METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ

Podobne dokumenty
Deklaracja stosowania

Deklaracja stosowania

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Szkolenie otwarte 2016 r.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Marcin Soczko. Agenda

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Reforma ochrony danych osobowych RODO/GDPR

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ISO bezpieczeństwo informacji w organizacji

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Promotor: dr inż. Krzysztof Różanowski

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

SZCZEGÓŁOWY HARMONOGRAM KURSU

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Kwestionariusz samooceny kontroli zarządczej

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Data Protection Impact Assessment (DPIA) Metodyka zarządzania ryzykiem w ochronie danych osobowych. Warszawa 2017

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PARTNER.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Amatorski Klub Sportowy Wybiegani Polkowice

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Polityka Ochrony Danych Osobowych

INTERNATIONAL POLICE CORPORATION

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

POLITYKA BEZPIECZEŃSTWA

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Szczegółowy opis przedmiotu zamówienia:

Czy wszystko jest jasne??? Janusz Czauderna Tel

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Krzysztof Świtała WPiA UKSW

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Normalizacja dla bezpieczeństwa informacyjnego

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi

Opis przedmiotu zamówienia

Procedura Zarządzania Ryzykiem I. PODSTAWOWE POJĘCIA

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Imed El Fray Włodzimierz Chocianowicz

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

Transkrypt:

ZINTEGROWANY SYSTEM ZARZĄDZANIA 1/14 PSZ.0141.2.2015 METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ

ZINTEGROWANY SYSTEM ZARZĄDZANIA 2/14 I. Definicje Ryzyko potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji. Zagrożenie to wydarzenie, które powoduje, że ryzyko materializuje się w postaci wymiernej straty poprzez wystawienie aktywów na utratę, ujawnienie, zniszczenie lub zmianę. Podatność to słabość aktywu, która jest wykorzystywana przez zagrożenie w celu spowodowania strat w aktywach. Szacowanie ryzyka proces analizy i identyfikowania ryzyka oraz jego ocena. SZBI System Zarządzania Bezpieczeństwem Informacji. UMBB. BI Bezpieczeństwo/-a Informacji. II. Wstęp Niniejsza metoda analizy ryzyka opracowana została w oparciu o wymagania normy ISO 27001 oraz wytyczne zawarte w normie ISO 27005. III. Postępowanie 1. Klasyfikacja informacji: a. Wyznaczyć klasy informacji funkcjonujące w UMBB wraz ze wskazaniem ich wrażliwości. b. Wrażliwość Klasy (WG) informacji jest wyznaczana, jako funkcja atrybutów poufności, integralności i dostępności danych. WG = P + I + D Skala atrybutów bezpieczeństwa (P - poufności, I - integralności, D - dostępności) jest umieszczona w załączniku nr 2 w tabeli nr 1. 2. Inwentaryzacja aktywów (zasobów): a. Zinwentaryzować aktywa wchodzące w skład SZBI. Należy rozważyć takie kategorie aktywów, jak sieć LAN, sieć WAN, protokoły sieciowe, aplikacje, bazy danych i oprogramowanie informatyczne, sprzęt komputerowy, serwery, sprzęt i nośniki danych, pliki elektroniczne i dokumenty papierowe, lokalizacja i pomieszczenia, personel. b. Wskazać osoby odpowiedzialne za nadzorowanie, utrzymanie, korzystanie i bezpieczeństwo grup zasobów w SZBI. c. Określić, jakie klasy informacji przetwarzane są przez poszczególne grupy zasobów. 3. Analiza ryzyka bezpieczeństwa informacji: a. Określić zagrożenia, które mogą dotyczyć danej grupy zasobów (przykłady zagrożeń przedstawiono załączniku nr 3 w tabeli nr 6). b. Określić podatności związane z daną grupą (przykłady podatności przedstawiono w załączniku nr 3 w tabeli nr 5). c. Określić zabezpieczenia związane z danym ryzykiem (przykłady zabezpieczeń przedstawiono w załączniku nr 3 w tabeli nr 7). d. Określić wskaźnik efektywności zabezpieczenia (WEZ)

ZINTEGROWANY SYSTEM ZARZĄDZANIA 3/14 WEZ = SZ x SWZ gdzie: SZ skuteczność zabezpieczenia, SWZ stopień wdrożenia zabezpieczenia. Skuteczność zabezpieczenia (SZ) i stopień wdrożenia zabezpieczenia (SWZ) ustalany jest wg skal przedstawionych w załączniku nr 2 w tabeli nr 4. e. Określić prawdopodobieństwo PR wystąpienia zagrożenia zgodnie z skalą (załącznik nr 2 tabela nr 2). f. g. Oszacować skutki biznesowe S (zgodnie ze skalą zawartą w załączniku nr 2 w tabeli nr 3) jakie mogą wyniknąć na skutek naruszenia bezpieczeństwa (atrybutów poufności, integralności i dostępności) dla organizacji biorąc pod uwagę, aktualnie wdrożone zabezpieczenia. S = SP + SF + SW gdzie: SF skutek finansowy, SP skutek prawny, SW skutek wizerunkowy. h. Wyliczyć wartość ryzyka WR związanego z danym zagrożeniem określona wzorem: WR = (WA x PR x S) / (WEZ) 4. Etapy oceny i postępowania z ryzykiem bezpieczeństwa informacji a. Uszeregować ryzyka (stworzyć ranking ryzyk) oraz wskazać ryzyka nieakceptowane. b. Kryterium akceptacji ryzyk wyznaczyć za pomocą pułapu ryzyka akceptowalnego, który odcina pewien zbiór zagrożeń o najwyższym ryzyku, poddawany doskonaleniu w ramach planu postępowania z ryzykiem tworzonego w danym roku. Ustalenie progu akceptowalności jest wykonane przy wykorzystaniu poniższego wzoru opartego na regule Pareto. KA = (MAX_WR MIN_WR) x 0,8 + MIN_WR gdzie: MAX_WR wartość najwyższego ryzyka MIN_WR wartość najmniejszego ryzyka Zgodnie z powyższym wzorem kryterium akceptowalności jest obliczane z wartości ryzyk przy wcześniejszym odrzuceniu ekstremów. Uwaga! Analiza Pareto nie jest decydująca przy wyborze ryzyk nieakceptowalnych - ostateczna decyzja należy do Kierownictwa Urzędu.

ZINTEGROWANY SYSTEM ZARZĄDZANIA 4/14 c. Plan postępowania z ryzykiem Określić warianty postępowania z ryzykiem. Wyniki analizy ryzyka bezpieczeństwa informacji dla każdego z ryzyk (punktów krytycznych) podlegają ocenie przez Kierownictwo Urzędu, które decyduje o podjęciu działań mających na celu minimalizację ryzyk związanych z każdym z ryzyk (punktów krytycznych). Opracować Plan Postępowania z ryzykiem bezpieczeństwa informacji zgodny z szablonem w punkcie 4 załącznika nr 4. Dla każdego z wyznaczonych działań minimalizujących ryzyko określa się termin realizacji oraz osobę odpowiedzialną za jego ukończenie. 5. Raport z szacowania ryzyka bezpieczeństwa informacji Wyniki analizy i oceny ryzyka w tym informacja na temat poziomu ryzyka akceptowalnego w UMBB a także decyzje w zakresie podjęcia działań minimalizujących ryzyko, zamieszczone są w formalnym raporcie akceptowanym przez Kierownictwo Urzędu. Zakres informacji zawartych w raporcie obejmuje co najmniej dane wskazane w Załączniku 4. Opracował: Zatwierdził: Prezydent Miasta Bielska-Białej Jacek Krywult Załączniki: Załącznik nr 1 Klasy informacji Załącznik nr 2 Skale Załącznik nr 3 Przykłady zagrożeń, podatności i zabezpieczeń Załącznik nr 4 - Raport z analizy ryzyka bezpieczeństwa informacji

ZINTEGROWANY SYSTEM ZARZĄDZANIA 5/14 Załącznik nr 1 Klasy informacji KLASA INFORMACJI mówi o stopniu ochrony, jaki informacja powinna mieć zapewniony. Wyróżniamy następujące klasy informacji: Informacja ogólnodostępna (IO) to informacja, która bez ograniczeń może być przekazywana przez pracowników pomiędzy sobą oraz ujawniana na zewnątrz (np. BIP). Nie wymaga oznakowania. Informacja objęta ochroną Urzędu (IW) informacja, które może być przetwarzana tylko przez określonych pracowników Urzędu. Nośniki zawierające takie informacje muszą być oznaczone: Dokument wewnętrzny. Nadzór nad nimi sprawują Naczelnicy Wydziałów w ramach bieżących prac zarządczych. Są to informacje wynikające np. z ustawy prawo zamówień publicznych, dotyczące danych pracowników, zawierające dane przedsiębiorców, wynikające z umów z jednostkami zewnętrznymi. Informacja stanowiąca tajemnicę skarbową (TS) informacja, stanowiąca indywidualne dane zawarte w deklaracji oraz innych dokumentach składanych przez podatników, płatników lub inkasentów (art. 293 ordynacji podatkowej). Udostępniana jest na wniosek Urzędów Skarbowych lub innych organów uprawnionych. Nośniki zawierające takie informacje muszą być oznaczone: Tajemnica skarbowa. Informacja podlegająca ochronie z tyt. Ustawy o ochronie danych osobowych (DO) sposób postępowania z informacją określony jest Zarządzeniem Prezydenta Miasta w sprawie organizacji ochrony danych osobowych oraz zasad postępowania przy ich przetwarzaniu w Urzędzie Miejskim w Bielsku-Białej.

ZINTEGROWANY SYSTEM ZARZĄDZANIA 6/14 Załącznik nr 2 Skale Tabela nr 1. Atrybuty bezpieczeństwa Poufność (P) 1 informacja jest ogólnodostępna, 2 3 udostępnienie informacji osobom nieupoważnionym powoduje straty, nie wiąże się z odpowiedzialnością karną organów organizacji, udostępnienie informacji osobom nieupoważnionym powoduje straty i wiąże się z odpowiedzialnością karną organów organizacji. Integralność (I) 1 2 3 nieautoryzowana zmiana informacji nie wpływa na możliwość funkcjonowania organizacji ani zgodność z wymaganiami prawnymi, nieautoryzowana zmiana informacji uniemożliwia poprawną pracę organizacji i nie jest związana z naruszeniem przepisów prawnych, nieautoryzowana zmiana informacji uniemożliwia poprawne funkcjonowanie organizacji i powoduje naruszenie przepisów prawnych. Dostępność (D) 1 informacja może być dostępna z opóźnieniem powyżej 2 dni roboczych, 2 informacja musi być dostępna co najwyżej z opóźnieniem od 1 do 2 dni roboczych, 3 informacja musi być dostępna w każdej chwili. Tabela nr 2. Prawdopodobieństwo Prawdopodobieństwo (PR) 1 zagrożenie jest mało realne, aby mogło wystąpić (nie miało nigdy miejsca), zagrożenie nie miało miejsca w przeszłości i istnieje niewielkie 2 prawdopodobieństwo, że wystąpi w przyszłości, zagrożenie występuje w innych organizacjach i może wystąpić w tej organizacji jak 3 w każdej innej o podobnym charakterze, zagrożenie może wystąpić, gdyż miało miejsce w przeszłości i należy sądzić, 4 że wystąpi co najmniej raz w ciągu roku, zagrożenie jest bardzo realne i może wystąpić w każdej chwili lub kilkakrotnie 5 w ciągu roku. Tabela nr 3. Szacowanie skutków biznesowych Skutek prawny (SP) 1 2 3 wystąpienie zagrożenia nie doprowadzi w przewidywalnym horyzoncie czasu do naruszenia przepisów prawa, wystąpienie zagrożenia nie doprowadzi do natychmiastowego naruszenia przepisów prawa, jednak w przypadku niepodjęcia odpowiednich działań naprawczych naruszenie prawa jest nieuniknione, bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów prawa. Skutek finansowy (SF) 1 wystąpienie zagrożenia spowoduje straty finansowe w przedziale 1 10 000 PLN, 2 wystąpienie zagrożenia spowoduje straty finansowe w przedziale 10 001 100 000 PLN,

ZINTEGROWANY SYSTEM ZARZĄDZANIA 7/14 3 wystąpienie zagrożenia spowoduje straty finansowe w przedziale 100 001 do 500 000 PLN, 4 wystąpienie zagrożenia spowoduje straty finansowe powyżej 500 000 PLN. Skutek wizerunkowy (SW) 1 wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji, 2 3 wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji, wystąpienie zagrożenie powoduję istotny lub duży negatywny wpływ na wizerunek organizacji. Tabela nr 4. Wskaźnik efektywności zabezpieczenia (WEZ) Skuteczność zabezpieczenia (SZ) 1 zabezpieczenie organizacyjne (proceduralne), 2 zabezpieczenie techniczne obsługiwane ręcznie, 3 zabezpieczenie techniczne automatyczne. Stopień wdrożenia zabezpieczenia (SWZ) 1 nie stosuje się zabezpieczeń, 2 zabezpieczenie funkcjonuje nieformalnie, 3 zabezpieczenie wprowadzono formalnie, ale jest niedoskonałe, 4 zabezpieczenie wprowadzono formalnie, jest doskonałe i skuteczne.

ZINTEGROWANY SYSTEM ZARZĄDZANIA 8/14 Załącznik nr 3 Przykłady zagrożeń, podatności i zabezpieczeń Tabela nr 5. Przykładowe podatności Grupa podatności Podatność Dokumentacja/procedury brak opracowanych planów ciągłości działania brak aktualizacji planów ciągłości działania brak procedur testowania planów ciągłości działania brak dokumentacji systemów brak dokumentacji wymaganej prawem brak dokumentów polityki bezpieczeństwa informacji i SZBI brak dzienników operatorów brak kontroli zmian brak listy osób upoważnionych do dostępu do określonej informacji brak procedur dostępu do pomieszczeń brak procedur eksploatacji elektronicznych systemów zabezpieczeń brak procedur eksploatacyjnych brak procedur wymiany danych i oprogramowania brak procedury monitorowania użycia urządzeń do przetwarzania informacji brak rejestrów zdarzeń dla celów audytu brak ustanowionych mechanizmów monitorowania naruszeń bezpieczeństwa brak wymagań bezpieczeństwa w procesach rozwojowych (umowach) brak zabezpieczenia dokumentów przechowywanych niedostateczne procedury kontroli zmian niedostateczne procedury rekrutacji Łączność brak zabezpieczenia linii telekomunikacyjnych brak zabezpieczenia transmisji wrażliwych informacji transmitowanie haseł w jawnej postaci Oprogramowanie brak aktualizacji oprogramowania (usługi sieciowe i systemy operacyjne) brak autoryzacji użytkowanych kodów mobilnych brak kontroli pobieranego oprogramowania brak lub niedostateczne mechanizmy 'patch management' brak lub niewystarczające procedury testowania oprogramowania brak mechanizmów identyfikacji i uwierzytelniania brak mechanizmów monitorowania brak sformułowanych wymagań bezpieczeństwa dla tworzonych aplikacji niedostateczne zarządzanie hasłami (hasła łatwe do odgadnięcia, przechowywanie haseł w jawnej postaci, niedostateczna częstotliwość zmiany haseł), niekontrolowane kopiowanie niewłaściwe skonfigurowane aplikacje, usługi lub systemy operacyjne

ZINTEGROWANY SYSTEM ZARZĄDZANIA 9/14 Grupa podatności Organizacja Personel Sieć Sprzęt Środowisko i infrastruktura Podatność skomplikowany interfejs użytkownika użytkowanie usług powszechnie uznanych za niegwarantujące bezpieczeństwa znane błędy (dziury) w oprogramowaniu znane podatności baz danych (replikacja) organizacja brak regularnych audytów brak testowania urządzeń zasilających brak wykonywania zadań wynikających z dokumentów określających politykę bezpieczeństwa informacji i ISMS brak wykonywanych regularnie procedur nadzoru brak wymagań bezpieczeństwa na stanowiskach pracy brak wyznaczonych osób odpowiedzialnych za aktywa niewłaściwy przydział uprawnień dostępu praca pracowników podmiotów zewnętrznych bez nadzoru przechowywanie kopii w miejscu wytworzenia absencja personelu brak audytorów wewnętrznych w zakresie bezpieczeństwa informacji brak zastępstw brak stosowania polityki czystego biurka i ekranu brak wylogowania się przy opuszczaniu miejsca pracy brak szkoleń w zakresie bezpieczeństwa brak alternatywnych dróg połączenia brak kopii zapasowych/archiwalnych niewłaściwe wycofywanie nośników z użycia niewłaściwe zabezpieczenie okablowania pojedynczy punkt uszkodzenia (brak rezerwy) brak elektronicznej kontroli dostępu, brak fizycznej ochrony budynków, drzwi, okien brak gwarantowanego zasilania brak mechanicznych i budowlanych systemów zabezpieczeń brak monitorowania przez wyspecjalizowane jednostki SP brak planów wymiany infrastruktury brak systemów sygnalizacji napadu i włamania lokalizacja na terenie zagrożonym powodzią stan techniczny budynku stan techniczny instalacji grzewczych, systemu ogrzewania stan techniczny instalacji odgromowych stan techniczny instalacji zasilania usytuowanie budynku wrażliwość na wilgotność wrażliwość na zanieczyszczenie (kurz) wrażliwość na zmiany napięcia wrażliwość na zmiany temperatury

ZINTEGROWANY SYSTEM ZARZĄDZANIA 10/14 Tabela nr 6. Przykładowe zagrożenia Norma PN-ISO/IEC 27005:2010 załącznik C i D lub poniższa tabela. Grupa Zasobu Bazy danych Pliki w postaci elektronicznej Dane w postaci papierowej Systemy wspomagające Sieci Oprogramowanie Sprzęt i nośniki danych Kradzież Zagrożenie Modyfikacja lub usunięcie danych Nieuprawniony dostęp Uszkodzenie Kradzież Nieuprawniony dostęp Uszkodzenie Kradzież Nieuprawniony dostęp Uszkodzenie lub zniszczenie Wyciek wrażliwych danych Zagubienie Awaria urządzenia Brak klimatyzacji Brak zasilania Niedziałanie urządzenia Zniszczenie instalacji Awaria urządzenia Nieuprawniony dostęp fizyczny Niezabezpieczona sieć Podsłuch Przeciążenie ruchu Uszkodzenie sieci Wadliwe działanie lub brak działania Rozprzestrzenianie wirusów itp. Awaria sprzętu Awaria urządzenia lub jego podzespołów Awarie prądowe Awarie przez kurz Awarie ze względu na temperaturę Błędy działania Błędy konserwacji Błędy personelu obsługującego Kradzież Nieautoryzowane kopiowane/zmiana/usunięcie Nieprawdziwa informacja lub funkcjonowanie strony intranetowej Niewłaściwe wykorzystanie Zniszczenie Zużycie części Zużycie nośników

ZINTEGROWANY SYSTEM ZARZĄDZANIA 11/14 Grupa Zasobu Budynki/Pomieszczenia Personel zewnętrzny - firmy współpracujące Personel własny (pracownicy) Zagrożenie Awaria ze względu na temperaturę lub wilgotność Kradzież lub nieupoważniony dostęp do informacji Pożar Umyślna szkoda Wahania napięcia prądu Zalanie Błąd personelu obsługującego Kradzież Nieautoryzowany dostęp Niedobór (brak) personelu Niemożliwość respektowania swoich potrzeb Podsłuch lub szpiegostwo Szkoda umyślna lub nieumyślna Ujawnienie informacji chronionych Użycie oprogramowania w niewłaściwy sposób Błąd personelu obsługującego Kradzież Nieautoryzowany dostęp Niedobór (brak) personelu Podsłuch lub szpiegostwo Szkoda umyślna lub nieumyślna Ujawnienie informacji chronionych Użycie oprogramowania w niewłaściwy sposób

ZINTEGROWANY SYSTEM ZARZĄDZANIA 12/14 Tabela nr 7. Przykładowe zabezpieczenia Grupa Zabezpieczeń Zabezpieczenie Polityka Bezpieczeństwa Informacji, Dokumentacja systemu BI, Księga Zintegrowanego Systemu Zarządzania, Procedura PSZ-4/1 Analiza ryzyka bezpieczeństwa informacji Procedura PSZ-4/2 Postępowanie z incydentem Procedura PSZ-4/3 Zarządzanie ciągłością działania, Scenariusze awaryjne w Planie ciągłości działania Procedura PSZ-4/4 - Utrzymanie i monitorowanie bezpieczeństwa informacji Procedura PSZ-4/5 Postępowanie z informacją, Procedura PSZ-1/3 Nadzór nad zapisami Proceduralne Instrukcje: ISZ-4/4/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników, ISZ-4/4/BF/1 Zarządzanie dostępem do pomieszczeń, ISZ-4/4/BF/2 Zasady pracy w strefach, ISZ-4/4/BF/3 Kontrola dostępu przez wykonawców zewnętrznych, ISZ-4/4/BO/1 Zasady postępowania przy zmianie stanowiska pracy klasyfikacja informacji, Instrukcje IT INF-1/4/1 Bezpieczeństwo serwerów, INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci, INF-1/5/1 Monitorowanie systemów informatycznych INF-1/5/2 Przekazywanie urządzeń i nośników do ponownego wykorzystania, zbywania lub wycofania z użycia, NF- 1/5/3 Dobór haseł, INF-1/5/4 Bezpieczeństwo oprogramowania, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych, Prawne Techniczne INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, niszczenie i usuwanie danych, rejestr wykorzystywanych nośników informacji INF-1/6/2 Ochrona kryptograficzna, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i z naprawy Wymagania prawne Ustawy, rozporządzenia, uchwały, zarządzenia Zarządzenie PM ws. wprowadzenia w Urzędzie Miejskim w B-B "Polityki bezpieczeństwa ochrony danych osobowych" oraz "Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Umowy z dostawcami Ustawa o prawie autorskim i prawach pokrewnych Umowy SLA, Protokół odbioru, karta urządzenia Raport z audytu certyfikacyjnego, Raporty z audytów technicznych, klauzule w umowach ze stroną trzecią Klauzula w umowach o współpracy, wytyczne do umów umowy z firmami Telefonicznymi Obowiązkowe klauzule w umowach z dostawcami np. oprogramowania karty urządzeń Audyt techniczny Konfiguracja dostępu AD, Konfiguracja urządzeń, programów i wygaszacza Instrukcja INF-1/4/4 Bezpieczeństwo sieci, firewall, router, VLAN Przeglądy okablowania, monitorowanie ruchu, Inwentaryzacja Środków trwałych i nietrwałych Telefony alarmowe,

ZINTEGROWANY SYSTEM ZARZĄDZANIA 13/14 Organizacyjne Naczelnicy wydziałów - właściciele aktywów, Zarządzenie PM ws. wyznaczenia ABI oraz określenie zadań, obowiązków i odpowiedzialności związanych z ochroną danych osobowych w UM w B-B, Zarządzenie PM ws. organizacji ochrony danych osobowych oraz zasad postępowania przy ich przetwarzaniu w UM w B-B, karty stanowiskowe, Upoważnienie do przetwarzania danych osobowych Bank, Przelewy (Wydział FK) - umowa z bankiem, SSL strona banku, Program MSWiA, CEPiK, SEKAP ALLOY NAVIGATOR, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych Nabór pracowników, karty stanowiskowe, wymagania prawne, konkursy Ograniczony dostęp do zasobu Internetu, umowy z firmami Telefonicznymi podpis elektroniczny, SEKAP, VPN, strona www, bip, komunikatory i sieci społecznościowe Zalecenia Kierownictwa z Przeglądów ZSZ umowa z pracownikiem, umowy ze stroną trzecią, Regulamin pracy, karta obiegowa, Ograniczony dostęp do zasobu Internetu, Audit wewnętrzny Zarządzenie PM dot. BIP i publikowania materiałów Oświadczenie o zapoznaniu się z treścią Polityki BI oraz o sposobie postępowania z informacjami w UM w B-B, Instrukcja INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, chroniona jak każda inna baza, wytyczne do umów, przegląd umów kolenia na wszystkich szczeblach, konferencje z zakresu BI Upoważnienie do przetwarzania danych osobowych Karta użytkownika zasobów informatycznych, Upoważnienie do przetwarzania danych osobowych, podpis użytkownika, Unikalne identyfikatory, Odebranie praw administracyjnych, karty urządzeń, Instrukcja: ISZ-4/4/BF/1 Zarządzanie dostępem do pomieszczeń, Obszary bezpieczne, podział na strefy, drzwi, domofony, elektryczne karty dostępowe Plan ciągłości działania, Procedura PSZ-3/2 Postępowanie w przypadku nadzwyczajnych zagrożeń i awarii ISZ-3/2/3 Instrukcja ewakuacji na wypadek pożaru, Plan ciągłości działania Przeglądy okablowania, monitorowanie ruchu, zasady zwyczajowo przyjęte Konfiguracja urządzeń, Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, ALLOY NAVIGATOR Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, WSUS

ZINTEGROWANY SYSTEM ZARZĄDZANIA 14/14 Załącznik nr 4 - Raport z analizy ryzyka bezpieczeństwa informacji RAPORT Z ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI w Urzędzie Miejskim w Bielsku-Białej z dnia dd.mm.rrrr - data szacowania ryzyka - lista osób uczestnicząca w analizie ryzyka bezpieczeństwa informacji 1. Klasyfikacja informacji ID G01 Nazwa grupy informacji Przykładowe dokumenty P I D WG 2. Zidentyfikowane aktywa ID...... Zidentyfikowane aktywa (zasoby) 3. Wyniki szacowania ryzyka bezpieczeństwa informacji Nr ryzyka Ryzyko Aktywo (Zasób) Zagrożenie Podatność Wartość ryzyka Akceptacja [TAK/NIE] R01... 4. Plan postępowania z ryzykiem Nr ryzyka R01 Planowane działanie Osoba odpowiedzialna Termin realizacji 5. Uwagi Kierownictwo Urzędu przeanalizowało wyniki analizy ryzyka bezpieczeństwa informacji, wyznaczyło kryterium akceptowalności ryzyka oraz deklaruje podjęcie działań zmierzających do minimalizacji nieakceptowanych ryzyk. Opracował Zatwierdził......

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres