Wartość organizacji a bezpieczeństwo informacji

Podobne dokumenty
Bezpieczeństwo informacji w Chmurze

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Amatorski Klub Sportowy Wybiegani Polkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Ochrona prywatności. Międzynarodowe normy ochrony prawa do prywatności

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Ochrona Informacji i innych aktywów Zamawiającego

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

ISO bezpieczeństwo informacji w organizacji

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Polityka bezpieczeństwa informacji

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

POLITYKA E-BEZPIECZEŃSTWA

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

a) po 11 dodaje się 11a 11g w brzmieniu:

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Ochrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Wdrożenie systemu ochrony danych osobowych

Polityka Prywatności

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Umowa powierzenia przetwarzania danych osobowych

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Rozdział I Zagadnienia ogólne

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

PROCEDURA zarządzania ryzykiem w Gminnym Ośrodku Pomocy Społecznej w Świdwinie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

PARTNER.

Reforma ochrony danych osobowych RODO/GDPR

Dane osobowe: Co identyfikuje? Zgoda

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Szczegółowe informacje o kursach

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA

REGULAMIN. I. Definicje

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Zespół Szkół im. Lotników Polskich w Płocicznie-Tartak. Polityka bezpieczeństwa internetowego

Umowa powierzenia przetwarzania danych osobowych nr

Informacja i bezpieczeństwo informacji

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Praktyka Lekarska Aleksandra Mossakowska z siedzibą pod adresem: Halinów, ul.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FIRMIE ULTIMASPORT.PL

Polityka Prywatności

POLITYKA BEZPIECZEŃSTWA

I Forum Audytu w zakresie bezpieczeństwa informacji i zarządzania ryzykiem 7 października 2016 roku

Umowa nr TXU/TXXI/INNE/ /2018 powierzenia przetwarzania danych osobowych

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

INTERNATIONAL POLICE CORPORATION

PRAKTYKA WŁASNOŚĆ INTELEKTUALNA W PROCESIE DUE DILIGENCE Radca prawny Aneta Pankowska

1. Podstawowe zasady przetwarzania danych w Spółce

Regulamin - Prymus.info

Umowa powierzenia przetwarzania danych osobowych,

Transkrypt:

Wartość organizacji a bezpieczeństwo informacji Kilka lat temu jednostki prowadzące działalność gospodarczą w Polsce (w sektorze publicznym i prywatnym) nie zwracały szczególnej uwagi na wartość informacji jakimi dysponowały. W związku z powyższym bezpieczeństwo informacji nie było dla polskich przedsiębiorstw priorytetem, a nierzadko podchodziły do tej tematyki po macoszemu. Pojęcie Bezpieczeństwa informacji identyfikowane było z zamkniętymi drzwiami biura, zamykaną na klucz szafą, alarmem antywłamaniowym oraz gaśnicą. Istotna dokumentacja, w postaci papierowej, składowano w szafach, sejfach, chronionych siedzibach, a najistotniejsze w bankach. Tradycyjne sposoby zabezpieczeń nie podlegały wnikliwej analizie w zakresie zaistnienia możliwych zagrożeń i były dostosowane do zagrożeń fizycznych przede wszystkich pochodzących z zewnątrz. Cyfryzacja oraz popularyzacja Internetu przyczyniły się do powstania potrzeby zmiany podejścia do bezpieczeństwa informacji. Informacja stała się jedną z wartości najbardziej cenionych w biznesie. Rozwój technologii informacyjnej spowodował, że większość informacji występuje w formie elektronicznej i przechowywana jest na elektronicznych nośnikach danych. Organizacje są świadome jaką wartość niosą informacje, stąd też priorytetem jest zapewnienie ich bezpieczeństwa. Popularność zyskują systemy zarządzania bezpieczeństwem informacji. Informacje podlegają klasyfikowaniu, możliwe zagrożenia podlegają analizie, dlatego dostosowuje się do nich właściwe narzędzia w celu ochrony. Oszacowanie wartości informacji jest trudne, natomiast bezsprzeczna jest teza, że pozyskana informacja, szczególnie chroniona przed konkurencją, może być przyczyną poważnych strat finansowych dla ich właściciela. W związku z tym szeroko pojmowana własność intelektualna i know-how, strategie biznesowe będące tajemnicami przedsiębiorstwa, a jednocześnie elementami budującymi przewagę konkurencyjną stanowią informacje szczególnie strzeżone. Należy zwrócić uwagę, że uporządkowany obieg dokumentów w działaniu przedsiębiorstwa wpływa na oszczędność czasu i usprawnienie funkcjonowania jednostki. Ważne to jest z punktu widzenia procesu redukowania kosztów. Proces zastępowania dokumentu papierowego w postać elektroniczną jest nieunikniony i w przyszłości wszystkie firmy, urzędy i innego rodzaju jednostki będą stosować e-dokumenty. Ochrona przed nadszarpnięciem czy utratą renomy motywuje podmioty podejmujące się zapewnienia odpowiedniego zabezpieczenia posiadanych informacji. Wzrost świadomości co do wartości informacji niesie za sobą wzrost również świadomości potrzeby zapewnienia jej ochrony.

Zagrożenie bezpieczeństwa informacji Brak reguł zapewniających bezpieczeństwo funkcjonujących w danym podmiocie informacji, zaniechania w tym obszarze mogą spowodować ujawnienie lub utratę informacji. Zdarzenia te mogą nastąpić również w wyniku nieuczciwych praktyk podmiotów zewnętrznych. W przypadku, gdy pozyskanie informacji, których źródła są niedostępne jest niezgodne z przepisami prawa mamy do czynienia ze szpiegostwem gospodarczym. Informacje objęte ochroną prawną lub fizyczną stanowią cel, do którego pozyskania stosuje się niejawne, nielegalne, często noszące znamiona przestępstwa metody. Mając na uwadze fakt, że większość informacji występuje w postaci cyfrowej, istotnym ryzykiem dla zachowania bezpieczeństwa informacji jest działalność cyberprzestępców. Popularyzacja Internetu, przy równoległym zapewnieniu anonimowości, odpowiada za działalność przestępczą o charakterze kryminalnym lub ekonomicznym, w tym powiązanych z kradzieżą poufnych informacji. Przedsiębiorstwa borykają się z przestępstwami takimi jak hacking (nieuprawnione uzyskiwanie informacji), czy sniffing (podsłuch komputerowy), jak również przełamywanie zabezpieczeń, czy malware (złośliwe oprogramowanie). Proces wdrożenia zabezpieczeń skutkujący ochroną informacji zapobiega powstawaniu odpowiedzialności cywilnej, związanej z naruszeniem lub ujawnieniem interesów klientów/kontrahentów, jak również ponoszeniu szkód finansowych. Większość powyższych przypadków związane jest z brakiem przepisów odnoszących się do zapewnienia ochrony informacji i posiadania odpowiednich do nich narzędzi. W szczególności zagrożenia łączy się z pracownikami średniego szczebla, mających dostęp do ważniejszych, a nierzadko strategicznych informacji. Stąd też można wysnuć tezę, że największym zagrożeniem dla bezpieczeństwa informacji jest człowiek. Najbardziej zaawansowane technicznie systemy mogą zostać skompromitowane przez świadomą lub nieświadomą działalność człowieka. Najczęściej wykorzystywane są prywatne konta poczty e-mail pracowników, które często nie podlegają zabezpieczeniom sieci firmowej. Dostęp do prywatnego konta e-mail przy wykorzystaniu służbowego komputera skutkuje tym, że możliwe niebezpieczne załączniki mogą znaleźć się na serwerach firmowych z obejściem całej bazy zabezpieczeń. Kolejnym problemem stanowią podejmowane próby zainfekowania wewnętrznej sieci danego podmiotu za pomocą nośników fizycznych, takich jak pendrive, czy też inny nośnik danych. Człowiek działający świadomie, znający reguły funkcjonowania zastosowanego systemu bezpieczeństwa informacji, może podjąć próby doprowadzenia do ujawnienia lub kradzieży informacji podlegających ochronie. Sposoby zabezpieczeń W przedsiębiorstwach często wykorzystuje się właściwe zapisy o charakterze prawnym w stosunku do zapewnienia ochrony informacji. Najczęściej stosuje się klauzule zamieszczone w umowach o pracę (zakaz konkurencji, obowiązek zachowania poufności), czy w umowach zawartych z kontrahentami. Przedstawione zabezpieczenia o właściwym kształcie prawnym wpływa prewencyjnie, sygnalizuje następstwa niedopełnienia zobowiązań przez pracowników czy kontrahentów, a także daje możliwość lub usprawnia dochodzenia roszczeń przed sądem. Istotne jest funkcjonowanie szczegółowo opracowanych zasad procesu 1

przechowywania archiwizacji dokumentacji w formie tradycyjnej i cyfrowej oraz dostępu osób upoważnionych do danych informacji. Popularność zyskują systemy zarządzania bezpieczeństwem informacji, m.in. ISO/IEC 27001, norma o zasięgu międzynarodowym standaryzującą systemy zarządzania bezpieczeństwem informacji. Postęp uświadomił nam, że informacja stanowi jeden z najcenniejszych aktywów, wystawionych na niebezpieczeństwo, w których wirus czy złośliwe oprogramowanie nie są jedynymi narzędziami działania przestępców. Coraz częściej wykorzystuje się socjotechniki, skłaniające nas, aby za pomocą wiadomości e-mail, odwiedzić jego stronę internetową lub odczytać przesłane załączniki. Skutkuje to przejęciem haseł i zabezpieczeń, ujawnieniem lub kradzieżą informacji, a także zahamowaniem funkcjonowania naszej działalności. Norma ISO27001, jak i inne normy związane z zapewnieniem ochrony informacji wskazuje na cztery obszary bezpieczeństwa: 1. Bezpieczeństwo użytkowników Zagrożenia wewnętrzne, jak i zewnętrzne równoważą się. Cyberprzestępcy posługując się pracownikami chcąc przechwycić dostęp do informacji poufnych, wykorzystując socjotechnikę i podejmując próby zainfekowania stacji roboczych, jako narzędzie pozyskania pozostałej bazy danych. Zabezpieczenie w tym zakresie, winno polegać na kontroli uprawnień, zapewnienie ochrony przez uruchamianiem niedozwolonego oprogramowania, a także systemy monitoringu zachowań pracowników przetwarzających dane. Daje to podstawę do ich rozliczenia w razie postępowań sądowych. 2. Bezpieczeństwo danych Chroniąc dane należy przeanalizować, które informacje dla nas są najważniejsze. Wiedza gdzie i jakimi informacjami dysponujemy oraz przetwarzamy, umożliwia nam ich ochronę, co uchroni nas przed ich utratą. Gwarantuje również pełną kontrolę, przestrzeganie przez pracowników opracowanych wewnętrznych reguł porządkujące zagadnienia przepływu i dostępu do danych, przekazując jednocześnie kompleksową wiedzę mającą związek z podejmowanymi próbami złamania polityki bezpieczeństwa danych. Uzupełnieniem tego typu rozwiązań jest edukacja z zakresu bezpieczeństwa. Świadomość jest ważnym elementem w razie postępowania odszkodowawczego. 3. Bezpieczeństwo aplikacji i infrastruktury Stanowią istotę kontynuacji procesów biznesowych. Niezawodne działanie systemu i aplikacji umożliwia rozwój firmy, natomiast przerwa w funkcjonowaniu, będąca skutkiem praktyk cyberprzestępców powoduje wzrost poniesionych wydatków w tym zakresie. 4. Informatyka śledcza Stanowi dopełnienie standardowych narzędzi ochrony informacji. Stosowana po incydencie, określająca motywy i przebieg danego zdarzenia. W razie posądzenia pracownika lub zajścia incydentu powiązanego z ochroną informacji można skorzystać z pomocy profesjonalnych firm. Edukacja daje możliwość zdobycia dowodów, akceptowanych przez sąd. Podstawą takiego działania jest także audyt o 2

charakterze prawnym umów zawartych z pracownikami w ramach dochodzenia żądań w sądzie. Postęp technologiczny umożliwia kradzież danych lub unieruchomienie systemu w ważnych postępowaniach biznesowych, np. przetargi on-line. Zapewnienie ochrony przed zagrożeniami wymusza konieczność odstąpienia od wdrożonych prostych zabezpieczeń, w formie bezskutecznych systemów antywirusowych, do takich, które przeciwdziałają ryzyku. Podejście to należy brać pod uwagę podejmując decyzje biznesowe. Opracowanie procedur i standardów wewnętrznych, a także zwiększenie świadomości pośród pracowników powinno minimalizować ryzyko i wystąpienia zdarzenia. Wiedza w zakresie właściwej ochrony posiadanych aktywów od strony informatycznej i prawnej jest już rozpowszechniona, stąd też należy spełniać przyjętą tezę. 3

Cezary Stanek ekspert z zakresu kontroli zarządczej i ochrony danych osobowych, wykładowca, audytor. Wieloletni praktyk z kontroli zarządczej oraz specjalista w zakresie postępowania z ryzykiem, a w szczególności identyfikacji ryzyka w administracji samorządowej oraz ocenie prawidłowości i skuteczności zastosowanych środków w zakresie ochrony przetwarzanych danych osobowych. Absolwent Wyższej Szkoły Ekonomii i Administracji na kierunku Administracja Samorządowa oraz Podyplomowych Studiów Ochrony Danych Osobowych Wydział Prawa i Administracji Uniwersytetu Łódzkiego. Administrator Bezpieczeństwa Informacji, specjalista w zakresie ochrony danych osobowych oraz ekspert KRI. Pasjonat wdrożeń systemów zarządzania oraz dostosowywania procedur by były użyteczne i proste. Wdrożeniowiec systemy ograniczającego odpowiedzialność dla administratorów danych oraz pracowników Kryptos24. Inne umiejętności: audytor wewnętrzny systemów zarządzania bezpieczeństwem, główny specjalista bezpieczeństwa i higieny pracy, Zapraszam do odwiedzenia naszej strony www.eszkolenie.eu SELENE CONSULTING Spółka z ograniczoną odpowiedzialnością, Spółka Komandytowa Aleja Józefa Piłsudskiego 10a 44-335 Jastrzębie-Zdrój tel.: 665-242-474 e-mail: info@eszkolenie.eu 4

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres