyłanych, zmiany w systemach informatycznych -rozwój systemu informatycznego instytucji nie powinien obniżać określonego poziomu jego bezpieczeństwa 21 21

Części składowe polityki bezpieczeństwa SI 2/2 ochrona przed czynnikami szkodliwymi -informacje przetwarzane w systemach informatycznych instytucji muszą być chronione przed działaniem czynników szkodliwych utrzymanie ciągłości działania systemu informatycznego -wszystkie czynności zmierzające do utrzymania ciągłości działania systemu informatycznego muszą być planowane i realizowane w taki sposób, aby minimalizować skutki awarii lub kryzysu bezpieczeństwo fizyczne -pomieszczenia techniczne oraz obiekty o szczególnym znaczeniu dla instytucji muszą być odpowiednio chronione naruszenie bezpieczeństwa systemów informatycznych -każde naruszenie bezpieczeństwa informacji przetwarzanych przez systemy informatyczne będzie karane, a sprawca naruszenia będzie odpowiadał za nie zgodnie z obowiązującymi w instytucji regulacjami lub przepisami prawa obowiązującymi w Rzeczypospolitej Polskiej bezpieczeństwo formalno prawne - mechanizmy bezpieczeństwa muszą być zgodne z obowiązującymi w Rzeczypospolitej Polskiej przepisami prawa zarządzanie ryzykiem związanym z bezpieczeństwem systemów informatycznych -instytucja w sposób ciągły zarządza ryzykiem związanym z bezpieczeństwem systemów informatycznych, podejmując działania zmierzające do identyfikacji i minimalizowania ryzyka związanego z bezpieczeństwem systemów informatycznych 22 22

Procedury bezpieczeństwa systemów informatycznych Jak

Polityki szczegółowe i procedury bezpieczeństwa SI Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 24 24

Polityki szczegółowe i procedury bezpieczeństwa SI Polityka szczegółowa Procedura bezpieczeństwa Instrukcja Instrukcja Polityki bezpieczeństwa określające reguły dotyczące poszczególnych systemów (w szczególności wyjątki) Procedury określające sposób postępowania w zakresie bezpieczeństwa dla poszczególnych systemów informatycznych lub zagadnień operacyjnych Instrukcje postępowania listy kontrolne 25 25

Części składowe procedury bezpieczeństwa SI FORMALNA Symbol Data powstania / rewizji / zatwierdzenia Opracowujący / sprawdzający / zatwierdzający MERYTORYCZNA Przedmiot / cel Zakres procedury Kompetencje i odpowiedzialności Postępowanie / Opis Definicje i terminologia Dokumenty odniesienia Lista kontrolna Załączniki 26 26

Program Ochrony Informacji Zatwierdzanie dokumentów

Program Ochrony Informacji Program Ochrony Informacji to całokształt zaplanowanych i spriorytetyzowanych działań podejmowanych w celu realizacji Strategii Bezpieczeństwa Informacji Program Ochrony Informacji służy: Zapewnieniu kompletności i spójności prowadzonych działań w zakresie zarządzania bezpieczeństwem informacji Optymalizacji kosztów ponoszonych na zapewnienie bezpieczeństwa informacji 28 28

Zatwierdzenie i wdrożenie Wszystkie dokumenty normalizujące zagadnienia bezpieczeństwa informacji i systemów informatycznych muszą być formalnie zatwierdzone i stale aktualizowane. 29 29

Podsumowanie

Podsumowanie Należy wiedzieć jaką informację przetwarza instytucja Należy wycenić wartość informacji Należy dokonać analizy ryzyka związanego z bezpieczeństwem informacji Należy przygotować Strategie jej ochrony Należy opracować politykę jej zabezpieczenia (informacji systemów informatycznych) Należy zaakceptować strategie i politykę Należy opracować i wdrożyć program ochrony Odpowiedzialności Plan Mechanizmy (w tym procedury) Należy aktualizować strategie i politykę bezpieczeństwa (w miarę zmieniającego się środowiska i potrzeb instytucji) oraz mechanizmy bezpieczeństwa Należy monitorować przestrzeganie zasad i działanie mechanizmów bezpieczeństwa 31 31

Literatura British Standard BS 7799. 1995. (Information Security Management), Part 1: Code of practice for information security management Bundesamt Für Sicherheit in der Informationstechnik (BSI) 1997. IT Baseline Protection Manual (Recommended Measures to meet Medium-Level Protection Requirements) Commission of European Communities 1990. Information Technology Security Evaluation Criteria (ITSEC), Provisional Harmonized Criteria, Version 1.2. Brussels, Belgium: Commission of European Communities, Directorate General XIII (June). Gleim I. N., CIA Review Part I The Internal Audit Activity s Role in Governance, Risk and Control, Certified Internal Auditor Gleim Publications Inc., Gainesville FL, 2004. Holbrook, P., Reynolds, J. 1991. Site Security Handbook. Request for Comments (RFC) Nr 1244, Wznowienie, 1997 RFC 2196 Information Systems Audit And Control Association, Control Objectives for Information and related Technology (CobiT) Technika Informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji. 2000. PN- ISO/IEC 17799. U.S. Department of Defense 1985. Trusted Computer Systems Evaluation Criteria. DOD 5200.28 STD. 32 32