RODO zmiana podejścia do ochrony danych osobowych

Podobne dokumenty
RODO zmiana podejścia do ochrony danych osobowych

ROLA SECURITY OFFICERA

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Ocena Ryzyka Zawodowego AKTUALIZACJA OCENY RYZYKA ZAWODOWEGO NA STANOWISKACH PRACY W ZESPOLE SZKÓŁ SAMORZĄDOWYCH W PARADYŻU

Zarządzanie ryzykiem w bezpieczeostwie IT

Informacja nt. sposobu przeprowadzenia oceny ryzyka zawodowego na stanowiskach pracy

Zdrowe podejście do informacji

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Zarządzenie Nr 71/2010 Burmistrza Miasta Czeladź. z dnia 28 kwietnia 2010r.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Reforma ochrony danych osobowych RODO/GDPR

biznesowych i organizacyjnych. Podstawowe cechy naszych rozwiązań to jakość, niezawodność i profesjonalizm.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Zarządzanie Ciągłością Działania

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

OFERTA ABONAMENTOWA OBSŁUGI INFORMATYCZNEJ

Szczegółowe informacje o kursach

System Zachowania Ciągłości Funkcjonowania Grupy KDPW Polityka SZCF (wyciąg)

Maciej Byczkowski ENSI 2017 ENSI 2017

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Kurs Inspektora Ochrony Danych z warsztatem wdrożenia Polityki Ochrony Danych Osobowych zgodnej z przepisami RODO

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

SIŁA PROSTOTY. Business Suite

Imed El Fray Włodzimierz Chocianowicz

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

Bezpieczeństwo danych w sieciach elektroenergetycznych

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Ochrona biznesu w cyfrowej transformacji

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 CZĘŚĆ PRAKTYCZNA

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

POLITYKA E-BEZPIECZEŃSTWA

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

ISO w Banku Spółdzielczym - od decyzji do realizacji

POLITYKA ZARZĄDZANIA RYZYKIEM

Kompleksowe Przygotowanie do Egzaminu CISMP

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

pilotażowe staże dla nauczycieli i instruktorów kształcenia zawodowego w przedsiębiorstwach

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

RODO co oznacza dla zespołów IT?

rodo. naruszenia bezpieczeństwa danych

Zapytanie ofertowe nr OR

Zarządzanie ryzykiem w bezpieczeństwie informacji

Szkolenie otwarte 2016 r.

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

Nowe przepisy i zasady ochrony danych osobowych

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

ZAGROŻENIA BEZPIECZEŃSTWA DANYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ANALIZA RYZYKA W ŚRODOWISKU INFORMATYCZNYM

Rozdział 3 Inwentaryzacja procesów i zasobów biorących udział w procesach

Usługa Outsourcing u IT

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Cena powinna zawierać koszt użytkowania niezbędnego oprogramowania serwera i bazy danych na okres obowiązywania umowy.

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Prelegent : Krzysztof Struk Stanowisko: Analityk

Promotor: dr inż. Krzysztof Różanowski

I. O P I S S Z K O L E N I A

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Informatyka w kontroli i audycie

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

Agenda. Quo vadis, security? Artur Maj, Prevenity

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

KRÓTKA CHARAKTERYSTYKA WYBRANYCH METOD OCENY RYZYKA (Z PRZYKŁADAMI ZASTOSOWAŃ)

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

zetula.pl Zabezpiecz Swoje Dane

Nr sprawy: ST Poznań, Zapytanie ofertowe

Zakres i stan zaawansowania prac dotyczących dostawy sprzętu komputerowego na potrzeby realizacji projektów BW i EA.

Marcin Soczko. Agenda

Deklaracja stosowania

INTERNATIONAL POLICE CORPORATION

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Transkrypt:

RODO zmiana podejścia do ochrony danych osobowych Wprowadzenie do RODO Analiza ryzyka Metodyki analizy Kryteria akceptowalności Aktywa Zagrożenia Zabezpieczenia Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.

WPROWADZENIE Konieczność stosowania się do przepisów rozporządzenia przez przedsiębiorców działających poza UE Rozszerzenia definicji danych osobowych związane z rozwojem technologicznym i nowymi formami identyfikacji (dane genetyczne/biometryczne) Obowiązek wyznaczania Inspektora Ochrony Danych (w miejsce dotychczasowego ABI) Wprowadzenie prawa do bycia zapomnianym Wprowadzenie prawa dostępu do danych, poprawiania ich, uzupełniania i łatwego przenoszenia pomiędzy administratorami danych 3

WPROWADZENIE Obowiązek zgłaszania naruszeń bezpieczeństwa organowi nadzorczemu, administratorowi danych oraz podmiotowi danych. Zapewnienie ochrony prywatności już w fazie projektowania systemów (Privacy By Design) Zapewnienie ochrony prywatności jako domyślnej cechy systemów (Privacy By Default) Art. 32 RODO nakłada obowiązek wdrożenia odpowiednich zabezpieczeń w celu ochrony przed zagrożeniami Wprowadzenie podejścia do zabezpieczeń opartego na analizie ryzyka 4

ANALIZA RYZYKA 5

ANALIZA RYZYKA DEFINICJE Czym jest ryzyko? 6

ANALIZA RYZYKA - DEFINICJE RYZYKO Potocznie to wskaźnik stanu lub zdarzenia mogącego prowadzid do straty (obawa, niepewnośd). 1 / 22 000 000 1 / 776 000 1 / 14 000 000 1 / 176 000 000 Ryzyko to nie tylko prawdopodobieostwo, jest ono rzutowane na subiektywne poczucie wartości i straty 7

ANALIZA RYZYKA - DEFINICJE STRATA nie tylko wymiar materialny Strata wizerunku lub zaufania Strata przewagi konkurencyjnej Strata spodziewanych przychodów lub klientów Strata przywilejów lub legalności Aktywa również niematerialne 8

ANALIZA RYZYKA - DEFINICJE AKTYWA wszystko co stanowi wartośd dla organizacji Wiedza, know how Pracownicy Lokalizacja Dostawcy, kontrakty Dane Licencje Infrastruktura 9

AKTYWA CHRONIONE WARTOŚCI Jakie wartości aktywów podlegają ochronie? Przykład: co uznamy za stratę w przypadku bazy danych? Jeden rekord bazy na 1 tys.? Jeden rekord bazy na 1 mln? Wykradziony / ujawniony? Skasowany? Błędnie wprowadzony? 11

BEZPIECZEŃSTWO W kontekście ochrony danych stratą będzie każde naruszenie ich bezpieczeostwa. Jak zatem precyzyjnie zdefiniowad bezpieczeostwo? Confidentality poufnośd Integrity integralnośd Availability dostępnośd 12

BEZPIECZEŃSTWO BEZPIECZEOSTWO Poufnośd Właściwośd zapewniająca, że informacja nie jest udostępniana nieautoryzowanym osobom lub podmiotom Integralnośd Właściwośd zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany Dostępnośd Właściwośd polegająca na tym, że dane mogą byd dostępne i wykorzystywane przez autoryzowane osoby lub podmioty 13

INCYDENT BEZPIECZEŃSTWA INCYDENT pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeo, które stwarzają ZNACZNE prawdopodobieostwo zakłócenia działao biznesowych i zagrażają bezpieczeostwu informacji. Jak zatem rozpoznad ZNACZNY wpływ na działania biznesowe? Konieczna jest analiza wpływu na biznes (BIA) 14

BIA BUSINESS IMPACT ANALYSIS BIA ma na celu ustalenie jak niekorzystny wpływ na realizację celów biznesowych będzie miało zaistnienie określonego incydentu bezpieczeostwa. W tym celu musimy zidentyfikowad wszystkie krytyczne procesy biznesowe (np. przyjmowanie zamówieo, produkcja, realizacja wysyłki). Musimy też znad zasoby konieczne do realizacji krytycznych procesów (np. infrastruktura, ludzie, materiały). 15

WSTĘP DO ANALIZY RYZYKA PODSUMOWANIE POJĘD: ryzyko, strata, aktywa i ich wartośd, incydent, bezpieczeostwo, wpływ na biznes ANALIZA: Ocena ryzyka zaistnienia incydentu naruszającego bezpieczeostwo aktywów o określonej wartości i mogącego spowodowad określone straty biznesowe. Jaki jest ostatni, brakujący element układanki? 16

ZAGROŻENIA ZAGROŻENIE: czynnik odpowiedzialny za powstanie incydentu naturalne (zjawiska przyrodnicze, ale też np. wyczerpanie zasobów) przypadkowe (awarie, wypadki, błędy ludzkie) zamierzone (kradzieże, ataki cyberprzestępców, akty wandalizmu, terroryści, hacktywiści) administracyjne (zmiana prawa) 17

ZAGROŻENIA W ustaleniu możliwych zagrożeo pomaga określenie potencjalnych ich źródeł: przestępcy terroryści / hacktywiści dostawcy / kontrahenci konkurencja niezadowoleni klienci byli i obecni pracownicy 18

PODATNOŚCI PODATNOŚD cecha sprzyjająca urzeczywistnieniu się potencjalnego zagrożenia. Przykłady: Brak aktualizacji oprogramowania Częste awarie systemu zasilania Brak szkoleo dla pracowników Brak polityk bezpieczeostwa Dwiczenie: Jakie potencjalne podatności zagrażające bezpieczeostwu bazy danych osobowych jesteś w stanie wskazad? 19

PODATNOŚCI POWIERZCHNIA ATAKU całościowy zbiór elementów, w których mogą wystąpid podatności zagrażające danym aktywom. dane osobowe baza danych dyski system pamięci masowej serwer W tym wypadku zagrożenia dla danych osobowych wynikają z sumy podatności wszystkich elementów mających na nie wpływ system operacyjny data center dostawca chmury 20

ANALIZA RYZYKA Cele organizacji Przebieg procesu analizy ryzyka Główne procesy Aktywa krytyczne Podatności Klasyfikacja Wartościowanie BIA Aktywa ważne Aktywa wspierające Zagrożenia Szacowanie prawdopodobieństwa Powierzchnia ataku Źródła zagrożeń Poziomy ryzyka Progi akceptowalności Działania zaradcze 21

ANALIZA RYZYKA Ryzyko możemy zatem przedstawid jako funkcję prawdopodobieostwa wystąpienia zagrożenia i jego wpływu na działalnośd organizacji wpływ 5 5 10 15 20 25 4 4 8 12 16 20 3 3 6 9 12 15 2 2 4 6 8 10 1 1 2 3 4 5 1 2 3 4 5 prawdopodobieostwo 22

ANALIZA RYZYKA Podział metodyk szacowania ryzyka Jakościowe bazujące na wartościach opisowych, niepoliczalnych, poziom ryzyka definiują np. jako niski, średni, wysoki Ilościowe bazujące na konkretnych danych liczbowych, np. wysokości potencjalnych strat, poziom ryzyka jest w nich przedstawiany jako konkretna wartośd liczbowa 23

METODYKA RISC SCORE W szacowaniu ryzyka tą metodą wykorzystuje się 3 podstawowe parametry: Prawdopodobieostwo zaistnienia zdarzenia (P) Czas ekspozycji na czynnik niebezpieczny (E) Możliwe skutki oraz ich waga (S) Parametry te służą do obliczenia wskaźnika ryzyka *R] z prostego wzoru: R = P x E x S 24

METODYKA RISC SCORE P Prawdopodobieostwo Wartośd Opis Szansa w % 10 Bardzo prawdopodobne 50 6 Całkiem możliwe 10 3 Mało prawdopodobne ale możliwe 1 1 Tylko sporadycznie możliwe 10 3 0,5 Możliwe do pomyślenia 10 4 0,2 Praktycznie niemożliwe 10 5 0,1 Tylko teoretycznie możliwe 10 6 25

METODYKA RISC SCORE E ekspozycja Wartośd Opis 10 Stała 6 Częsta (codziennie) 3 Sporadyczna (raz w tygodniu) 2 Okazjonalna (raz w miesiącu) 1 Minimalna (kilka razy w roku) 0,5 Znikoma (raz w roku) 26

METODYKA RISC SCORE S potencjalne skutki zagrożenia Wartośd S Opis Straty Straty ludzkie Straty materialne 100 Poważna katastrofa Wiele ofiar śmiertelnych Powyżej 30 mln 40 Katastrofa Kilka ofiar 3 30 mln 15 Bardzo duża Ofiara śmiertelna 0,3 3 mln 7 Duża Uszkodzenia ciała 30 300 tys. 3 Średnia Absencja 3 30 tys. 1 Mała Udzielenie pomocy Do 3 tys. 27

METODYKA RISC SCORE Ocena jakościowa poziomu ryzyka wynikającego z zastosowania wzoru: R = P x E x S Opis Wartośd Pomijalne Poniżej 1,5 Akceptowalne 1,5 20 Małe 20 70 Średnie 70 200 Poważne 200 400 Nieakceptowalne Powyżej 400 28

METODYKA RISC SCORE Postępowanie z ryzykiem Poziom ryzyka Pomijalne Akceptowalne Małe Średnie Poważne Nieakceptowalne Postępowanie nie ma potrzeby podejmowania jakichkolwiek działao działania profilaktyczne nie są konieczne, wskazana jest obserwacja wskaźnika Konieczna kontrola wskaźnika umożliwiająca podjęcie działao w momencie jego wzrostu konieczne jest podjęcie działao naprawczych konieczne jest natychmiastowe podjęcie działao naprawczych do momentu podjęcia skutecznych działao naprawczych, praca musi byd wstrzymana 29

METODYKA 5S Szacowanie skutków oraz prawdopodobieostwa odbywa się w skali 1 5 Wytyczne dotyczące kwalifikacji następstw i prawdopodobieostwa do odpowiednich kategorii (1 5) Ryzyko jako iloczyn prawdopodobieostwa i skutków R Ryzyko P Prawdopodobieostwo S Skutki R = P x S 30

METODYKA 5S Szacowanie prawdopodobieostwa Poziom Opis Prawdopodobieostwo Częstotliwośd wystąpienia 1 Prawie niemożliwe < 0,01 1 x 100 lat 2 Mało prawdopodobne 0,01 0,1 1 x 10 lat 3 Umiarkowanie możliwe 0,1 0,2 1 x 5 lat 4 Prawdopodobne 0,2 0,5 1 x rok 5 Prawie pewne > 0,5 1 x m c 31

METODYKA 5S Szacowanie następstw Poziom Skutek Opis 1 2 3 Minimalny, pomijalny Mało znaczący, niski Znaczący, umiarkowany 4 Poważny, wysoki 5 Katastrofalny, krytyczny Nikły wpływ na funkcjonowanie organizacji Brak poważnego wpływu na działanie organizacji Krótkotrwały, poważny wpływ na działanie organizacji Poważny wpływ na działanie organizacji Zagrożenie dla kontynuacji działania organizacji 32

Następstwa METODYKA 5S Szacowanie ryzyka Macierz ryzyka Prawdopodobieostwo 5 4 3 2 1 5 25 20 15 10 5 4 20 16 12 8 4 3 15 12 9 6 3 2 10 8 6 4 2 1 5 4 3 2 1 33

METODYKA 5S Postępowanie z ryzykiem Wartośd Rodzaj ryzyka Opis działania 25 Krytyczne 10 20 Nieakceptowalne Konieczna natychmiastowa poprawa, należy rozważyd wstrzymanie procesu Konieczne niezwłoczne podjęcie działao obniżających ryzyko 5 10 Akceptowalne warunkowo Konieczne działania zmniejszające ryzyko jeśli nie ma przeciwwskazao ekonomicznych 2 4 Akceptowalne 1 Pomijalne Nie ma konieczności podejmowania działao ale należy monitorowad ryzyko Nie ma konieczności podejmowania jakichkolwiek działao 34

ANALIZA RYZYKA - POSTĘPOWANIE Postępowanie z ryzykiem możliwe warianty działania: AKCEPTACJA: godzimy się z możliwością wystąpienia incydentu, jego skutki są ekonomicznie akceptowalne a koszt wdrożenia zabezpieczeo przewyższa wartośd ewentualnych strat MIMINALIZACJA: wdrożenie rozwiązao zmniejszających poziom ryzyka (techniczne lub operacyjne środki zaradcze) UNIKANIE: unikanie i eliminacja działao powodujących występowanie ryzyka PRZENIESIENIE: przekazanie ryzyka innemu podmiotowi (np. ubezpieczyciel, dostawca, podwykonawca) 35

MINIMALIZACJA RYZYKA Zabezpieczenia uniwersalne mające zastosowanie dla większości środowisk i organizacji: opracowanie i wdrożenie polityki bezpieczeostwa informacji, zarządzanie ciągłością działania, przypisanie odpowiedzialności w zakresie bezpieczeostwa informacji, zarządzanie podatnościami technicznymi, uświadamianie i szkolenia z zakresu bezpieczeostwa zarządzanie incydentami związanymi z bezpieczeostwem 36

AKTYWA 37

AKTYWA PRZEGLĄD INFORMACJE: Dane osobowe Dane dostępowe (loginy, hasła, piny) Dane dotyczące zabezpieczeo (klucze szyfrujące, certyfikaty) Logi systemowe Dokumentacja techniczna, procedury odtworzeniowe Polityki bezpieczeostwa Umowy 38

AKTYWA PRZEGLĄD INFRASTRUKTURA IT sprzęt komputerowy: Serwery (fizyczne i wirtualne) Storage (macierze, NAS y) Stacje robocze (PC, laptopy, terminale) Urządzenia mobilne (tablety, smartfony, terminale) Urządzenia peryferyjne (drukarki, skanery) 39

AKTYWA PRZEGLĄD INFRASTRUKTURA IT telekomunikacja: Centrale telefoniczne Centrale voip Urządzenia klienckie (telefony, faxy, modemy) Łącza (Internet, SIP trunki, tunele vpn, linie dedykowane) 40

AKTYWA PRZEGLĄD INFRASTRUKTURA IT sied komputerowa: Usługi sieciowe (DNS, DHCP, VPN, protokoły routingu) Okablowanie Urządzenia aktywne (switche, routery, AP, mediakonwertery) Urządzenia pasywne (krosownice, patchpanele) Systemy sieciowe (firewalle, bramki, UTMy, IPSy, IDSy, proxy) 41

AKTYWA PRZEGLĄD INFRASTRUKTURA IT nośniki danych: Pamięci przenośne (karty flash, pendrivy, dyski zewnętrzne) Dyski twarde Płyty CD/DVD Taśmy magnetyczne Nośniki instalacyjne Nośniki licencji 42

AKTYWA PRZEGLĄD INFRASTRUKTURA sprzęt wspomagający: Klimatyzatory Zasilacze awaryjne i agregaty Monitoring środowiskowy (czujki temp., zalania, dymu) Systemy automatycznego gaszenia Monitoring wizyjny (kamery, rejestratory) Systemy alarmowe Systemy kontroli dostępu Rejestratory czasu pracy 43

AKTYWA PRZEGLĄD INFRASTRUKTURA obszary chronione: Obszary przetwarzania danych osobowych Serwerownie Punkty dystrybucyjne sieci Punkty składowania i przetwarzania danych (elektronicznych i papierowych) Studzienki i kanały telekomunikacyjne Rozdzielnie elektryczne Stanowiska monitoringu 44

AKTYWA PRZEGLĄD OPROGRAMOWANIE: Systemy operacyjne Oprogramowanie użytkowe Serwery usługowe Oprogramowanie administracyjne Sterowniki Oprogramowanie układowe (firmware) Oprogramowanie rozwijane we własnym zakresie Strony www i aplikacje webowe 45

AKTYWA PRZEGLĄD PRACOWNICY I WSPÓŁPRACOWNICY: Personel na stanowiskach nie posiadających zastępstw Kompetencje, które trudno nabyd (np. ze względu na koszty) Doświadczenie trudne do zdobycia w krótkim czasie Know how specyficzna wiedza związana z daną branżą 46

AKTYWA PRZEGLĄD OUTSOURCING Oprogramowanie Usługi chmurowe Usługi internetowe (hosting, DNS, poczta) Łącza Usługi serwisowe i gwarancyjne Wsparcie techniczne Personel 47

ŹRÓDŁA INFORMACJI O ZAGROŻENIACH Testy penetracyjne i audyty bezpieczeostwa jako narzędzia identyfikacji zagrożeo oraz podatności: Ustawa o Ochronie Danych Osobowych (plan sprawdzeo) Krajowe Ramy Interoperacyjności (audyt bezpieczeostwa min. 1 x rok) ISO 27001 (audyt bezpieczeostwa jako narzędzie oceny skuteczności) 49

ZADANIA ZESPOŁU SECURITY Inwentaryzacja i klasyfikacja aktywów Polityki bezpieczeństwa Okresowe audyty bezpieczeństwa i testy penetracyjne Zarządzanie aktualizacjami Procedury disaster recovery Dobór i utrzymanie środków technicznych Filtrowanie ruchu Zarządzanie incydentami bezpieczeństwa Szkolenia pracowników Dokumentacja Polityki AD Monitoring infrastruktury Archiwizacja i analiza logów Szacowanie i analiza ryzyka 115

POTRZEBUJEMY SOC SOC Security Operations Center Wydzielona jednostka do monitorowania, reagowania na incydenty i utrzymywania infrastruktury związanej z ochroną Monitorowanie IDS/IPS, sondy sieciowe, monitoring sieci, monitoring środowiskowy, monitoring bezpieczeństwa stacji AV, HIDS, bramki skanujące ruch smtp i http/https Zarządzanie logami Centralne gromadzenie, archiwizacja i kompresja. Korelacja zdarzeń i ich ocena pod kątem zagrożeń systemy typu SIEM 116

SOC OUTSOURCING Problem z zatrudnieniem Brak specjalistów, wysokie koszty Problem z utrzymaniem Ryzyko znalezienia lepszej pracy. Tracimy eksperta z dużą wiedzą o naszej firmie. Problem z dostarczeniem narzędzi Drogie we wdrożeniu i utrzymaniu systemy wymagane do realizacji zadań SOC Zalety outsourcingu Większe zaplecze kadrowe z własnymi narzędziami. Doświadczenie, spojrzenie z szerszej perspektywy. 117

SOC CLEAN PIPE Filtrowanie poczty ochrona antywirusowa i antyspamowa Filtrowanie WWW i DNS ochrona na podstawie treści, kategorii, bazy reputacji Ochrona usług webowych anty DDOS, web application firewall 118

SOC ENDPOINT SECURITY Ochrona antywirusowa Skanowanie podatności Zarządzanie aktualizacjami Backup i archiwizacja Zdalny dostęp Inwentaryzacja sprzętu i oprogramowania Monitoring usług i parametrów systemowych Ochrona urządzeń mobilnych (BYOD) 119

SOC USŁUGI DODATKOWE Polityki i audyty bezpieczeństwa Testy penetracyjne i próby socjotechniczne Szkolenia użytkowników Usługi ABI Konsultacje z zakresu bezpieczeństwa 120

Dziękuję za uwagę http://www.upgreat.pl/blog http://www.facebook.com/upgreat.poznan Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.

Dziękuję za uwagę Jakub Staśkiewicz tel.: 667 768 452 mail: jakub.staskiewicz@upgreat.pl UpGreat Systemy Komputerowe Sp. z o.o. 60 122 Poznao, ul. Ostrobramska 22 http://www.upgreat.com.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres