Bezpieczeństwo systemów informatycznych



Podobne dokumenty
Polityka bezpieczeństwa

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Promotor: dr inż. Krzysztof Różanowski

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Krzysztof Świtała WPiA UKSW

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Normalizacja dla bezpieczeństwa informacyjnego

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Szkolenie otwarte 2016 r.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Kompleksowe Przygotowanie do Egzaminu CISMP

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

ISO w Banku Spółdzielczym - od decyzji do realizacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

SZCZEGÓŁOWY HARMONOGRAM KURSU

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Audytowane obszary IT

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Przedszkole Nr 30 - Śródmieście

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

ISO bezpieczeństwo informacji w organizacji

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Kryteria oceny Systemu Kontroli Zarządczej

Dane osobowe: Co identyfikuje? Zgoda

PROCEDURA OBSŁUGI INCYDENTÓW I WNIOSKÓW NA REALIZACJĘ USŁUG W SYSTEMACH INFORMATYCZNYCH. załącznik do ZR 154/2014 z dnia 22 grudnia 2014 roku

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Polityka Ładu Korporacyjnego Banku Spółdzielczego w Legnicy. BANK SPÓŁDZIELCZY w LEGNICY. Załącznik nr 1 do Uchwały Nr 380/2014

I. O P I S S Z K O L E N I A

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Polityka zarządzania zgodnością w Banku Spółdzielczym w Łaszczowie

System Kontroli Wewnętrznej w Banku Spółdzielczym w Andrespolu ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPOŁDZIELCZYM W ANDRESPOLU

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

BAKER TILLY POLAND CONSULTING

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

INFORMACJA O REALIZACJI ZADAŃ Z ZAKRESU AUDYTU WEWNĘTRZNEGO W ROKU 2016

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

POLITYKA E-BEZPIECZEŃSTWA

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

PRELEGENT Przemek Frańczak Członek SIODO

Polityka Zarządzania Ryzykiem

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Marcin Soczko. Agenda

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

INTERNATIONAL POLICE CORPORATION

Kwestionariusz samooceny kontroli zarządczej

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

WYDZIAŁ INFORMATYKI. 2. Do zakresu działania Referatu Zarządzania Infrastrukturą Teleinformatyczną należy:

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Szczegółowe informacje o kursach

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Imed El Fray Włodzimierz Chocianowicz

1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ

SKZ System Kontroli Zarządczej

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Standard ISO 9001:2015

I. Cele systemu kontroli wewnętrznej.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Transkrypt:

Bezpieczeństwo systemów informatycznych Polityka 2014-12-05 1 Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 2 1

Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 3 Wprowadzenie Polityka (ang. security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione [wikipedia.org] 2014-12-05 4 2

Wprowadzenie Polityka (PB) obejmuje swoim zakresem nie tylko sieć komputerową przedsiębiorstwa czy instytucji, ale także całość zagadnień związanych z bezpieczeństwem danych będących w dyspozycji firmy Polityka organizacji definiuje poprawne i niepoprawne - w sensie - sposoby wykorzystywania kont użytkowników i danych przechowywanych w systemie PB powinna być dokumentem spisanym PB należy przedstawić pracownikom, tak aby była ona zrozumiana PB zazwyczaj jest konkretnym rozwiązaniem specyficznym dla rozważanej firmy, czyli trudno 2014-12-05 uogólniać zasady tworzenia polityki 5 Polityka Powinna zawierać: Wyjaśnienia, definicje podstawowych pojęć Podział odpowiedzialności i kompetencji Jasne sformułowania, prosty język Opis mechanizmów realizujących PB NIE powinna zawierać: Szczegółów technicznych Bezkrytycznych zapożyczeń z innych rozwiązań 2014-12-05 6 3

Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 7 Etapy realizacji polityki Audyt istniejących zasobów i zagrożeń Opracowanie projektu i dokumentacji Wdrożenie projektu Ciągły nadzór, kontrola i modyfikacja istniejącej polityki 2014-12-05 8 4

Realizacja polityki Polityka wymaga ciągłych modyfikacji odzwierciedlających zmieniające się uwarunkowania pracy firmy, profilu działania, stosowanego sprzętu i oprogramowania Należy określić co jaki czas mają być wykonywane wewnętrzne i zewnętrzne audyty oraz zmiany w polityce 2014-12-05 9 Model realizacji polityki Norma PN-ISO/IEC 27001 stosuje Planuj Wykonuj Sprawdzaj Działaj (PDCA) dla wdrażania SZBI (Systemu Zarządzania Bezpieczeństwem Informacji) Planuj - ustanowienie SZBI, celów, zakresu stosowania, procesów i procedur odpowiadających zarządzaniu ryzykiem oraz zwiększających bezpieczeństwo informacji tak, aby uzyskać wyniki zgodne z ogólnymi zasadami i celami instytucji 2014-12-05 10 5

Model realizacji polityki Wykonuj - wdrożenie i eksploatacja SZBI - wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur Sprawdzaj - monitorowanie i przegląd SZBI - pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu Działaj - utrzymanie i doskonalenie SZBI - podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI 2014-12-05 11 Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 12 6

Zasoby chronione w ramach polityki Sprzęt komputerowy: procesory, zasoby dyskowe, użytkowane połączenia teleinformatyczne, terminale, urządzenia sieciowe Oprogramowanie: systemy operacyjne, oprogramowanie aplikacyjne, teksty źródłowe programów, programy pomocnicze i komunikacyjne Dane firmy: transmitowane, dane przechowywane w plikach i w systemach bazodanowych, kopie zapasowe, zapisy zdarzeń (logi), dane przechowywane i przesyłane w wersji papierowej Ludzie: użytkownicy i administratorzy Dokumentacja sprzętu, oprogramowania, lokalnych regulaminów i procedur postępowania Inne materialne zasoby: pomieszczenia, sieć energetyczną, papiery wartościowe 2014-12-05 13 Typowe elementy polityki Definicje podstawowych pojęć Określenie kto za co odpowiada w przedsiębiorstwie Określenie, kto i jakie może mieć konto w systemie Określenie, czy wiele osób może korzystać z jednego konta Określenie, kiedy można odebrać prawo do konta, co zrobić z kontem po odejściu pracownika Zdefiniowanie wymagań dotyczących haseł Określenie zasad podłączenia i korzystania z sieci WAN 2014-12-05 14 7

Typowe elementy polityki Określenie zasad podłączenia i korzystania z sieci Internet (caching, filtry) Określenie zasad udostępniania informacji w Internecie Regulamin użytkownika Zobligowanie pracowników do podporządkowania się zaleceniom administratorów systemu w kwestii Określenie zasad korzystania z połączeń modemowych Określenie metod ochrony krytycznych danych firmy (finanse, dane osobowe, dane o klientach) 2014-12-05 15 Typowe elementy polityki Określenie metod ochrony przed wirusami Określenie zasad sporządzania audytów, kontroli systemu, zapisu historii pracy systemu Określenie zasad dokonywania uaktualnień oprogramowania Określenie zasad korzystania z usługi outsourcing Określenie zasad serwisowania sprzętu 2014-12-05 16 8

Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 17 Strategie Strategie spisane w formie dokumentu tworzą plan ochrony, który jest opracowywany przez osoby opiekujące się systemem informatycznym Plan ochrony powinien zawierać: Opis realizacji metod kontroli dostępu do systemu i zasobów Opis metod okresowego lub stałego monitorowania systemu Dokładny opis metod reagowania na wykrycie zagrożenia Opis metod likwidacji skutków zagrożeń 2014-12-05 18 9

Koncepcje strategii ochrony Zasada poziomu celem projektanta powinno być zapewnienia maksymalnie dostatecznej ochrony i odpowiednio duże zmniejszenie ryzyka wystąpienia zagrożeń, a nie zbudowanie zabezpieczeń idealnych Zasada opłacalnych zabezpieczeń mechanizmy zapewniające ochronę systemu informatycznego są opłacalne jedynie w przypadku, gdy koszt ich wdrożenia jest niższy niż koszty związane z wykorzystaniem danego zagrożenia 2014-12-05 19 Koncepcje strategii ochrony Zasada najmniejszych przywilejów wymaga, aby użytkownicy końcowi, procesy czy też programy komputerowe miały dostęp jedynie do tych zasobów systemu informatycznego, do których dostęp ten jest wymagany Zasada rozdzielania informacji polega na ograniczeniu dostępu do pewnych zasobów jedynie dla tych osób, które powinny ów dostęp posiadać (reguły Need to Know oraz In The Know Zasada separacji obowiązków określa konieczność pozbawienia pojedynczych osób zdolności do wykonywania krytycznych działań w całości 2014-12-05 20 10

Koncepcje strategii ochrony Zasada niskiej złożoności systemów dla złożonych systemów prawdopodobieństwo wystąpienia w nich błędu jest wprost proporcjonalne do ich złożoności, więc projektowane środki ochrony powinny być proste i skuteczne Zasada najsłabszego ogniwa niezbędna jest ochrona nie tylko zasobów strategicznych, lecz także tych mniej znaczących, w myśl zasady, iż system jest tak bezpieczny jak jego najsłabsze ogniwo Zasada ograniczonego zaufania odnosi się do konieczności odseparowania od siebie systemów i ograniczenia relacji zaufania między nimi 2014-12-05 21 Koncepcje strategii ochrony Zasada wąskiego przejścia polega na ograniczeniu liczby możliwych wejść do systemu informatycznego, zmusza to napastnika do używania kanału, który jest odpowiednio dobrze kontrolowany (np. przez zaporę ogniową) Zasada dogłębnej ochrony dotyczy tworzenia wielu warstw zabezpieczeń w systemie informatycznym Zasada zróżnicowanej ochrony polega na stosowaniu nie tylko dostatecznie dużej ilości warstw mechanizmów obronnych, ale również ich zróżnicowaniu 2014-12-05 22 11

Analizy ryzyka Ograniczenie ryzyka realizowane poprzez stosowanie odpowiednich zabezpieczeń Przeniesienie ryzyka odpowiedzialność za ewentualne wykorzystanie podatności przez zagrożenie spoczywa na innej jednostce organizacyjnej Unikanie ryzyka realizowane poprzez usunięcie jednego z aktywów, które podatne jest dane zagrożenie, nie są wtedy wymagane żadne mechanizmy Akceptowanie ryzyka w przypadku zagrożeń, przed którymi ochrona jest wysoce nieopłacalna oraz prawdopodobieństwo wystąpienia jest znikome, możliwe jest w pełni świadome zaakceptowanie ryzyka 2014-12-05 23 Zarządzanie ryzykiem 2014-12-05 24 12

Reakcje na próby ataku na system Brak działania Analiza sytuacji Zatrzymanie pracy całego lub części systemu, poinformowanie użytkowników Analiza zapisu stanu systemu Odtworzenie z archiwów ostatniego stanu systemu 2014-12-05 25 Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 26 13

Sposoby zabezpieczeń Organizacyjne Administracyjne Fizyczne Transmisji Emisji Programowe 2014-12-05 27 Organizacyjne zabezpieczenia systemu Określenie specjalnych obszarów chronionych Ograniczenie wymiany dokumentów Opracowanie regulaminów i procedur pracy Utworzenie procedur awaryjnych Ograniczenie ryzyka błędów ludzkich (wprowadzenie procedur kontrolnych, bilansowanie) Opracowanie procedur przyjmowania urządzeń (kontrola jakości, gwarancja, serwis, certyfikacja, ochrona zewnętrzna) Opracowanie procedur odbioru i certyfikacji oprogramowania Szkolenia pracowników 2014-12-05 28 14

Administracyjne zabezpieczenia systemu Odpowiednie kierowanie wszystkim procesami Certyfikacja sprzętu, oprogramowania, pomieszczeń, osoby Zarządzanie dostępem do pomieszczeń i obiektów Zarządzanie kluczami kryptograficznymi Administrowanie systemem informatycznym 2014-12-05 29 Fizyczne zabezpieczenia systemu Fizyczne zabezpieczenie pomieszczeń Obszary chronione Strefy ochronne Wycofywanie, niszczenie starych podzespołów komputerowych Zapewnienie odpowiednich źródeł zasilania Bezpieczne przechowywanie gotówki, papierów wartościowych Stosowanie sprzętu zapasowego (awaryjnego) 2014-12-05 30 15

Zabezpieczenia transmisji Określenie głównych i awaryjnych dróg transmisji Zabezpieczanie dokumentów elektronicznych Zabezpieczenie sieci telekomunikacyjnej i telefonicznej 2014-12-05 31 Zabezpieczenia emisji Odpowiedniej jakości sprzęt komputerowy Strefy ochronne Ekranownie 2014-12-05 32 16

Programowe zabezpieczenia systemu Kontrola dostępu do systemu, ochrona plików i bazy danych Zastosowania narzędzi kryptograficznych Użycie mechanizmów separacji (firewall) Użycie mechanizmów wykrywania włamań (IDS, IPS) Użycie programów antywirusowych Użycie programów do monitorowania działań użytkowników systemów informatycznych 2014-12-05 33 Szkolenia pracowników Mechanizmy będą skuteczne, jeżeli personel zostanie prawidłowo przeszkolony z zakresu Na zakończenie szkolenia pracownik powinien otrzymać i podpisać regulamin użytkownika opracowany dla danego stanowiska pracy Łamanie zaleceń regulaminu użytkownika powinno wiązać się z karami dla pracownika Dotyczy to również wszystkich nowych pracowników przyjmowanych do pracy 2014-12-05 34 17

Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 35 Bezpieczeństwo vs. polityka przedsiębiorstwa Modele zabezpieczeń: brak zabezpieczeń i bierne oczekiwanie, ochrona wybranych elementów, ochrona całości przedsiębiorstwa Polityka wewnętrzna powinna zapewniać aktualizacje procedur, analizę zagrożeń oraz ocenę skuteczności stosowanych metod Organizacja firmy zaleca się żeby w firmie powstała osobna komórka organizacyjna zajmująca się bezpieczeństwem i zatrudniająca specjalistów 2014-12-05 36 18

Bezpieczeństwo vs. polityka przedsiębiorstwa Zatwierdzenie systemu zarząd firmy powinien formalnie zatwierdzać najważniejsze dokumenty związane z bezpieczeństwem Kontrola specjalna komisja kontroli wewnętrznej systemu powinna systematycznie kontrolować system. Zalecana są także kontrole zewnętrzne Współpraca kierownictwa ważne decyzje muszą być podejmowane w porozumieniu z innymi działami i zarządem 2014-12-05 37 Bezpieczeństwo vs. polityka przedsiębiorstwa Odpowiedzialny dobór kadr na ważne stanowiska związane z bezpieczeństwem Dbałość o pracownika pracownik jest najważniejszym i często najsłabszym elementem systemu Współpraca z kontrahentem wymaga dokładnej kontroli 2014-12-05 38 19

Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 39 Projektowanie systemu i procedur Etap przygotowania Praca nad projektem Wyniki projektowania Etapy wdrożenia systemu 2014-12-05 40 20

Etap przygotowania Marketing ważne jest poprzez odpowiedni marketing przekonać zarząd i pracowników do konieczności opracowania polityki Różnorodność problemu każde przedsiębiorstwo wymaga innych technik i innego podejścia do problemu Opis procesów pracy zachodzących w przedsiębiorstwie Opracowanie lista obiektów występujących w firmie wraz z ich dokładnym opisem i ewentualną dokumentacją (np. nieruchomości, obiekty ruchome, narzędzia pracy, pracownicy, dokumenty, itd.) 2014-12-05 41 Praca nad projektem Planowanie, jaki zakres działalności przedsiębiorstwa będzie chroniony i w jaki sposób Zdefiniowanieźródeł informacji i drogi jej przekazywania Wybór różnorodnych metod zabezpieczeń (fizycznych, programowych, transmisji, administracyjnych, organizacyjnych) na podstawie aktualnej wiedzy, statystyk, istniejących zabezpieczeń, opinii fachowców, wymogów prawnych Analiza wprowadzanych zabezpieczeń i ich wpływu na procesy pracy. Ewentualna zmiana tych procesów w porozumieniu z kierownictwem poszczególnych jednostek 2014-12-05 42 21

Wyniki projektowania Opis zakresu systemu Opis przyjętej polityki Opis wpływu systemu ochrony na działanie przedsiębiorstwa Lista obszarów chronionych Lista procesów i procedur zdefiniowanych w przedsiębiorstwie Opis etapów wdrażania systemu Kosztorys wprowadzenia systemu Prezentacja pokazująca korzyści wypływające z wdrożenia systemu 2014-12-05 43 Etapy wdrożenia systemu Działania marketingowe w celu przekonania pracowników i zarządu o potrzebie wdrożenia nowych rozwiązań podnoszących bezpieczeństwo Przygotowanie organizacyjne przedsiębiorstwa w celu osiągnięcia sytuacji optymalnej dla działania systemu Przeszkolenie kierownictwa w zakresie: informacji merytorycznych o systemie i wiedzy z zakresu prowadzenia wdrożenia Przygotowanie dokumentacji (najlepiej dla każdego pracownika) Wprowadzenie podstawowej wersji systemu obejmującej działania do tej pory już wykonywane, ale nie spisane formalnie 2014-12-05 44 22

Etapy wdrożenia systemu Wprowadzenie pełnej wersji pilotażowej systemu w wybranej jednostce organizacyjnej Przeprowadzenie cyklu szkoleń dla wszystkich pracowników. Zakres szkoleń powinien obejmować: ogólny opis systemu, szczegółowe działanie systemu w poszczególnych jednostkach, szczegółowe omówienie kompetencji i zakresu obowiązków dotyczących każdego stanowiska pracy, przedstawienie wpływu systemu na dotychczas obowiązujące procesy pracy, regulamin pracownika Wprowadzenie systemu po kolei w każdej jednostce organizacyjnej Zakończenie wdrożenia i odebranie prac przez kierownictwo 2014-12-05 45 Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 46 23

Przykładowa procedura dla kontroli antywirusowej Uczestnicy: administrator, operatorzy Zalecenia: Kontrola antywirusowa powinna być przeprowadzana codziennie Należy używać dwóch programów antywirusowych Komputer powinien być sprawdzany pod względem obecności wirusów po uruchomieniu specjalnej dyskietki bez dostępu do sieci Kroki: Administrator lub operatorzy przeprowadzają kontrolę antywirusową na każdym komputerze Po wykrycia wirusa należy natychmiast powiadomić administratora Administrator usuwa wirusa i podejmuje korki zaradcze Fakt kontroli antywirusowej należy odnotować 2014-12-05 47 Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 48 24

Rady dla wdrażających politykę Rady według Aleksandera Czarnowskiego, prezes Rady Nadzorczej AVET Information and Network Security Sp. z o.o. Warto zatrudnić eksperta z zewnątrz - zwrot z inwestycji jest szybszy, a wdrożony system może oferować oczekiwany poziom i spełniać wymagania prawne i technologiczne Nie należy zatrudniać ludzi, którzy publicznie chwalą się włamaniami. Prawdziwi audytorzy przede wszystkim podnoszą poziom, a nie atakują systemu 2014-12-05 49 Rady dla wdrażających politykę Członkowie zarządu powinni uczestniczyć w tworzeniu polityki i wypełnianiu jej postulatów. Poparcie zarządu pozwala nie tylko uchwalić odpowiedni budżet na bezpieczeństwo, ale też np. wprowadzić wewnętrzne normy i regulaminy oraz wyciągać konsekwencje wobec pracowników, którzy ich nie przestrzegają Projekty dotyczące ochrony informacji elektronicznej powinny być oparte na zarządzaniu ryzykiem. Najważniejsze jest poprawne określenie zagrożeń i prawdopodobieństwa ich wystąpienia oraz oszacowanie związanego z tym ryzyka. Wynik tych obliczeń należy weryfikować okresowo 2014-12-05 50 25

Rady dla wdrażających politykę Tylko stałe monitorowanie działania systemów i realizacji założeń polityki, adaptowanie się do zmian oraz wykorzystanie nowych technologii umożliwia pogodzenie celów biznesowych z bezpieczeństwem IT Nieodłącznym elementem są: audyt i treningi - wymagają ich międzynarodowe i krajowe normy oraz zalecenia dotyczące informacji elektronicznej. Audyt pozwala na weryfikację obecnego stanu i planowanie dalszych działań biznesowych i technologicznych 2014-12-05 51 Rady dla wdrażających politykę Zastosowanie systemu o prostej architekturze zwiększa wydajność pracy oraz dostępność, integralność i poufność informacji. System taki można efektywnie kontrolować i łatwiej go rozbudowywać. Jego wdrożenie i eksploatacja jest tańsza niż rozbudowanych rozwiązań System zabezpieczeń powinien składać się z różnych mechanizmów. Od strony organizacyjnej wprowadza się segregację i podział ról oraz uprawnień dla użytkowników i systemów. Osoba odpowiedzialna za bezpieczeństwo systemu powinna jednak zadbać o zachowanie równowagi między prostotą architektury a liczbą mechanizmów 2014-12-05 52 26

Rady dla wdrażających politykę W stosunku do gotowych produktów należy stosować zasadę ograniczonego zaufania. Każde, nawet najlepsze narzędzie może mieć problemy z zagwarantowaniem Nawet najprostsze mechanizmy logujące zdarzenia mogą okazać się bardzo pomocne w razie incydentu naruszenia 2014-12-05 53 Plan wykładu Wprowadzenie Realizacja polityki Zawartość polityki Strategie Sposoby zabezpieczeń Bezpieczeństwo vs. polityka przedsiębiorstwa Projektowanie systemu i procedur Przykładowe elementy polityki Rady dla wdrażających politykę Podsumowanie 2014-12-05 54 27

Podsumowanie Polityka jest niezwykle ważnym dokumentem z punktu widzenia Każde przedsiębiorstwo, instytucja powinno posiadać taki dokument Polityka powinna być uwzględniana w czasie realizacji wszystkich projektów informatycznych i teleinformatycznych Polityka wymaga ciągłych uaktualnień wynikających z rozwoju przedsiębiorstwa, instytucji oraz pojawiania się nowych zagrożeń 2014-12-05 55 28

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres