MSP - czyli jak tłumaczyć wymogi bezpieczeństwa informacji trudne dla Wielkich na potrzeby Maluczkich.

Podobne dokumenty
Stowarzyszenie ds. bezpieczeństwa systemów informacyjnych

Stowarzyszenie ds. bezpieczeństwa systemów informacyjnych

Stowarzyszenie ds. bezpieczeństwa systemów w informacyjnych

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Bezpieczeństwo informacji dla MSP w metodologii ISSA UK

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Maciej Byczkowski ENSI 2017 ENSI 2017

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

I. O P I S S Z K O L E N I A

Załącznik 5 Ankieta dla podmiotu przetwarzającego

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Szczegółowy opis przedmiotu zamówienia:

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Promotor: dr inż. Krzysztof Różanowski

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Zasady Polityki Informacyjnej Deutsche Bank Polska S.A. w zakresie adekwatności kapitałowej oraz zakresu informacji podlegających ogłaszaniu

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Załącznik nr 5 do Polityki bezpieczeństwa

Kontrola dostępu do sieci lokalnych (LAN)

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Bezpieczeństwo i Higiena Przetwarzania czyli cukierek dla najmniejszych

Regulacje prawne. Artur Sierszeń

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Reforma ochrony danych osobowych RODO/GDPR

Prelegent : Krzysztof Struk Stanowisko: Analityk

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Ocena stosowania Zasad ładu korporacyjnego dla instytucji nadzorowanych w Domu Maklerskim Navigator S.A. za rok obrotowy 2015

11 STYCZEŃ Jakie zmiany wprowadza RODO dla sklepów internetowych? WARSZTATY KIERUJEMY DO: Centrum Konferencyjne Golden Floor, Warszawa

Prezentacja wniosku aplikacyjnego Trzeci nabór wniosków

MSSF 9 dla audytorów wewnętrznych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

Asseco dla Zdrowia r.

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KOMPLEKSOWA REALIZACJA RODO

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Grupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

SME Internationalisation Exchange. Programy współpracy międzynarodowej- Informacja o konkursach, przegląd dobrych praktyk 6 kwietnia 2017, Toruń

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Bezpieczeństwo informacji. jak i co chronimy

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Polityka zgodności w Banku Spółdzielczym w Wąsewie na 2018 rok

BAKER TILLY POLAND CONSULTING

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

Ocena ryzyka kontraktu. Krzysztof Piłat Krajowy Rejestr Długów Biuro Informacji Gospodarczej

Ochrona danych osobowych

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

OCHRONA INFORMACJI NIEJAWNYCH

Czas trwania szkolenia- 1 DZIEŃ

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Spotkanie informacyjne

W ARSZT ATY EKSPERCKIE

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

ABI I OCHRONA DANYCH OSOBOWYCH ORAZ INFORMACJI W ADMINISTRACJI PUBLICZNEJ

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Regulamin zarządzania ryzykiem. Założenia ogólne

Szczegółowe informacje o kursach

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Wyniki finansowe Banku w 1 kw r.

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

PROJEKTY WSPIERAJĄCE ROZWÓJ EKSPORTU MIKRO-, MAŁYCH I ŚREDNICH PRZEDSIĘBIORSTW PASZPORT DO EKSPORTU 1

Kontrola dostępu do informacji w administracji publicznej

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Klasyfikacja informacji

KONKURS O DOFINANSOWANIE - DZIAŁANIE 1.2. REGIONALNY PROGRAM OPERACYJNY WOJEWÓDZTWA ŚLĄSKIEGO. Śląskie Centrum Przedsiębiorczości

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

Transkrypt:

MSP - czyli jak tłumaczyć wymogi bezpieczeństwa informacji trudne dla Wielkich na potrzeby Maluczkich. Prezenterzy: Andrzej Kasprzyk i Piotr Dzwonkowski www.issa.org.pl 1

Information Systems Security Association Międzynarodowa organizacja typu not-for-profit Zrzesza ponad 10 000 osób z ponad 70 krajów zawodowo zajmujących się bezpieczeństwem Systemów Informatycznych Obecna w 70 krajach ( ponad 150 oddziałów) Oferuje edukację, fora dyskusyjne i możliwość wymiany informacji i doświadczeń Pozwala swoim członkom na poszerzenie umiejętności, wiedzy i doświadczenia Aktywnie współpracuje z ISC2, OWASP i ISACA w celu zapewnienia pełnej ochrony aktywów informacyjnych www.issa.org.pl 2

Cel prezentacji: Przedstawić rezultaty pracy w projekcie ISSA Polska MSP Cel projektu MSP: Nauczyć się opisywać wymagania bezpieczeństwa informacji w zrozumiały dla laika sposób 3

Autorzy Grupa MSP w składzie: Alina Wirbel-Łuczak Piotr Bratkowski Maciej Gajewski Andrzej Kasprzyk Piotr Dzwonkowski 4

Etap 0 - angielski Podział finansowy na MSP Podstawowe czynniki decydujące o tym, czy dana firma może zostać uznana za MŚP: liczba pracowników oraz roczny obrót albo całkowity bilans roczny. Kategoria przedsiębiorstwa Liczba pracowników Roczny obrót albo Całkowity bilans roczny Średnie < 250 50 mln euro 43 mln euro Małe < 50 10 mln euro 10 mln euro Mikro < 10 2 mln euro 2 mln euro http://ec.europa.eu/enterprise/policies/sme/facts-figures-analysis/sme-definition/index_pl.htm 5

Etap 0 - angielski Zasady BI dla MSP Wytyczne zabezpieczeń informacji dla MSP 6

Etap 1 ISSA Polska Klasyfikacje działalności Stworzyliśmy klasyfikację działań opartą na ryzyku tzn. na: Typach informacji aby zabezpieczając organizację wziąć pod uwagę WARTOŚĆ Intensywności przetwarzania aby zabezpieczając organizację wziąć pod uwagę ILOŚĆ zabezpieczanej informacji Przyjęliśmy założenie, że im więcej danych tym większe prawdopodobieństwo niepomyślnych zdarzeń www.issa.org.pl 7

Etap 1 ISSA Polska Typy informacji Typ I - dane wspierające działania człowieka lub organizacji Typ II - dane stanowiące podstawę działalności człowieka lub organizacji i niepodlegające osobnym regulacjom prawnym Typ III - dane podlegające osobnym regulacjom: osobowe, stanu cywilnego, ubezpieczeniowe, finansowe, wymiaru sprawiedliwości, medyczne Typ IV - dane wojska, policji i innych służb Wytyczne zabezpieczeń informacji dla MSP 8

Etap 1 ISSA Polska Intensywność przetwarzania mała (do 100 rekordów) intensywność 2=LOG(100) średnia (do 10000 rekordów) - intensywność 4 duża (1000000 rekordów) intensywność 6 Wytyczne zabezpieczeń informacji dla MSP 9

Etap 1 ISSA Polska Przykład 4 - Punkt analiz Kat. Opis typu informacji 1 2 3 4 5 6 7 8 I II III IV dane wspierające działania człowieka lub organizacji dane stanowiące podstawę działalności człowieka lub organizacji i niepodlegające osobnym regulacjom prawnym dane podlegające osobnym regulacjom: osobowe, stanu cywilnego, ubezpieczeniowe, finansowe, wymiaru sprawiedliwości, medyczne dane wojska, policji i innych służb medycznych Intensywność działań 1. Zatrudnienie 10 pracowników [III, 1] 2. Zarządzanie bazą informacyjną 1000 ludzi [III, 3] 3. Zarządzanie 10 klientami (szpital, poradnia zdrowia) [I, 1] Wytyczne zabezpieczeń informacji dla MSP 10

Etap 1 ISSA Polska? Gdzie w tym wszystkim są MSP? Wytyczne zabezpieczeń informacji dla MSP 11

Etap 1 ISSA Polska Mikro Małe Średnie Klasyfikacja działań - matryca Intensywność działań Kat. Opis typu informacji 1 2 3 4 5 6 7 8 I II III dane wspierające działania człowieka lub organizacji dane stanowiące podstawę działalności człowieka lub organizacji i niepodlegające osobnym regulacjom prawnym dane podlegające osobnym regulacjom: osobowe, stanu cywilnego, ubezpieczeniowe, finansowe, wymiaru sprawiedliwości, medyczne IV dane wojska, policji i innych służb Wytyczne zabezpieczeń informacji dla MSP 12

Etap 1 ISSA Polska Wniosek etapu 1 Podział organizacji na Mikro, Małe i Średnie w kontekście całościowej działalności organizacji zamieniliśmy na podział działań organizacji na Mikro, Małe i Średnie w kontekście wycinkowej działalności organizacji Wytyczne zabezpieczeń informacji dla MSP 13

Etap 1 ISSA Polska Kto chroni informacje? Dla każdego obszaru podzieliliśmy zabezpieczenia według kategorii osób odpowiedzialnych: Właściciela, Administratora, Użytkownika Wytyczne zabezpieczeń informacji dla MSP 14

Etap 1 ISSA Polska Odpowiedzialność Zadania Właściciela to przeprowadzenie analizy ryzyka aby zapewnić odpowiednie środki niezbędne dla wdrożenia i funkcjonowania zabezpieczeń, nadzorowanie spraw kontraktowych i zapewnienie żeby: użytkownik wypełniał zalecenia/wytyczne dotyczące sposobów zabezpieczeń informacji administrator tak skonfigurował systemy aby zabezpieczenia użytkownika były efektywne Wytyczne zabezpieczeń informacji dla MSP 15

Etap 1 ISSA Polska Przykład Zalecenia dla zwykłego użytkownika powinny być przestrzegane w równym (lub w większym) stopniu przez administratora i właściciela. Wytyczne zabezpieczeń informacji dla MSP 16

Etap 2 ISSA Polska 1. Praca z Normą www.issa.org.pl 17

Etap 2 ISSA Polska 2. praca nad tekstem i odpowiedzialnością www.issa.org.pl 18

Etap 2 ISSA Polska 3. Przegląd Critical Controls for Effective Cyber Defense www.issa.org.pl 19

Etap 2 ISSA Polska 3. Przegląd Critical Controls for Effective Cyber Defense www.issa.org.pl 20

Etap 2 ISSA Polska 3. Przegląd Critical Controls for Effective Cyber Defense www.issa.org.pl 21

Etap 2 ISSA Polska Przykład Rekomendacje do Critical control 3 punkt 1: Wymieniaj całość sprzętu raz na 3 (?) lata. Używaj systemów Professional a nie Home. www.issa.org.pl 22

Plany Naszym Planem jest zakończyć etap 2 prac do konferencji SEMAFOR 2014. Etap kolejny będzie polegał na przygotowaniu krótkich dokumentów tematycznych. www.issa.org.pl 23

Dziękujemy za uwagę. Zapraszamy do współpracy Kontakt: info@issa.org.pl http://issa.org.pl www.issa.org.pl 24

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres