Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski



Podobne dokumenty
Kompleksowe Przygotowanie do Egzaminu CISMP

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Promotor: dr inż. Krzysztof Różanowski

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Szkolenie otwarte 2016 r.

ISO w Banku Spółdzielczym - od decyzji do realizacji

SZCZEGÓŁOWY HARMONOGRAM KURSU

ISO bezpieczeństwo informacji w organizacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Poznań 23 listopada 2016 r. A u t o r : dr inż. Ludwik Królas

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

INTERNATIONAL POLICE CORPORATION

Bezpieczeństwo danych w sieciach elektroenergetycznych

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Reforma ochrony danych osobowych RODO/GDPR

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I BHP WG NORM ISO 9001:2015 I OHSAS/PN-N

PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB KLUCZ ODPOWIEDZI. Część DODATEK

BIZNESU. Blisko potrzeb. PROXIMUS S.A. ul. Ligocka Katowice. tel.: fax:

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

HARMONOGRAM SZKOLENIA

Adonis w Banku Spółdzielczym w Trzebnicy

Zarządzanie ryzykiem w bezpieczeostwie IT

INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA JAKOŚCIĄ wg ISO 9001:2015

I. O P I S S Z K O L E N I A

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Cel i hipoteza pracy

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Narzędzie informatyczne do modelowania, zarządzania i dokumentowania procesów systemu zarządzania jakością

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Maciej Byczkowski ENSI 2017 ENSI 2017

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Normalizacja dla bezpieczeństwa informacyjnego

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Wykorzystanie standardów serii ISO oraz OGC dla potrzeb budowy infrastruktury danych przestrzennych

INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA ŚRODOWISKOWEGO wg PN-EN ISO 14001:2015

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Wprowadzenie w tematykę zarządzania przedsięwzięciami/projektami. dr inż. Agata Klaus-Rosińska

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Outsourcing procesów. dr Arkadiusz Wargin CTPartners S.A. Analiza projektu B2B Kielce, 18 października 2012

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Robert Meller, Nowoczesny audyt wewnętrzny

PODSTAWY ZARZĄDZANIA PROJEKTAMI

Szczegółowy opis przedmiotu zamówienia:

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Idea Bezpiecznej Maszyny w prostym podejściu. użyj Safety Evaluation Tool. Safety Integrated.

Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r.

Rozdział 3 Inwentaryzacja procesów i zasobów biorących udział w procesach

ZAPYTANIE OFERTOWE. b) Sprzęt do zintegrowanego zarządzania produkcją i magazynem

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

POLITYKA E-BEZPIECZEŃSTWA

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Marcin Soczko. Agenda

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Spis treści. Wykaz skrótów. Wstęp. 1. Znaczenie informacji w funkcjonowaniu organizacji

Jak skutecznie wykorzystać system zarządzania JST do poprawy jakości życia mieszkańców?

ZAPROSZENIE DO SKŁADANIA OFERT

WYBRANE SZKOLENIA PIKW w roku 2016 III/IV kwartał Tytuł szkolenia wrzesień październik listopad grudzień

PRINCE2 Foundation & Practitioner - szkolenie z egzaminem certyfikacyjnym

Grzegorz Pieniążek Hubert Szczepaniuk

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

Komunikat nr 115 z dnia r.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Wymagania dla środków zarządzania środowiskowego na przykładzie normy ISO 14001:2015. Identyfikacja aspektów środowiskowych.

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Ryzyko systemów informatycznych Fakty

Zarządzanie projektami a zarządzanie ryzykiem

Projekt: PROLOG wzrost potencjału przedsiębiorstw logistycznych województwa pomorskiego

Mapowanie wybranych procesów obsługi klienta w sektorze. Dzień 1.

Spis treści. Analiza Zagrożeń Instrukcja Użytkowania

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

Transkrypt:

: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich Maciej Kaniewski 1/19

IT Baseline Protection Manual IT Grundschutz = zabezpieczenie podstawowe Opracowany przez Federalny Urząd ds. Bezpieczeństwa w Technice Informacyjnej (zał. 1990, podlega federalnemu MSW) Standard dostępny bezpłatnie w wersji niemieckiej (pełnej) oraz angielskiej (trochę okrojonej) www.bsi.de Cel przystępne narzędzie, pozwala uniknąć szczegółowej analizy ryzyka od podstaw dla typowych systemów informatycznych Ok. 4000 użytkowników urzędy federalne (w tym MSW, policja, GSG9), landy i administracja lokalna, przedsiębiorstwa Ostatnia wersja listopad 2004 Katalog najlepszych praktyk - ok. 55 komponentów, 600 zabezpieczeń, 2200 stron Pierwszy wydany certyfikat październik 2002 Obecnie BSI certyfikuje według 27001 na bazie IT-Grundschutz Istnieje narzędzie wspomagające projektowanie polityki bezpieczeństwa (Grundschutz-Tool) - dodatkowo płatne 2/19

Standardy uzupełniające 100-1: Systemy zarządzania bezpieczeństwem informacji (wpasowanie w model ISO 27001 oraz ISO 17799) 100-2: Sposób postępowania przy IT- Grundschutz (wstęp metodyczny) 100-3: Analiza ryzyka na bazie IT- Grundschutz (uzupełnienie) 3/19

IT Baseline Protection Manual (2) Analiza strukturalna Inwentaryzacja aplikacji Inwentaryzacja systemów IT Określenie wymagań bezpieczeństwa Aplikacje Systemy Podstawowa analiza ryzyka Uzupełniająca analiza ryzyka opcja Planowanie wdrożenia 4/19

IT Baseline Protection Manual (3) Określenie wymaganego poziomu bezpieczeństwa na podstawie scenariuszy szkód Osobno dla każdego atrybutu bezpieczeństwa (poufność, dostępność, integralność) bada się konsekwencje w zakresie: naruszenie prawa i przepisów naruszenie ochrony danych osobowych naruszenie bezpieczeństwa osobistego ograniczenie możliwości wykonywania zadań negatywne oddziaływanie na zewnątrz straty finansowe Określenie sumarycznego poziomu bezpieczeństwa 5/19

IT Baseline Protection Manual (4) Wymagany poziom bezpieczeństwa dla aplikacji - maksymalny wynikający z analizy scenariuszy Mapowanie aplikacji na systemy IT Wymagany poziom bezpieczeństwa dla systemu IT uwzględnienie efektu kumulacji maksymalizacji zależności dystrybucji ryzyka 6/19

IT Baseline Protection Manual (5) Podstawowa analiza ryzyka Odwzorowanie systemu IT przy pomocy słownika komponentów Analiza zagrożeń i podatności Dla każdego komponentu Analiza faktycznego stanu zabezpieczeń Identyfikacja wymagań dla zabezpieczeń Opracowanie koncepcji ochrony komponentu Opracowanie koncepcji ochrony systemu 7/19

IT Baseline Protection Manual (6) Wykaz komponentów System priorytet 1 2 Wykaz zagrożeń macierz powiązań Wykaz środków 3 8/19

IT Baseline Protection Manual (7) Modelowanie warstwowe Poziom 1: Nadrzędny zarządzanie bezpieczeństwem IT organizacja personel koncepcja planów awaryjnych koncepcja archiwizacji koncepcja ochrony antywirusowej koncepcja kryptograficzna obsługa incydentów zarządzanie sprzętem i oprogramowaniem oprogramowanie standardowe 9/19

IT Baseline Protection Manual (8) Modelowanie warstwowe (cd.) Poziom 2: Infrastruktura budynek okablowanie pomieszczenia biurowe serwerownia archiwum nośników danych pomieszczenie na infrastrukturę techniczną szafy ochronne domowe stanowisko pracy centrum obliczeniowe Poziom 3: Systemy IT Poziom 4: Sieć Poziom 5: Aplikacje 10/19

IT Baseline Protection Manual (9) Dalsze kroki: Analiza stanu zabezpieczeń Konsolidacja i sprecyzowanie zabezpieczeń Oszacowanie kosztów i czasu Plan wdrożenia Podsumowanie: plusy: możliwość szybkiego wdrożenia, obfity katalog konkretnych rozwiązań, dużo praktycznych propozycji i przykładów minusy: nie wszystkie systemy uwzględnione, brak pełnej analizy ryzyka 11/19

IT Baseline Protection Manual (10) Przykładowa struktura organizacyjna Zarząd Komitet koordynacyjny IT Komitet bezpieczeństwa IT Pełnomocnik bezpieczeństwa IT Przedstawiciele użytkowników Wydziałowy pełnomocnik bezpieczeństwa IT Pełnomocnik bezpieczeństwa IT systemu (projektu) 12/19

IT Baseline Protection Manual (11) Certyfikacja: autodeklaracja poziom podstawowy (wprowadzenie niezbędnych zabezpieczeń) bez audytu przez licencjonowanego audytora BSI z audytem przez licencjonowanego audytora BSI autodeklaracja poziom zaawansowany (wprowadzenie najważniejszych zabezpieczeń) bez audytu przez licencjonowanego audytora BSI z audytem przez licencjonowanego audytora BSI audyt certyfikacyjny i certyfikacja przez akredytowaną instytucję Autodeklaracje jako kamienie milowe do certyfikacji Ważność 2 lata 13/19

EBIOS Expression des Besoins et Identification des Objectifs de Sécurité = wyrażenie potrzeb i identyfikacja celów bezpieczeństwa Cel racjonalizacja projektowania systemu zarządzania bezpieczeństwem IT Nacisk bardziej na metodykę niż gotowe rozwiązania Opracowany przez sekretariat generalny obrony narodowej, departament bezpieczeństwa systemów informatycznych www.ssi.gouv.fr Wywodzi się z metodyki planowania bezpieczeństwa obiektów jądrowych Składa się z pięciu części: wstęp, postępowanie, techniki, narzędzie do analizy ryzyka, narzędzie do przeciwdziałania ryzyku Także wersja angielska Darmowe oprogramowanie (ze źródłami) 14/19

EBIOS (2): Etapy działania 1. Analiza kontekstu 2. Określenie wymagań bezpieczeństwa 3. Zbadanie zagrożeń 4. Określenie celów bezpieczeństwa 5. Określenie wymagań bezpieczeństwa dzielą się na 13 aktywności 15/19

EBIOS (3): Zbadanie kontekstu Aktywności 1.1 Zbadanie organizacji (instytucji) 1.2 Zbadanie wybranego systemu Format opisu: sieć działań warunki wejściowe dane wejściowe czynności dane wyjściowe porady praktyczne 1.3 Zdefiniowanie celu studium bezpieczeństwa 16/19

EBIOS (4): Techniki i narzędzia Dla każdej aktywności opisane: definicje pojęć zasady postępowania stosowana metodyka i narzędzia (tablice, formularze, katalog zagrożeń itp.) Klasyfikacja aktywów (zasobów), zagrożeń i podatności Klasyfikacja celów i wymagań bezpieczeństwa Korelacja podatności oraz celów i wymagań bezpieczeństwa Pomocnicze standardy: PSSI: opracowanie polityki bezpieczeństwa TDBSSI: opracowanie tablicy rozdzielczej bezpieczeństwa IT (metoda wizualizacji) 17/19

EBIOS (5): Podsumowanie Plusy: przejrzysta i logiczna metodyka, zastosowanie przy dowolnym wymaganym poziomie bezpieczeństwa zgodność z ISO 17799 Minusy: mniej techniczny niż IT Grundschutz, nie zawiera szczegółowych rozwiązań 18/19

Dziękuję za uwagę! Maciej.Kaniewski@eos.com.pl 19/19

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres