Bezpieczeństwo i Higiena Przetwarzania czyli cukierek dla najmniejszych

Podobne dokumenty
MSP - czyli jak tłumaczyć wymogi bezpieczeństwa informacji trudne dla Wielkich na potrzeby Maluczkich.

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Deklaracja stosowania

Ochrona danych. Uczelniane Centrum Informatyczne. Szkolenie praktyczne dla pracowników Politechniki Częstochowskiej

POLITYKA E-BEZPIECZEŃSTWA

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Deklaracja stosowania

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Rozdział I Zagadnienia ogólne

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Polityka Bezpieczeństwa ochrony danych osobowych

Bezpieczeństwo informacji dla MSP w metodologii ISSA UK

ZARZĄDZENIE NR 158/2017 BURMISTRZA KARCZEWA z dnia 20 listopada 2017 r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH

- zawierających ogólnie dostępne informacje, takie jak: imię, nazwisko, numer rejestracyjny samochodu, numer telefonu, imiona dzieci itp.

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Jak postępować w przypadku fałszywych wiadomości ?

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Zadbaj o swoje bezpieczeństwo w internecie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Stowarzyszenie ds. bezpieczeństwa systemów informacyjnych

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

UDZIEL POMOCY INNYM I POZWÓL BY UDZIELONO JEJ TOBIE ICE

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Bezpieczeństwo usług oraz informacje o certyfikatach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM PRZETWARZANIA DANYCH OSOBOWYCH PRZY UŻYCIU SYSTEMU INFORMATYCZNEGO

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Dane osobowe: Co identyfikuje? Zgoda

DEKLARACJA STOSOWANIA

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2.2 Monitory stanowisk, na których przetwarzane są dane osobowe muszą zostać tak ustawione, aby uniemożliwić osobom postronnym wgląd w te dane.

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

ZARZĄDZENIE NR 20/2017 WÓJTA GMINY CZERNIKOWO z dnia 26 kwietnia 2017r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Załącznik nr 1 do zarządzenia 11 KZ/ 2013

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

REGULAMIN OCHRONY DANYCH OSOBOWYCH. TERVENT Andrzej Śliwczyński Centrum Medycyny Nowa Europa Łódź Al. Kościuszki 106/116

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I OSÓB ZEWNĘTRZNYCH

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Do jakich celów używamy komputera.

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Przewodnik Google Cloud Print

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

REGULAMIN KORZYSTANIA Z INFRASTRUKTURY INFORMATYCZNEJ W JEDNOSTCE CENTRALNEJ INSTYTUTU ENERGETYKI W WARSZAWIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Rozdział I Postanowienia ogólne

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

WorkshopIT Komputer narzędziem w rękach prawnika

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w Instytucie Spawalnictwa w Gliwicach

I n s t r u k c j a. Zarządzania Systemem Informatycznym do Przetwarzania Danych Osobowych w Publicznym Gimnazjum nr 1 im. Jana Pawła II w Ząbkach

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Regulamin Ochrony danych Osobowych w Zakładzie Usług Komunalnych w Radomiu

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Postanowienia ogólne. Zasady zakupu komputerów służbowych

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Deutsche Bank db Makler. Bezpieczne korzystanie z platformy db Makler

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

INSTRUKCJA OBSŁUGI APLIKACJI CENTRALNEGO SYSTEMU TELEINFORMATYCZNEGO SL 2014

Certyfikat. 1 Jak zbieramy dane?

Zadanie 1 Treść zadania:

1. Bezpieczne logowanie i przechowywanie hasła

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. w Lublinie

REGULAMIN. 3 Korzystanie z komputerów służbowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

Zasady bezpiecznego korzystania z bankowości elektronicznej

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Transkrypt:

Bezpieczeństwo i Higiena Przetwarzania czyli cukierek dla najmniejszych Piotr Dzwonkowski Alina Wirbel-Łuczak Paulina Turlewicz Andrzej Kasprzyk Maciej Gajewski

Status prac w czasie poprzedniej Konferencji SEMAFOR (VI Forum Bezpieczeństwa i Audytu)

Etap 0 - angielski Etap 0 ISSA UK 12 zasad BI dla MSP Wytyczne zabezpieczeń informacji dla MSP 3

Etap 1 ISSA Polska Mikro Małe Średnie Klasyfikacja działań - matryca Kat. Opis typu informacji 1 2 3 4 5 6 7 8 I II III dane wspierające działania człowieka lub organizacji dane stanowiące podstawę działalności człowieka lub organizacji i niepodlegające osobnym regulacjom prawnym dane podlegające osobnym regulacjom: osobowe, stanu cywilnego, ubezpieczeniowe, finansowe, wymiaru sprawiedliwości, medyczne Intensywność działań IV dane wojska, policji i innych służb Wytyczne zabezpieczeń informacji dla MSP 4

Etap 1 ISSA Polska Wniosek etapu 1 Podział organizacji na Mikro, Małe i Średnie w kontekście całościowej działalności organizacji zamieniliśmy na podział działań organizacji na Mikro, Małe i Średnie w kontekście wycinkowej działalności organizacji Zatem: Skrót MSP nie oznacza: Małe i Średnie Przedsiębiorstwa Ale skrót MSP oznacza: Małe i Średnie Przetwarzanie Wytyczne zabezpieczeń informacji dla MSP 5

Etap 1 ISSA Polska Kto chroni informacje? Dla każdego obszaru podzieliliśmy zabezpieczenia według kategorii osób odpowiedzialnych: Właściciela, Administratora, Użytkownika Zalecenia dla zwykłego użytkownika powinny być przestrzegane w równym (lub w większym) stopniu przez administratora i właściciela. Wytyczne zabezpieczeń informacji dla MSP 6

Etap 1 ISSA Polska Wniosek etapu 1 Wytyczne dla użytkownika nie są wystarczające aby zapewnić bezpieczeństwo informacji. Dopiero zestaw wytycznych dla Właściciela i Administratora i Użytkownika ma wszelkie szanse okazać się kompletnym i zapewnić odpowiedni poziom bezpieczeństwa informacji. Wytyczne zabezpieczeń informacji dla MSP 7

Przedstawienie wyników prac po poprzedniej Konferencji SEMAFOR (VI Forum Bezpieczeństwa i Audytu)

Działania 1. Burza mózgów wyłania listę zabezpieczeń. 2. Praca z normą ISO/IEC 27001 pozwala sprawdzić kompletność listy 3. Próba analizy Critical Controls for Effective Cyber Defense (CAG 4) 4. Mapowanie do 12 zasad BI dla MSP z Etapu 0

Etap 2 ISSA Polska Przykładowe rekomendacje uzyskane na podstawie CAG 4 Stosuj białe listy w zakresie stosowanego oprogramowania (również dla telefonów) Sprawdzaj co jest zainstalowane (na komputerach, na telefonach) Zarządzaj sieciami bezprzewodowymi Utrzymuj standard konfiguracji -> Wymieniaj całość sprzętu raz na 3 (?) lata www.issa.org.pl 10

Etap 2 ISSA Polska Zmiany grupowania zasad bezpieczeństwa 3. Zarządzany System Bezpieczeństwa 3.1 Polityki i Procedury 3.2 System zarządzania 3.3 Technologia bezpieczeństwa 2.4 Nadzór nad bezpieczeństwem 2. Zdefiniowane wymogi bezpieczeństwa 1.4 Podstawowe zabezpieczenia 2.1 Odpowiedzial - ność 2.3 Plan Przetrwania 3.4 Edukacja bezpieczeństwa 1. Podstawowe środki bezpieczeństwa 1.1 Zaangażowanie właściciela / zarządu 1.2 Zrozumienie wymogów 1.3 Zrozumienie Ryzyka związanego z BI 2.1 Zasady bezpieczeństwa ISSA-UK 5173 11

Etap 2 ISSA Polska Podstawowe środki bezpieczeństwa 1.1 1.2 1.3 2.1 Zrozumienie wymogów Zrozumienie ryzyka związanego z bezpieczeństwem informacji Zaangażowanie właściciela / zarządu Zasady bezpieczeństwa informacji A.07.1 Działania przed zatrudnieniem A.08.1 Odpowiedzialność za aktywa A.06.1 Organizacja wewnętrzna A.06.1 Organizacja wewnętrzna A.07.2 Działania w czasie zatrudnienia Zgodność z wymogami prawnymi A.18.1 A.08.1 Odpowiedzialność za aktywa i kontraktowymi A.08.1 Odpowiedzialność za aktywa A.08.1 Odpowiedzialność za aktywa A.08.2 Klasyfikacja informacji A.08.3 Obsługa nośników Wymagania organizacji dotyczące A.12.2 Ochrona przed malware A.08.3 Obsługa nośników A.09.1 kontroli dostępów Zarządzanie słabościami A.12.6 technicznymi Zarządzanie incydentami BI i A.16.1 udoskonaleniami Zgodność z wymogami prawnymi A.18.1 i kontraktowymi A.12.3 Kopie zapasowe Bezpieczeństwo informacji w A.15.1 relacjach z dostawcami Zarządzanie incydentami BI i A.16.1 udoskonaleniami Zarządzanie dostępem A.09.2 użytkowników A.09.3 Odpowiedzialność użytkownika Kontrola dostępów do systemu i A.09.4 aplikacji Zgodność z wymogami prawnymi A.18.1 A.10.1 Zabezpieczenia kryptograficzne i kontraktowymi A.11.2 Sprzęt A.12.2 Ochrona przed malware A.12.3 Kopie zapasowe Zarządzanie incydentami BI i A.16.1 udoskonaleniami Zgodność z wymogami prawnymi A.18.1 i kontraktowymi

Etap 2 ISSA Polska Zdefiniowane wymogi bezpieczeństwa 1.4 2.2 2.3 3.4 Podstawowe zabezpieczenia Odpowiedzialność Plan przetrwania Edukacja bezpieczeństwa informacji A.06.1 Organizacja wewnętrzna Procedury eksploatacyjne i A.12.1 odpowiedzialność A.12.3 Kopie zapasowe A.08.1 Odpowiedzialność za aktywa A.12.3 Kopie zapasowe Zarządzanie incydentami BI i A.16.1 udoskonaleniami A.08.3 Obsługa nośników Zabezpieczenie oprogramowania A.12.5 systemowego Zarządzanie dostępem A.09.2 użytkowników A.09.3 Odpowiedzialność użytkownika Kontrola dostępów do systemu i A.09.4 aplikacji Kierunek nadany przez A.05.1 kierownictwa dla bezpieczeństwa informacji A.06.1 Organizacja wewnętrzna A.07.2 Działania w czasie zatrudnienia A.08.1 Odpowiedzialność za aktywa Zarządzanie incydentami BI i A.16.1 udoskonaleniami A.10.1 Zabezpieczenia kryptograficzne Procedury eksploatacyjne i A.12.1 odpowiedzialność A.12.2 Ochrona przed malware A.12.3 Kopie zapasowe Zabezpieczenie oprogramowania A.12.5 systemowego Zarządzanie słabościami A.12.6 technicznymi Zgodność z wymogami prawnymi A.18.1 i kontraktowymi

Etap 2 ISSA Polska Zarządzany system bezpieczeństwa 3.1 3.2 3.3 2.4 Technologia bezpieczeństwa Nadzór nad bezpieczeństwem Polityki i procedury System zarządzania informacji informacji A.08.1 Odpowiedzialność za aktywa A.07.2 Działania w czasie zatrudnienia A.05.1 Kierunek nadany przez kierownictwa dla bezpieczeństwa informacji A.06.1 Organizacja wewnętrzna A.09.3 Odpowiedzialność użytkownika A.08.1 Odpowiedzialność za aktywa A.06.1 Organizacja wewnętrzna A.08.1 Odpowiedzialność za aktywa A.09.4 A.12.1 A.12.5 A.12.6 A.16.1 Kontrola dostępów do systemu i aplikacji Procedury eksploatacyjne i odpowiedzialność Zabezpieczenie oprogramowania systemowego Zarządzanie słabościami technicznymi Zarządzanie incydentami BI i udoskonaleniami A.09.2 Zarządzanie dostępem użytkowników A.08.1 Odpowiedzialność za aktywa A.09.2 Zarządzanie dostępem użytkowników A.12.3 Kopie zapasowe A.08.3 Obsługa nośników A.12.3 Kopie zapasowe A.16.1 Zarządzanie incydentami BI i udoskonaleniami A.09.2 Zarządzanie dostępem użytkowników A.09.3 Odpowiedzialność użytkownika A.09.4 Kontrola dostępów do systemu i aplikacji A.10.1 Zabezpieczenia kryptograficzne A.16.1 A.18.1 Zarządzanie incydentami BI i udoskonaleniami Zgodność z wymogami prawnymi i kontraktowymi A.12.2 Ochrona przed malware A.12.3 Kopie zapasowe A.16.1 Zarządzanie incydentami BI i udoskonaleniami

Etap 2 ISSA Polska 21 obszarów kontrolnych Nr A.05.1 A.06.1 A.07.1 A.07.2 A.08.1 A.08.2 A.08.3 A.09.1 A.09.2 A.09.3 A.09.4 A.10.1 A.11.2 A.12.1 A.12.2 A.12.3 A.12.5 A.12.6 A.15.1 A.16.1 A.18.1 Nazwa Kierunek nadany przez kierownictwa dla bezpieczeństwa informacji Organizacja wewnętrzna Działania przed zatrudnieniem Działania w czasie zatrudnienia Odpowiedzialność za aktywa Klasyfikacja informacji Obsługa nośników Wymagania organizacji dotyczące kontroli dostępów Zarządzanie dostępem użytkowników Odpowiedzialność użytkownika Kontrola dostępów do systemu i aplikacji Zabezpieczenia kryptograficzne Sprzęt Procedury eksploatacyjne i odpowiedzialność Ochrona przed malware Kopie zapasowe Zabezpieczenie oprogramowania systemowego Zarządzanie słabościami technicznymi Bezpieczeństwo informacji w relacjach z dostawcami Zarządzanie incydentami BI i udoskonaleniami Zgodność z wymogami prawnymi i kontraktowymi W naszych rekomendacjach znalazło się tylko 21 obszarów kontrolnych ISO/IEC 27001 (z 34 obszarów)

Etap 2 ISSA Polska 38 zabezpieczeń Nr A.05.1.1 A.06.1.4 A.07.1.1 A.07.1.2 A.07.2.1 A.07.2.2 A.08.1.1 A.08.1.3 A.08.1.4 A.08.2.2 A.08.3.1 A.08.3.2 A.09.1.1 A.09.2.1 A.09.2.2 A.09.2.3 A.09.2.4 A.09.2.5 A.09.3.1 A.09.4.1 A.09.4.2 A.09.4.3 A.09.4.4 A.10.1.1 A.11.2.6 A.11.2.7 A.11.2.9 A.12.1.2 A.12.2.1 A.12.3.1 A.12.5.1 A.12.6.2 A.15.1.2 A.16.1.2 A.16.1.3 A.16.1.4 A.16.1.6 A.18.1.2 Tekst Polityki BI Kontakt z grupami zainteresowania BI Screening Regulamin zatrudnienia Odpowiedzialność kierownictwa Świadomość, edukacja i szkolenia BI Inwentarz aktywów Akceptowalne użycie aktywów Zwrot aktywów Oznaczanie informacji Zarządzanie nośnikami Wycofywanie nośników Polityka kontroli dostępów Rejestrowanie i wyrejestrowanie użytkowników Przydzielanie dostępów użytkownikom Zarządzanie uprzywilejowanymi prawami dostępów Zarządzanie poufnymi informacjami uwierzytelniającymi użytkowników Przegląd praw dostępu użytkowników Użycie poufnych informacji uwierzytelniających Ograniczenia w dostępie do informacji Procedury bezpiecznego logowania się System zarządzanie hasłami Użycie programów uprzywilejowanych Polityka użycia zabezpieczeń kryptograficznych Bezpieczeństwo sprzętu i aktywów poza siedzibą Bezpieczne zbywanie albo przekazywanie do ponownego użycia Polityka czystego biurka i ekranu Zarządzanie zmianą Zabezpieczenie przed malware Backup informacji Instalowanie oprogramowania w systemie operacyjnym Ograniczenie instalowania oprogramowania Uwzględnienie bezpieczeństwa w Umowach z dostawcami Raportowanie zdarzeń związanych z BI Raportowanie o słabościach BI Ocena zdarzeń związanych z BI i decyzja Uczenie się z incydentów BI Prawa własności intelektualnej W naszych rekomendacjach znalazło się tylko 38 zabezpieczeń ISO/IEC 27001 (z 114)

Etap 2 ISSA Polska # e W A U Przykład 1 Zaangażowanie właściciela 1.1 Rekomendacje dla Właściciela Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy Zadbaj o własność intelektualną (trwałość dorobku) innych firm Podpisz umowę o zachowaniu poufności z pracownikiem Znajdź dobrego trenera może to być ktoś z pracowników albo ty sam. Ale najlepiej jednak zdaj się na specjalistów. Bardzo cenne są warsztaty lub scenki sytuacyjne pokazujące skutki pewnych zachować o których na co dzień nikt nie myśli. Przykładowe linki: www.bezpiecznypracownik.pl (Clico) Powtarzaj cyklicznie szkolenia (nawet w formie przypominających quizów, albo Zabezpieczenie ISO/EIC 27001:2013 Tekst A.08.1.1 Inwentarz aktywów Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy A.18.1.2 Prawa własności intelektualnej Zadbaj o własność intelektualną (trwałość dorobku) innych firm A.07.1.1 Screening Podpisz umowę o zachowaniu poufności z pracownikiem A.07.1.2 Regulamin zatrudnienia Podpisz umowę o zachowaniu poufności z pracownikiem A.07.2.1 Odpowiedzialność kierownictwa Podpisz umowę o zachowaniu poufności z pracownikiem A.07.2.2 Świadomość, edukacja i szkolenia BI Podpisz umowę o zachowaniu poufności z pracownikiem Określ parametry bezpieczenej konfiguracji urządzeń (np. czas nieaktywności po A.08.1.3 Akceptowalne użycie aktywów którym wymagane jest użycie hasła) lub procesów (np. częstotliwość backupów) Ograniczenie zabawnych instalowania historyjek) A.12.6.2 Określ kto może instalować oprogramowanie oprogramowania Znajdź dobrego trenera może to być ktoś z pracowników albo ty sam. Ale najlepiej jednak zdaj się na specjalistów. Bardzo cenne są warsztaty lub scenki sytuacyjne A.07.2.2 Świadomość, edukacja i szkolenia BI Bądź dobrym wzorcem pokazujące dla pracowników skutki pewnych - zachować sam stosuj o których się na do co dzień zasad nikt nie myśli. Przykładowe linki: www.bezpiecznypracownik.pl (Clico) Nowi pracownicy powinni być przeszkoleni i od samego początku uwrażliwieni na Powtarzaj cyklicznie szkolenia (nawet w formie przypominających quizów, albo A.07.2.2 Świadomość, edukacja i szkolenia BI zabawnych historyjek) A.07.2.2 Świadomość, edukacja i szkolenia BI Podkreślaj w codziennych sytuacjach istotność dbania o bezpieczeństwo informacji Podkreślaj w codziennych sytuacjach istotność dbania o bezpieczeństwo informacji istotność bezpieczeństwa informacji, powinni poznać zasady panujące w organizacji, do czego mają prawo i co jest zabronione. Nawet najmniejsza organizacja powinna mieć zaplanowane podejście do tego w jaki sposób postępuje w przypadku zdarzeń. W szczególnym przypadku może to być oczywiście : nic nie robię, ale powinna to być decyzja świadoma konsekwencji i przemyślana. Na drugim biegunie jest rozbudowana organizacja i zespół ludzi zajmujący się gromadzeniem, oceną, analizą i reagowaniem na incydenty Wymieniaj sprzęt na nowszy (co za tym idzie system operacyjny) oraz oprogramowanie w miarę możliwości regularnie bo tendencja dotychczasowa wskazuje, że nowsze wersje zwykle są bezpieczniejsze. A.07.2.2 Świadomość, edukacja i szkolenia BI Bądź dobrym wzorcem dla pracowników - sam stosuj się do zasad A.07.2.2 Świadomość, edukacja i szkolenia BI A.16.1.2 Raportowanie zdarzeń związanych z BI A.12.2.1 Zabezpieczenie przed malware Nowi pracownicy powinni być przeszkoleni i od samego początku uwrażliwieni na istotność bezpieczeństwa informacji, powinni poznać zasady panujące w organizacji, do czego mają prawo i co jest zabronione. Nawet najmniejsza organizacja powinna mieć zaplanowane podejście do tego w jaki sposób postępuje w przypadku zdarzeń. W szczególnym przypadku może to być oczywiście : nic nie robię, ale powinna to być decyzja świadoma konsekwencji i przemyślana. Na drugim biegunie jest rozbudowana organizacja i zespół ludzi zajmujący się gromadzeniem, oceną, analizą i reagowaniem na incydenty wymieniaj sprzęt na nowszy (co za tym idzie system operacyjny) oraz oprogramowanie w miarę możliwości regularnie bo tendencja dotychczasowa wskazuje, że nowsze wersje zwykle są bezpieczniejsze.

Etap 2 ISSA Polska Przykład 2 Zrozumienie wymogów 1.2 # Zabezpieczenie ISO/EIC Zabezpiec 27001:2013 zenie A.08.1.1 A.08.1.1 Inwentarz aktywów Inwentarz aktywów Tekst W A U Żeby chronić musisz formalnie zadecydować co powinno być chronione (PROTECT WHAT MATTERS) Zrób burzę mózgów, przeglądnij wszystko co dla Twojej firmy jest najcenniejsze i wymaga ochrony (informacje, usługi, urządzenia): -przed ujawnieniem (np. dane osobowe twoich pracowników, warunki kontraktów z twoimi klientami i dostawcami), -przed zmianą (np. ceny w twoim sklepie internetowym) - przed zniszczeniem/unieruchomieniem (np. twój sklep internetowy, twój komputer). A.08.1.1 Inwentarz aktywów Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy A.18.1.2 Prawa własności intelektualnej Zadbaj o własność intelektualną (trwałość dorobku) innych firm Rekomendacje dla Właściciela Żeby chronić musisz formalnie zadecydować co powinno być chronione (PROTECT WHAT MATTERS) Zrób burzę mózgów, przeglądnij wszystko co dla Twojej firmy jest najcenniejsze i wymaga ochrony (informacje, usługi, urządzenia): -przed ujawnieniem (np. dane osobowe twoich pracowników, warunki kontraktów z twoimi klientami i dostawcami), -przed zmianą (np. ceny w twoim sklepie internetowym) - przed zniszczeniem/unieruchomieniem (np. twój sklep internetowy, twój komputer). Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy

Etap 2 ISSA Polska W A U A.09.2.1 A.09.2.2 A.09.2.3 A.09.2.4 Przykład 3 Zasady bezpieczeństwa (2.1) Zarządzanie dostępem użytkowników A.09.2 # Zabezpieczenie ISO/EIC 27001:2013 Tekst Rejestrowanie i wyrejestrowanie użytkowników Przydzielanie dostępów użytkownikom Zarządzanie uprzywilejowanymi prawami dostępów Rekomendacje dla Właściciela Zarządzanie poufnymi informacjami uwierzytelniającymi użytkowników Zawsze powinno się nadawać użytkownikom tylko takie uprawnienia do informacji, które są minimalnymi dla wykonywania danej czynności i pełnienia danej roli. Zawsze powinno się nadawać użytkownikom tylko takie uprawnienia do informacji, które są minimalnymi dla wykonywania danej czynności i pełnienia danej roli. Zawsze powinno się nadawać użytkownikom tylko takie uprawnienia takie do informacji, uprawnienia które są minimalnymi dla do informacji, które są wykonywania danej czynności i pełnienia danej roli. Zawsze powinno się nadawać użytkownikom tylko takie uprawnienia do informacji, które są minimalnymi dla wykonywania danej czynności i pełnienia danej roli. Zarządzanie uprzywilejowanymi prawami Regularnie przeglądaj kto ma dostęp do informacji za które odpowiadasz. Zarządzaj i ogranicz dostępy A.09.2.3 dostępów administratorskie. Jeśli łączysz się z organizacją poprzez Zarządzanie poufnymi informacjami Regularnie przeglądaj kto ma dostęp do informacji za które odpowiadasz. Zarządzaj i ogranicz dostępy A.09.2.4 uwierzytelniającymi użytkowników Internet rozważ możliwość administratorskie. które odpowiadasz. Zarządzaj i ogranicz dostępy Regularnie przeglądaj kto ma dostęp do informacji za które odpowiadasz. Zarządzaj i ogranicz dostępy A.09.2.5 Przegląd praw dostępu użytkowników administratorskie. dwuskładnikowego uwierzytelnienia A.09.2.1 Rejestrowanie i wyrejestrowanie użytkowników Jeśli ktoś przestaje pełnić daną role, lub opuszcza dane stanowisko pracy powinno się zadbać o to, aby ta osoba nie miała dostępu do informacji których nie będzie potrzebować (usunąć konto w systemie, zmienić hasło, zmienić klucze zamka drzwi, szafy itp.) Jeśli ktoś przestaje pełnić daną role, lub opuszcza Jeśli ktoś przestaje pełnić daną role, lub opuszcza dane stanowisko pracy powinno się zadbać o to, aby ta osoba Zarządzanie uprzywilejowanymi prawami A.09.2.3 nie miała dostępu do informacji których nie będzie potrzebować (usunąć konto w systemie, zmienić hasło, dostępów zmienić klucze zamka drzwi, szafy itp.) Jeśli ktoś przestaje pełnić daną role, lub opuszcza dane stanowisko pracy powinno się zadbać o to, aby ta osoba Zarządzanie poufnymi informacjami A.09.2.4 nie miała dostępu do informacji których nie będzie potrzebować (usunąć konto w systemie, zmienić hasło, Rekomendacje uwierzytelniającymi użytkowników dla Użytkownika zmienić klucze zamka drzwi, szafy itp.) nie będzie potrzebować (usunąć konto w systemie, Jeśli ktoś przestaje pełnić daną role, lub opuszcza dane stanowisko pracy powinno się zadbać o to, aby ta osoba A.09.2.5 Przegląd praw dostępu użytkowników nie miała dostępu do informacji których nie będzie potrzebować (usunąć konto w systemie, zmienić hasło, zmienić klucze zamka drzwi, szafy itp.) Używaj haseł, które trudno odgadnąć, które Zarządzanie poufnymi informacjami Używaj haseł, które trudno odgadnąć, które nie występują w słowniku i są odpowiednio długie np. dłuższe niż 12 nie występują A.09.2.4 uwierzytelniającymi w słowniku użytkowników znaków. i są odpowiednio długie np. dłuższe niż 12 znaków. A.09.2.2 Przydzielanie dostępów użytkownikom Nie udzielaj dostępu do informacji komuś kto jej naprawdę nie potrzebuje. Rejestrowanie i wyrejestrowanie Nie udostępniaj aplikacji, dostępu do informacji w SI dla użytkowników bez wcześniejszego sprawdzenia ich Sprawdź A.09.2.1 jakie parametry prywatności możesz użytkowników tożsamości (każdy użytkownik ma indywidualne konto i hasło) sam zdefiniować, Zarządzanie poufnymi naucz informacjami się to robić i zrób to A.09.2.4 uwierzytelniającymi użytkowników świadomie A.09.2.3 Jeśli łączysz się z organizacją poprzez Internet rozważ możliwość dwuskładnikowego uwierzytelnienia Zarządzanie uprzywilejowanymi prawami Konta administratorskiego używaj tylko w przypadku uzasadnionej potrzeby, na co dzień używaj konta zwykłego dostępów użytkownika. Ogranicz dostęp do Twojego profilu Rekomendacje dla Administratora A.09.2.2 Przydzielanie dostępów użytkownikom Sprawdź jakie parametry prywatności możesz sam zdefiniować, naucz się to robić i zrób to świadomie A.09.2.2 Przydzielanie dostępów użytkownikom Ogranicz dostęp do Twojego profilu Zawsze powinno się nadawać użytkownikom tylko minimalnymi dla wykonywania danej czynności i pełnienia danej roli. Regularnie przeglądaj kto ma dostęp do informacji za administratorskie. dane stanowisko pracy powinno się zadbać o to, aby ta osoba nie miała dostępu do informacji których zmienić hasło, zmienić klucze zamka drzwi, szafy itp.) Nie udzielaj dostępu do informacji komuś kto jej naprawdę nie potrzebuje. Nie udostępniaj aplikacji, dostępu do informacji w SI dla użytkowników bez wcześniejszego sprawdzenia ich tożsamości (każdy użytkownik ma indywidualne konto i hasło) Jeśli łączysz się z organizacją poprzez Internet rozważ możliwość dwuskładnikowego uwierzytelnienia Konta administratorskiego używaj tylko w przypadku uzasadnionej potrzeby, na co dzień używaj konta zwykłego użytkownika.

Etap 2 ISSA Polska Przykład 4 Podstawowe zabezpieczenia (1.4) Akceptowalne użycie aktywów (A.08.1) W A U # A.08.1.1 Zabezpieczenie ISO/EIC 27001:2013 Tekst Inwentarz aktywów Rekomendacje dla A.08.1.1 Właściciela Inwentarz aktywów Żeby chronić musisz formalnie zadecydować co powinno być chronione (PROTECT WHAT MATTERS) Zrób burzę mózgów, przeglądnij wszystko co dla Twojej firmy jest najcenniejsze i wymaga ochrony (informacje, usługi, urządzenia): -przed ujawnieniem (np. dane osobowe twoich pracowników, warunki kontraktów z twoimi klientami i dostawcami), -przed zmianą (np. ceny w twoim sklepie internetowym) - przed zniszczeniem/unieruchomieniem (np. twój sklep internetowy, twój komputer). Żeby chronić musisz formalnie zadecydować co powinno być chronione (PROTECT WHAT MATTERS) Zrób burzę mózgów, przeglądnij wszystko co dla Twojej firmy jest najcenniejsze i wymaga ochrony (informacje, usługi, urządzenia): -przed ujawnieniem (np. dane osobowe twoich pracowników, warunki kontraktów z twoimi klientami i dostawcami), -przed zmianą (np. ceny w twoim sklepie internetowym) - przed zniszczeniem/unieruchomieniem (np. twój sklep internetowy, twój komputer). Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy Wyobraź sobie sytuację kiedy tracisz swój telefon co jest na nim dla Ciebie najważniejsze, czy masz na nim jakieś unikalne informacje których nie ma gdzieś indziej, co się stanie kiedy ktoś będzie próbował wykorzystać dane na Twoim telefonie, w twojej skrzynce pocztowej, albo wykorzystać Twoje konto pocztowe w sposób nieuprawniony (np. wysłać maila w Twoim imieniu) lub inne konta do których Twój telefon ma dostęp (facebook, linkedin itp.) Rozważ uruchomienie aplikacji która po kradzieży usunie dane z pamięci telefonu Zadbaj o bezpieczeństwo fizyczne (instalacja alarmowa, zamki, bezpieczne przechowywanie nośników, kopii zapasowych, serwerów) określ parametry bezpieczenej konfiguracji urządzeń Określ czy pracownicy mogą korzystać z komunikatorów. Jeśli im na to pozwalasz to określ czy mogą wypowiadać się na tematy związane z firmą A.08.1.1 Inwentarz aktywów Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy Należy chronić przed kradzieżą wszystkie przedmioty, które przetwarzają informacje np.: Rekomendacje dla Administratora Następujące przedmioty należy chronić przed kradzieżą: pendrivy Po zakupie telefonu zachowaj jego numer IMEI; w telefony Akceptowalne użycie modemy przypadku kradzieży wymaga go policja. Dopiero na A.08.1.3 aktywów przenośne dyski komputery tablety wydruki z drukarek korespondencję od klientów, z banków, od kontrahentów, Zmień hasła inne dostępu do sieci/systemów/aplikacji w dokumenty papierowe itp Wyobraź sobie sytuację kiedy tracisz swój telefon co jest na nim A.08.1.3 dla Ciebie najważniejsze, czy masz na nim jakieś unikalne informacje utraconym komputerze/tablecie/telefonie których nie ma gdzieś indziej, co się stanie kiedy ktoś będzie Akceptowalne użycie próbował wykorzystać dane na Twoim telefonie, w twojej skrzynce aktywów Zainstaluj oprogramowania antywirusowe jeśli jest pocztowej, albo wykorzystać Twoje konto pocztowe w sposób nieuprawniony (np. wysłać maila w Twoim imieniu) dostępne lub inne konta na dane urządzenie do których Twój telefon ma dostęp (facebook, linkedin itp.) A.08.1.3 Akceptowalne użycie Szyfruj dane na komputerach i nośnikach szczególnie te wrażliwe; aktywów możesz skorzystać z darmowego oprogramowania, A.08.1.3 Akceptowalne użycie aktywów Ogranicz wykonywania wydruków A.08.1.3 Akceptowalne użycie aktywów Niszcz dokumenty papierowych w niszczarkach Akceptowalne użycie A.08.1.3 Stosuj politykę pustego biurka szczególnie po zakończeniu pracy aktywów Usun konfigurację uwierzytelnianie do sieci, kont Akceptowalne użycie Utrudnij życie złodziejowi - ustaw hasło do uruchamiania A.08.1.3 aktywów komputera A.08.1.3 Po zakupie telefonu zachowaj jego numer IMEI; w przypadku Akceptowalne użycie kradzieży wymaga go policja. Dopiero na podstawie pozbywasz protokołu aktywów kradzieży można zablokować telefon u operatora. Akceptowalne użycie Zapoznaj się z funkcjami jakie udostępnia dany model telefonu i A.08.1.3 aktywów aktywuj je ( np. w obszarze ochrony antykradzieżowej) z publicznie dostępnego komputera Akceptowalne użycie Rozważ uruchomienie aplikacji która po kradzieży usunie dane z A.08.1.3 aktywów pamięci telefonu A.08.1.3 Zadbaj o bezpieczeństwo fizyczne (instalacja alarmowa, zamki, Akceptowalne użycie bezpieczne przechowywanie nośników, kopii zapasowych, aktywów serwerów) Nie pozostawiaj sprzętu bez opieki (np.cw samochodzie, w środkach A.08.1.3 z zewnątrz) Akceptowalne użycie komunikacji (pociąg) i innych miejscach publicznych, w biurze w aktywów przypadku gdy do pomieszczeń mają dostęp osoby nieupoważnione, A.08.1.3 A.08.1.3 A.08.1.3 Akceptowalne użycie aktywów Akceptowalne użycie aktywów Akceptowalne użycie Zmień hasła dostępu do wszystkich portali i usług dla których dane uwierzytelniające znajdowały się w Twoim komputerze/telefonie/ tablecie (konto pocztowe, portale społecznościowe itp.) Zmień hasła dostępu do sieci/systemów/aplikacji w organizacji jeśli dane uwierzytelniające znajdowały się na utraconym komputerze/tablecie/telefonie Jeśli masz taką możliwość uruchom zdalne usuwanie danych z podstawie protokołu kradzieży można zablokować telefon u operatora. organizacji jeśli dane uwierzytelniające znajdowały się na określ parametry bezpieczenej konfiguracji urządzeń Usuń wszystkie dane z urządzenia przed przekazaniem o innej osobie (szczególnie poza organizację). Jeśli nie jesteś pewnien czy usunąłeś wszystko zapytaj fachowca mailowych, bankowych i innych z urządzenia którego się Zmień hasło dostępu do systemu do którego logowałeś się

Etap 2 ISSA Polska Przykład 4 Podstawowe zabezpieczenia (1.4) Akceptowalne użycie aktywów (A.08.1) Rekomendacje dla Użytkownika Należy chronić przed kradzieżą wszystkie przedmioty, które przetwarzają informacje np.: pendrivy, telefony, modemy, przenośne dyski, komputery, tablety wydruki z drukarek, korespondencję od klientów, z banków, od kontrahentów, inne dokumenty papierowe itp. Wyobraź sobie sytuację kiedy tracisz swój telefon co jest na nim dla Ciebie najważniejsze, czy masz na nim jakieś unikalne informacje których nie ma gdzieś indziej, co się stanie kiedy ktoś będzie próbował wykorzystać dane na Twoim telefonie, w twojej skrzynce pocztowej, albo wykorzystać Twoje konto pocztowe w sposób nieuprawniony (np. wysłać maila w Twoim imieniu) lub inne konta do których Twój telefon ma dostęp (facebook, linkedin itp.) Szyfruj dane na komputerach i nośnikach szczególnie te wrażliwe; możesz skorzystać z darmowego oprogramowania, Ogranicz wykonywania wydruków Niszcz dokumenty papierowych w niszczarkach Stosuj politykę pustego biurka szczególnie po zakończeniu pracy Utrudnij życie złodziejowi - ustaw hasło do uruchamiania komputera Zapoznaj się z funkcjami jakie udostępnia dany model telefonu i aktywuj je ( np. w obszarze ochrony antykradzieżowej) Nie pozostawiaj sprzętu bez opieki (np.cw samochodzie, w środkach komunikacji (pociąg) i innych miejscach publicznych, w biurze w przypadku gdy do pomieszczeń mają dostęp osoby nieupoważnione, z zewnątrz) Zmień hasła dostępu do wszystkich portali i usług dla których dane uwierzytelniające znajdowały się w utraconym komputerze/telefonie/ tablecie (konto pocztowe, portale społecznościowe itp.) Jeśli masz taką możliwość uruchom zdalne usuwanie danych z telefonu ustaw hasło wymagane do uruchomienia urządzenia lub wzbudzenia go po okresie bezczynności Skonfiguruj blokowanie się komputera po pewnym czasie nieużywania Skonfiguruj blokowanie się telefonu po pewnym czasie nieużywania Zainstaluj oprogramowania antywirusowe jeśli jest dostępne na dane urządzenie Kiedy instalujesz nową aplikację na telefonie/ tablecie (lub aktualizację już istniejącej) uważnie przeczytaj jakich uprawnień wymaga dana aplikacja i upewnij się czy rzeczywiście jej funkjcjonalność wymaga takich uprawnień (np. aplikacji typu kalkulator nie powinny być potrzebne uprawnienia do nawiązywania połączeń lub modyfikacji książki telefonicznej telefonu) Szyfruj wrażliwe dane przechowywane na urządzeniu Szyfruj komunikację kiedy przesyłasz ważne informacje (poczta, załączniki) Podczas synchronizacji danych do/z urządzenia - włącz szyfrowanie jeśli jest taka opcja dostępna Bądź ostrożny podczas podłączanie się do publicznie dostępnych sieci bezprzewodowych, unikaj transmisji poufnych danych podczas takiego połączenia Wyłącz komunikację bezprzewodową jeśli nie jest w danym momencie używana Wyłącz usługi lokalizacji (GPRS) jeśli nie wymagają jej aktualnie wykorzystyane aplikacje Nie ściągaj aplikacji z nieznanych źródeł, nie uruchamiaj łączy do stron których pochodzenia nie znasz Nie instaluj i nie uruchamiaj aplikacji, której źródła i działania nie znasz Nie włączaj jednocześnie karty sieciowej LAN i karty bezprzewodowej. Jeśli jesteś jednocześnie podłączony do dwóch różnych sieci Twój komputer może być użyty do włamania się pomiędzy nimi. należy korzystać z niszczarki do dokumentów i niszczarki do nośników (np. płyt cd) nie należy kopiować wrażliwych danych na nieszyfrowane pendrivy, płyty CD nie należy wysyłać takich informacji prywatną pocztą elektroniczną, nie należy przechowywać w/w informacji na prywatnych komputerach Jako pracownik upewnij się, czy można korzystać z komunikatorów w organizacji jeśli tak jakich Unikaj korzystania z publicznie dostępnych komputerów Zmień hasło dostępu do systemu do którego logowałeś się z publicznie dostępnego komputera

Zachowania higieniczne Nie wymagają dodatkowych nakładów finansowych Nie wymagają dodatkowych technologii Proste do realizacji Prosta profilaktyka Obowiązują każdego użytkownika Powinny stać się nawykiem, o którym się nie myśli tylko go realizuje Nie dają gwarancji 100% skuteczności Część z nich może chronić Twoją własną prywatność www.issa.org.pl 22

Zachowania higieniczne Obszary: Zarządzanie Hasłami Szyfrowanie Identyfikacja Separacja Szukaj Pomocy Instancje informacji Narzędzia www.issa.org.pl 23

Zachowania higieniczne Zarządzanie Hasłami Utrudnij życie złodziejowi - ustaw hasło do uruchamiania komputera Zmień hasła dostępu do wszystkich portali i usług dla których dane uwierzytelniające znajdowały się w utraconym komputerze/telefonie/ tablecie (konto pocztowe, portale społecznościowe itp.) Ustaw hasło wymagane do uruchomienia urządzenia lub wzbudzenia go po okresie bezczynności Używaj haseł, które trudno odgadnąć, które nie występują w słowniku i są odpowiednio długie np. dłuższe niż 12 znaków. Stosuj raczej dłuższe (> 12) niż skomplikowane hasła dostępu do Twoich kont Załóż, że hasło przechowywane w systemie informatycznym nie jest dostatecznie zabezpieczone (być może nawet pisane otwartym tekstem), więc używaj różnych haseł do różnych systemów Zmień hasło dostępu do systemu do którego logowałeś się z publicznie dostępnego komputera www.issa.org.pl 24

Zachowania higieniczne Szyfrowanie Szyfruj dane na komputerach i nośnikach szczególnie te wrażliwe; możesz skorzystać z darmowego oprogramowania Szyfruj wrażliwe dane przechowywane na urządzeniu Szyfruj komunikację kiedy przesyłasz ważne informacje (poczta, załączniki) Podczas synchronizacji danych do/z urządzenia - włącz szyfrowanie jeśli jest taka opcja dostępna Nie wysyłaj wrażliwych danych bez uprzedniego szyfrowania www.issa.org.pl 25

Zachowania higieniczne Identyfikacja Nie ściągaj aplikacji z nieznanych źródeł Nie instaluj i nie uruchamiaj aplikacji, której źródła i działania nie znasz Nie udzielaj informacji komuś, kto jej naprawdę nie potrzebuje Nie odwiedzaj podejrzanych stron internetowych Nie otwieraj i nie przekazuj dalej załączników maili od nieznanych nadawców, otwieraj te załączniki, których potrzebujesz do wykonania pracy Nie uruchamiaj linków w mailach od nieznanych nadawców, uruchamiaj tylko te linki, których potrzebujesz do wykonania pracy Nie odpowiadaj na maile od nieznanych nadawców Nie akceptuj nieznanych kontaktów Chroń się przed phishingiem:- Nie klikaj na linki przesłane z niezaufanych źródeł- Otwieraj załączniki z dużą ostrożnością, nie otwieraj załączników z rozszerzeniami:.ee,.bat,.vbs Każdorazowo identyfikuj osobę której udzielasz informacji (zwłaszcza telefonicznie lub osobę, którą pierwszy raz widzisz) www.issa.org.pl 26

Zachowania higieniczne Szukanie pomocy Pracownicy powinni zgłaszać wszystkie zauważone słabości i nieprawidłowości: Wyłączony firewall na komputerze Wyłączony program antywirusowy na komputerze Wszelkiego rodzaju nietypowe zachowanie komputera i telefonu (np. program działa dłużej niż zwykle, nagle zabrakło pamięci lub miejsca na dysku, pojawiły się nowe aplikacje lub pliki, nagłe restarty komputera itp.) Komunikaty błędów świadczące np. o tym że nie wykonały się prawidłowe kopie zapasowe danych, informacje świadczące o niewłaściwym certyfikacie przy szyfrowanym połączeniu, informacje o błędach aplikacji i systemów Nieznane osoby poruszające się bez nadzoru na terenie siedziby Nie bój się zgłaszać zdarzeń związanych z bezpieczeństwem www.issa.org.pl 27

Zachowania higieniczne Separacja Używaj osobnych kont pocztowych do celów prywatnych, do celów służbowych oraz do identyfikacji w serwisach społecznościowych Unikaj korzystania z publicznie dostępnych komputerów Zmień hasło dostępu do systemu do którego logowałeś się z publicznie dostępnego komputera Nie informuj o sprawach organizacji na portalu społecznościowym Nie wykorzystuj służbowego maila do prywatnych celów Do działań w internetowych serwisach bankowych używaj oddzielnego środowiska przetwarzania. www.issa.org.pl 28

Zachowania higieniczne Instancje informacji Ogranicz wykonywania wydruków Stosuj politykę czystego biurka szczególnie po zakończeniu pracy Wykonuj regularnie kopie zapasowe danych znajdujących się na komputerach przenośnych, tabletach, telefonach. Wykonuj regularnie kopie zapasowe dokumentów, kontaktów telefonicznych do kontrahentów Nie pozostawiaj sprzętu bez opieki (np. w samochodzie, w środkach komunikacji (pociąg) i innych miejscach publicznych, w biurze w przypadku gdy do pomieszczeń mają dostęp osoby nieupoważnione, z zewnątrz) Należy korzystać z niszczarki do dokumentów i niszczarki do nośników (np. płyt cd) Nie należy wynosić z biura dokumentów, które zawierają informacje wrażliwe, Nie należy wysyłać firmowych informacji prywatną pocztą elektroniczną, Nie należy przechowywać firmowych informacji na prywatnych komputerach Nie wyrzucaj sprzętu komputerowego, telefonów po prostu do śmietnika. Zapytaj w jaki sposób Twoja organizacja pozbywa się niepotrzebnego sprzętu. Przekaż go do bezpiecznego zniszczenia. Sprawdź jakie parametry prywatności profili społecznościowych możesz sam zdefiniować, naucz się to robić i zrób to świadomie Ogranicz dostęp do Twojego profilu społecznościowego Nie pozwalaj na publikowanie informacji, których nie chcesz publikować Nie podawaj danych osobowych, adresu, numeru telefonu Nikomu nie ufaj bo nigdy do końca nie wiesz kto będzie miał dostęp do twoich informacji i co z nimi zrobi Bądź ostrożny podczas podłączanie się do publicznie dostępnych sieci bezprzewodowych, unikaj transmisji poufnych danych podczas takiego połączenia W miejscach publicznych korzystaj z komputera, tabletu w taki sposób aby ekran urządzenia nie był narażony na "podglądanie" przez osoby postronne www.issa.org.pl 29

Zachowania higieniczne Narzędzia Zapoznaj się z funkcjami, jakie udostępnia dany model telefonu i aktywuj je ( np. w obszarze ochrony antykradzieżowej) Zainstaluj oprogramowania antywirusowe, jeśli jest dostępne na dane urządzenie Kiedy instalujesz nową aplikację na telefonie/ tablecie (lub aktualizację już istniejącej) uważnie przeczytaj jakich uprawnień wymaga dana aplikacja i upewnij się czy rzeczywiście jej funkcjonalność wymaga takich uprawnień (np. aplikacji typu kalkulator nie powinny być potrzebne uprawnienia do nawiązywania połączeń lub modyfikacji książki telefonicznej telefonu) Wyłącz komunikację bezprzewodową, jeśli nie jest w danym momencie używana Wyłącz usługi lokalizacji (GPRS), jeśli nie wymagają jej aktualnie wykorzystywane aplikacje Nie instaluj samowolnie oprogramowania z nieznanych źródeł, potwierdź źródło pochodzenia oprogramowania które chcesz zainstalować Nie informuj o konfiguracji komputera www.issa.org.pl 30

Etap 2 ISSA Polska Wnioski etapu 2 Zmiana priorytetów i grupowania zasad bezpieczeństwa w stosunku do angielskiej wersji Opracowanie listy rekomendacji dla każdego z obszarów bezpieczeństwa Opracowanie listy zachowań higienicznych

Plany: Etap 3 ISSA Polska Etap 3 pracy będzie polegał na przygotowaniu krótkich dokumentów tematycznych lub na dokumentowaniu dyskusji dokumentów już istniejących. W realizacji tego etapu wykorzystane zostaną zalecenia dokumentu opracowanego przez instytut SANS Consensus Audit Guidelines (CAG, od wersji 5. także Top 20 Security Controls). www.issa.org.pl 32

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres