Ochrona fizyczna zasobów IT



Podobne dokumenty
JTW SP. Z OO. Zapytanie ofertowe. Zakup i dostosowanie licencji systemu B2B część 1

Załącznik nr pkt - szafa metalowa certyfikowana, posiadająca klasę odporności odpowiednią

BEZPIECZEŃSTWO INFORMACYJNE I CYBERNETYCZNE

ZARZĄDZENIE NR 62/2015 BURMISTRZA MIASTA LUBAŃ. z dnia 17 marca 2015 r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Przykłady wybranych fragmentów prac egzaminacyjnych z komentarzami Technik ochrony fizycznej osób i mienia 515[01]

KOMISJA WSPÓLNOT EUROPEJSKICH, uwzględniając Traktat ustanawiający Wspólnotę Europejską, ROZDZIAŁ 1

Zaadresowanie bezpieczeństwa informacji w projektach podmiotów publicznych wymagania Krajowych Ram Interoperacyjności

ROZPORZĄDZENIE KOMISJI (UE) NR

ZAKRES OBOWIĄZKÓW I UPRAWNIEŃ PRACODAWCY, PRACOWNIKÓW ORAZ POSZCZEGÓLNYCH JEDNOSTEK ORGANIZACYJNYCH ZAKŁADU PRACY

SPRZĄTACZKA pracownik gospodarczy

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

Numer normy i tytuł normy (zakres powołania)

w sprawie przekazywania środków z Funduszu Zajęć Sportowych dla Uczniów

PRZEPISY KLASYFIKACJI I BUDOWY STATKÓW MORSKICH

ZARZĄDZENIE Nr 51/2015 Burmistrza Bornego Sulinowa z dnia 21 maja 2015 r.

DECYZJA NR 2/11 SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO. z dnia 3 stycznia 2011 r.

ZARZĄDZENIE NR 179/14 BURMISTRZA CIECHOCINKA z dnia 15 grudnia 2014 roku

PROCEDURA OCENY RYZYKA ZAWODOWEGO. w Urzędzie Gminy Mściwojów

1.5. Program szkolenia wstępnego. Lp. Temat szkolenia Liczba godzin

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY W RÓśANIE

Znak: OR

Zarządzenie nr 7 Rektora Uniwersytetu Jagiellońskiego z 26 stycznia 2011 roku

z dnia 6 lutego 2009 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

Zarządzenie Nr 339/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

Oferta kompleksowego serwisu sprzętu komputerowego dla przedsiębiorstw, instytucji oraz organizacji.

Procedura nadawania uprawnień do potwierdzania, przedłuŝania waŝności i uniewaŝniania profili zaufanych epuap. Załącznik nr 1

Instrukcja zarządzania bezpieczeństwem Zintegrowanego Systemu Zarządzania Oświatą

Umowa o powierzanie przetwarzania danych osobowych

USTAWA. z dnia 29 sierpnia 1997 r. Ordynacja podatkowa. Dz. U. z 2015 r. poz

OPIS TECHNICZNY DO PROJEKTU BUDOWLANEGO SIŁOWNI TERENOWEJ

INFORMACJA DOTYCZĄCA BEZPIECZEŃSTWA I OCHRONY ZDROWIA PODCZAS REMONTU BALKONÓW

REGULAMIN KONTROLI ZARZĄDCZEJ W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W TOLKMICKU. Postanowienia ogólne

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

PLAN I HARMONOGRAM KONTROLI ZARZĄDCZEJ W SZKOLE PODSTAWOWEJ NR 1 IM. FRYDERYKA CHOPINA W ŻARACH NA ROK 2014

Projekt U S T A W A. z dnia

Procedura nadawania uprawnień do potwierdzania Profili Zaufanych w Urzędzie Gminy w Ryjewie

REMONT POMIESZCZEŃ SĄDU REJONOWEGO POZNAŃ STARE MIASTO PRZY UL. DOŻYNKOWEJ 9H W POZNANIU. IV. INFORMACJA BIOZ

Zarządzenie Nr Wójta Gminy Łęczyce z dnia r.

Nadzór nad systemami zarządzania w transporcie kolejowym

(Akty, których publikacja nie jest obowiązkowa) KOMISJA

Infrastruktura krytyczna dużych aglomeracji miejskich wyznaczanie kierunków i diagnozowanie ograniczeńjako wynik szacowania ryzyka

Instrukcja Obsługi STRONA PODMIOTOWA BIP

ZARZĄDZENIE NR 11/2012 Wójta Gminy Rychliki. z dnia 30 stycznia 2012 r. w sprawie wdrożenia procedur zarządzania ryzykiem w Urzędzie Gminy Rychliki

PRZETWARZANIE DANYCH OSOBOWYCH

Załącznik nr 7 DO UMOWY NR. O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

ruchu. Regulując przy tym w sposób szczegółowy aspekty techniczne wykonywania tych prac, zabezpiecza odbiorcom opracowań, powstających w ich wyniku,

Nadleśnictwo Chojna. W celu:

INSTRUKCJA postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

U M O W A. zwanym w dalszej części umowy Wykonawcą

Istotne postanowienia umowy (część III) Nr R.U.DOA-IV

RZECZPOSPOLITA POLSKA. Prezydent Miasta na Prawach Powiatu Zarząd Powiatu. wszystkie

Wymagania dla ruchomych punktów sprzedaży (tj. pojazdy przeznaczone do handlu

Zielona Góra, 27 lutego 2014 r. VII G 211/01/14. wszyscy Wykonawcy. WYJAŚNIENIA TREŚCI SPECYFIKACJI ISTOTNYCH WARUNKÓW ZAMÓWIENIA, nr 3

Proces certyfikacji ISO 9001:2015. Wydanie normy ISO 9001:2015 dotyczące systemów zarządzania jakością obowiązuje od 15 września 2015 roku.

ZESTAWIENIE UWAG. na konferencję uzgodnieniową w dn r. poświęconą rozpatrzeniu projektu. rozporządzenia Prezesa Rady Ministrów

REGULAMIN STUDENCKIEJ TELEWIZJI INTERNETOWEJ UNIWEREK.TV. Rozdział I Przepisy ogólne. Rozdział II Struktura i organy Telewizji

Zagospodarowanie magazynu

W nawiązaniu do korespondencji z lat ubiegłych, dotyczącej stworzenia szerszych

Zarządzenie Nr 325/09 Burmistrza Miasta Bielsk Podlaski z dnia 29 czerwca 2009 r.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

I. Postanowienia ogólne

Rudniki, dnia r. Zamawiający: PPHU Drewnostyl Zenon Błaszak Rudniki Opalenica NIP ZAPYTANIE OFERTOWE

Odpowiedzi na pytania zadane do zapytania ofertowego nr EFS/2012/05/01

STOWARZYSZENIE LOKALNA GRUPA DZIAŁANIA JURAJSKA KRAINA REGULAMIN ZARZĄDU. ROZDZIAŁ I Postanowienia ogólne

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH PRAKTYKI LEKARSKIEJ/DENTYSTYCZNEJ....

PARLAMENT EUROPEJSKI Komisja Rolnictwa i Rozwoju Wsi. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

4 Zapoznanie studentów z postanowieniami Instrukcji o której mowa w 1 niniejszego zarządzenia przeprowadza Kierownik Domu Studenta.

KOMISJA WSPÓLNOT EUROPEJSKICH. Wniosek DECYZJA RADY

oraz nowego średniego samochodu ratowniczo-gaśniczego ze sprzętem ratowniczogaśniczym

PROCEDURA REKRUTACJI DZIECI DO PRZEDSZKOLA NR 2 PROWADZONEGO PRZEZ URZĄD GMINY WE WŁOSZAKOWICACH NA ROK SZKOLNY 2014/2015

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

OA Mielec dnia, r. ZAPYTANIE OFERTOWE

ZARZĄDZENIE NR 21 /2011 DYREKTORA MUZEUM ŚLĄSKA OPOLSKIEGO W OPOLU z dnia 30 grudnia 2011 r.

Rozdział 1. Środowisko wewnętrzne

Zapytanie ofertowe dotyczy zamówienia publicznego o wartości nieprzekraczającej euro.

REGULAMIN RADY NADZORCZEJ. I. Rada Nadzorcza składa się z co najmniej pięciu członków powoływanych na okres wspólnej kadencji.

ZARZĄDZENIE NR 243/2007 PREZYDENTA MIASTA KRAKOWA Z DNIA 7 lutego 2007 roku

Spis zawarto ci : 1. Podstawa opracowania 2. Zakres robót dla całego zamierzenia inwestycyjnego oraz kolejno realizacji poszczególnych obiektów 3.

Warszawa, dnia 6 listopada 2015 r. Poz ROZPORZĄDZENIE MINISTRA ROLNICTWA I ROZWOJU WSI 1) z dnia 23 października 2015 r.

Załącznik Nr 1 do zarządzenia Burmistrza Gminy Brwinów nr z dnia 29 marca 2011 roku

ZARZĄDZENIE NR 21/2015 WÓJTA GMINY IWANOWICE Z DNIA 12 PAŹDZIERNIKA 2015 ROKU w sprawie ustalenia wytycznych kontroli zarządczej.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Gminy Wągrowiec

ZARZĄDZENIE NR 155/2014 BURMISTRZA WYSZKOWA z dnia 8 lipca 2014 r.

PROGRAM SZKOLENIA W ZAKRESIE BEZPIECZEŃSTWA I HIGIENY PRACY

zone ATMS.zone Profesjonalny system analizy i rejestracji czas pracy oraz kontroli dostępu

UCHWAŁA NR VIII/43/2015 r. RADY MIASTA SULEJÓWEK z dnia 26 marca 2015 r.

P R O C E D U R Y - ZASADY

Opinia do ustawy o zmianie ustawy o publicznej służbie krwi oraz niektórych innych ustaw. (druk nr 149)

SEKCJA I: ZAMAWIAJĄCY SEKCJA II: PRZEDMIOT ZAMÓWIENIA. 1 z :59

ZARZĄDZENIE NR 104/2012 WÓJTA GMINY LEŻAJSK. z dnia 21 grudnia 2012 r. w sprawie zmian w budżecie gminy na 2012 rok

Opis przedmiotu zamówienia dla części 1 oraz dla części 2 zamówienia. Załącznik nr 1 do SIWZ

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

Development Design Sp. z o.o. PRACE RENOWACYJNO REMONTOWE POMIESZCZEŃ RATUSZA MIEJSKIEGO

Protokół z inspekcji gotowości operacyjnej Ochotniczej Straży Pożarnej Krajowego Systemu Ratowniczo-Gaśniczego.

Koszty realizacji Programu zostaną pokryte z budżetu Miasta Ząbki wydatki dział 900, rozdział 90013, 4300 i 4210.

Zasady rekrutacji do Publicznego Gimnazjum nr 1 im. Józefa Piłsudskiego w Brzegu zasady, tryb, postępowanie, dokumentacja rok szkolny 2016/2017

Transkrypt:

Ochrona fizyczna jest najstarszą, ale ciągle pewną metodą ochrony zasobów materialnych i informacyjnych. Stanowi pierwszą linię obrony instytucji przed zagrożeniami. Zgodnie z normą ISO 17799 jej celem jest zapobieganie nieuprawnionemu dostępowi, uszkodzeniom i ingerencji w pomieszczenia instytucji i jej informacje. Jeżeli w organizacji nie wdrożono podstawowych środków ochrony fizycznej, to nie można mówić o jakimkolwiek bezpieczeństwie. Organizacje, które kładą nacisk na ochronę teleinformatyczną zasobów IT, często nie doceniają mechanizmów ochrony fizycznej. Brak odpowiednich zabezpieczeń fizycznych może nieść za sobą katastrofalne skutki, począwszy od kradzieży sprzętu, komputerowych nośników informacji, czy też awarii zasilania lub systemu klimatyzacji. Brak zasobów, ich uszkodzenie, czy też ich niedostępność może zakłócić ciągłość funkcjonowania instytucji i realizacji przez nią zadań statutowych. Projektując system ochrony fizycznej zasobów IT należy kierować się wymaganiami biznesowymi, wymaganiami prawa i tzw. najlepszymi praktykami w tym zakresie. Można skorzystać z zaleceń zawartych w normie ISO 17799, a zwłaszcza w rozdziale Bezpieczeństwo fizyczne i środowiskowe. Punktem wyjścia do zbudowania skutecznego sytemu ochrony fizycznej zasobów IT jest przeprowadzenie analizy ryzyka. Poziom ochrony zasobów IT (sprzętu komputerowego, sprzętu sieciowego urządzeń aktywnych, sprzętu telekomunikacyjnego, okablowania, oprogramowania, komputerowych nośników informacji, licencji na oprogramowanie, dokumentacji technicznej, systemów zasilania i klimatyzacji, personelu IT, itp.) zależy od poziomu ryzyka związanego z materializacją zagrożeń. Skuteczny system ochrony fizycznej ma uniemożliwić dostęp osobom nieuprawnionym do elementów systemów i sieci teleinformatycznych. Podstawowa zasada jaka musi być uwzględniona przy projektowaniu systemu kontroli dostępu jest jasny i spójny podział obiektu na strefy zabezpieczające. Poprawnie wyznaczone strefy dostępu (właściwie zlokalizowane), odpowiednio zabezpieczone pomieszczenia oraz skuteczna kontrola dostępu (kontrola wejść i wyjść oraz przebywania) gwarantują realizację przyjętego w organizacji poziomu bezpieczeństwa zasobów IT. Strefy dostępu w zależności od sposobu ochrony można podzielić na: strefy ogólnodostępne, strefy z ograniczonym dostępem, strefy szczególnie chronione, strefy zastrzeżone. Następnie należy każdej ze stref przyporządkować odpowiednią klasę środków ochrony. Dojście do najbardziej chronionych stref i pomieszczeń powinno przebiegać przez więcej niż jeden punkt kontroli zależnie od ważności miejsca chronionego. Eliminuje się wtedy przypadkowe ominięcie pojedynczego punktu kontroli. Należy również do minimum ograniczyć ilość osób mających dostęp do kluczowych pomieszczeń. Dla większej skuteczności systemu kontroli dostępu wskazane jest zainstalowanie centralnego systemu kontroli dostępu, a nie pojedynczych urządzeń (czytników sterujących poszczególnymi bramkami, czy też drzwiami) oraz specjalizowane oprogramowanie do analizy zdarzeń z narzędziami pozwalającymi wychwycić nieautoryzowany dostęp do kluczowych miejsc w organizacji. Aby system ochrony fizycznej spełniał swoje zadania środki ochrony (mechanizmy zabezpieczające) muszą być kompleksowe, komplementarne (wzajemnie się uzupełniać), ra 1 / 5

cjonalne (zaakceptowane przez użytkowników) i efektywne (koszt zabezpieczeń, nie może przekraczać wartości chronionych zasobów) oraz obejmować wszystkie rodzaje zabezpieczeń, począwszy od zabezpieczeń organizacyjnych (często lekceważonych), poprzez zabezpieczenia budowlane, mechaniczne, elektroniczne, a skończywszy na ochronie fizycznej (czynnej). Ważne jest również zagwarantowanie optymalnych warunków pracy dla sprzętu elektronicznego stąd zalecana jest instalacja klimatyzacji oraz zapewnienie awaryjnego zasilania. Przystępując do budowy systemu ochrony fizycznej zasobów IT powinniśmy odpowiedzieć sobie na następujące pytania: CO CHRONIMY?, PRZED CZYM CHRONIMY?, W JAKI SPOSÓB CHRONIMY? Z JAKIM SKUTKIEM CHRONIMY? Analiza ryzyka powinna obejmować analizę wartości zasobów IT (chronimy tylko zasoby wartościowe, słabo zabezpieczone, zagrożone), analizę zagrożeń (powinniśmy brać pod uwagę tylko zagrożenia realne, a nie hipotetyczne), analizę podatności (słabości zasobów) oraz analizę aktualnego stanu zabezpieczenia zasobów IT (zabezpieczenia organizacyjne i techniczne). Następnie na podstawie wyników analizy ryzyka powinniśmy dobrać zabezpieczenia tak, aby zminimalizować ryzyko związane z wykorzystaniem podatności przez zagrożenia. Ryzyko, które pozostaje po wprowadzeniu zabezpieczeń nazywamy ryzykiem szczątkowym. Zaprojektowane zabezpieczenia należy ująć w planie zabezpieczeń (planie ochrony zasobów IT) oraz opracować harmonogram ich wdrożenia. Polska norma, PN-93 E-08390/14 Systemy alarmowe Wymagania ogólne Zasady stosowania, wyróżnia ze względu na stopień zagrożenia osób i wartość szkód, cztery kategorie zagrożonych wartości Zn, od Z1 do Z4, odpowiadające różnym poziomom ryzyka występującym w dozorowanych obiektach. Do oceny skuteczności zabezpieczenia określonej kategorii zagrożonej wartości norma ustala trzy poziomy bezpieczeństwa (niższy, normalny, wyższy) chronionych zasobów i przyporządkowuje im odpowiedniej klasy środki elektroniczne wspomagające ochronę fizyczną, w postaci stosownej klasy system ów alarmowych SAn (systemów sygnalizacji włamania i napadu), od SA1 do SA4. Do szacowania wartości wymiernej mienia (chronionych zasobów) można posłużyć się wielokrotnością współczynnika N 2 / 5

, definiowanego jako średni roczny dochód pracownika w pięciu podstawowych działach gospodarki (publikowany przez GUS). Na potrzeby niniejszego artykułu przyjęto cztery poziomy ryzyka (niskie,średnie,wysokie,bardzo wysokie) i odpowiadające mu cztery kategorie zagrożonej wartości Zn (od Z1 do Z4) oraz cztery klasy środków ochrony: zabezpieczenia pierwszego typu (budowlano-mechaniczne BM1, elektroniczne E1, ochrony fizycznej OF1) - klasa popularna, zabezpieczenia drugiego typu (BM2, E2, OF2) - klasa standardowa, zabezpieczenia trzeciego typu (BM3, E3, OF3) - klasa certyfikowana i zabezpieczenia czwartego typu (BM4, E4, OF4) - klasa specjalna. Po dokonaniu klasyfikacji zasobów IT można je przyporządkować do określonej kategorii zagrożonej wartości i w prosty sposób dobrać adekwatne do poziomu zagrożenia (poziomu ryzyka) stosowne zabezpieczenia, pierwszego, drugiego, trzeciego lub czwartego typu, w postaci odpowiednich zabezpieczeń czynnych osobowych OFn (od OF1 do OF4) i zabezpieczeń biernych: budowlano-mechanicznych BMn (od BM1 do BM4) oraz elektronicznych En (od E1 do E4). Środki ochrony fizycznej (czynnej) obejmują: dozorców, portierów, recepcjonistów, wartowników, patrole interwencyjne, pracowników ochrony fizycznej pierwszego i drugiego stopnia, SUFO (specjalizowane uzbrojone formacje ochronne) odpowiednio do klasy środków ochrony (typu 1, 2, 3 lub 4). Środki ochrony budowlano-mechaniczne obejmują: ogrodzenia, bramy, ściany, stropy, drzwi, okna, szyby, zamki, kłódki, kraty, żaluzje, rolety, kasety, sejfy, szafy metalowe do przechowywania wartości, szafy ognioodporne do przechowywania komputerowych nośników informacji, odpowiednio do klasy środków ochrony (typu 1, 2, 3 lub 4). Środki ochrony elektronicznej obejmują: systemy sygnalizacji włamania i napadu, systemy kontroli dostępu, systemy telewizji dozorowej, systemy sygnalizacji pożarowej, dźwiękowe systemy ostrzegawcze, odpowiednio do klasy środków ochrony (typu 1, 2, 3 lub 4). Projektując system ochrony fizycznej nie należy zapominać o ochronie przeciwpożarowej zas obów IT. Należy pamiętać, aby zabezpieczyć obiekt, lub co najmniej kluczowe pomieszczenia czujkami systemu sygnalizacji pożarowej oraz systemem gaśniczym, np. serwerownie, centrale telefoniczne, pomieszczenia, w których przechowuje się kopie zapasowe danych, pomieszczenia, w których zlokalizowano sprzęt telekomunikacyjny urządzenia aktywne, szafy dystrybucyjne, urządzenia awaryjnego zasilania (centralny UPS, agregat prądotwórczy). Ochrona przeciwpożarowa nie wchodzi w skład ochrony fizycznej. Regulują ją, m. in. przepisy: Ustawy z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej, Rozporządzenie MSWiA z dnia 21 kwietnia 2006 r. w sprawie ochrony przeciwpożarowej budynków, innych obiektów 3 / 5

budowlanych i terenów oraz Rozporządzenie MI z dnia 12 kwietnia 2002 r. w sprawie warunków technicznych, jakim powinny odpowiadać budynki i ich usytuowanie. Ważnym aspektem ochrony fizycznej jest system przepustek (identyfikatorów) lub inny system uprawniający do wejścia, przebywania i wyjścia ze stref dostępu, zasady przyznawania i odbierania uprawnień do przebywania w strefach dostępu oraz okresowa kontrola uprawnień. W ten sposób możemy mieć pewność, że uprawnienia dostępu w systemie mają tylko upoważnione osoby. Bardzo przydatne są tu systemy telewizji dozorowej wraz z chronioną rejestracją obrazu. Cyfrowe rejestratory obrazu zapewniają długi czas nagrań i mogą zostać użyte do celów dowodowych w przypadku incydentu. Nie należy zapominać o wdrożeniu procedur organizacyjnych obejmujących: eskortowanie gości, zamykanie drzwi i okien w pomieszczeniach, zarządzanie kluczami do pomieszczeń (szczelny system przechowywania kluczy do pomieszczeń chronionych użytku bieżącego i zapasowych), nadzór nad pracą personelu pomocniczego, zwłaszcza sprzątaniem pomieszczeń i pracą personelu serwisowego, przechowywanie kopii zapasowych w zabezpieczonych pomieszczeniach (jak najbardziej odległych w pionie i poziomie od miejsc ich wytworzenia) w specjalnych szafach ognioodpornych służących do przechowywania komputerowych nośników informacji, aktualną dokumentację techniczną (zasilanie, okablowanie, sprzęt, oprogramowanie, plany awaryjne i plany ciągłości działania). Najsłabszym ogniwem każdego systemu bezpieczeństwa jest czynnik ludzki. Należy o nim pamiętać już na etapie rekrutacji i zatrudniania personelu IT (należy zatrudniać właściwych ludzi, sprawdzać ich referencje z poprzednich miejsc pracy, szkolić personel IT z procedur bezpieczeństwa, ciągle podnosić jego świadomość, rozdzielać kluczowe obowiązki pomiędzy dwóch pracowników zgodnie z zasadą dwóch par oczu ). Wszyscy pracownicy IT powinni podpisać stosowne zobowiązania o poufności, a z kluczowymi pracownikami IT należy podpisać umowy o zakazie konkurencji. Reasumując, zaprojektowanie skutecznego sytemu ochrony zasobów IT wymaga zastosowania właściwej metodyki obejmującej następujące działania: - klasyfikacja zasobów IT (analiza wartości zasobów), - analiza zagrożeń, - analiza podatności, - analiza aktualnego stanu bezpieczeństwa, - ustalenie wymaganego poziomu ochrony zasobów IT, - określenie kategorii zagrożonej wartości, - ustalenie klas środków ochrony, - opracowanie planu zabezpieczeń (planu ochrony zasobów IT), - wdrożenie zabezpieczeń, - monitorowanie zabezpieczeń, - doskonalenie systemu zabezpieczeń. 4 / 5

5 / 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres