Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski



Podobne dokumenty
Krzysztof Świtała WPiA UKSW

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Promotor: dr inż. Krzysztof Różanowski

Maciej Byczkowski ENSI 2017 ENSI 2017

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

I. O P I S S Z K O L E N I A

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

ISO bezpieczeństwo informacji w organizacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Imed El Fray Włodzimierz Chocianowicz

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Normalizacja dla bezpieczeństwa informacyjnego

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Bezpieczeństwo informacji. jak i co chronimy

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Zdrowe podejście do informacji

Reforma ochrony danych osobowych RODO/GDPR

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Szkolenie otwarte 2016 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zarządzanie ryzykiem w bezpieczeostwie IT

Bezpieczeństwo dziś i jutro Security InsideOut

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

BAKER TILLY POLAND CONSULTING

SZCZEGÓŁOWY HARMONOGRAM KURSU

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

ISO nowy standard bezpieczeństwa. CryptoCon,

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

ISO w Banku Spółdzielczym - od decyzji do realizacji

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Kryteria oceny Systemu Kontroli Zarządczej

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Kompleksowe Przygotowanie do Egzaminu CISMP

ISO 9001:2015 przegląd wymagań

Marcin Soczko. Agenda

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A.

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

HARMONOGRAM SZKOLENIA

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Prelegent : Krzysztof Struk Stanowisko: Analityk

Zarządzanie ryzykiem w bezpieczeństwie informacji

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Audyt systemów informatycznych w świetle standardów ISACA

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Zarządzanie projektami a zarządzanie ryzykiem

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Program Kontroli Jakości Bezpieczeństwa Informacji

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Inspektor ochrony danych

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Zasady sporządzania matrycy funkcji kontroli

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Team Prevent Poland Sp. z o.o. Graficzna prezentacja struktury ISO 9001:2015 i IATF 16949:2016

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka

Transkrypt:

Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski

Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz z interpretacją zapisów Implementacja systemu zgodnie z normą ISO 27001 Opis procesu wdrożenia systemu, oraz wskazówki praktyczne Analiza stanu organizacji pod kątem wdrożenia SZBI wg 27001 Identyfikacja istniejących zabezpieczeń Ocena poziomu wdrożonych mechanizmów bezpieczeństwa Identyfikacja procesów biznesowych organizacji Opis techniki pozyskania danych odnośnie procesów biznesowych firmy

Projekt SZBI Struktura dokumentacji systemu Struktura organizacyjna systemu, podstawowe funkcje i zakresy odpowiedzialności Analiza ryzyka Omówienie różnych podejść do analizy ryzyka Propozycja metodyki oraz przeprowadzenie analizy ryzyka Metryki pomiary, ocena bezpieczeństwa Propozycja zestawu metryk dla budowanego SZBI Dokumentacja SZBI Spis dokumentów wymaganych przez normę ISO/IEC 27001 Opis zawartości każdego dokumentu i wskazówki realizacji Załączniki Przykładowe dokumenty Dokumentacja przeprowadzonych analiz

Ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa organizacji. SZBI obejmuje: Strukturę organizacyjną Polityki Zaplanowane działania Zakresy odpowiedzialności Praktyki, Procedury, Procesy i zasoby

Zainteresowane strony Zaplanuj (Plan) Ustanowienie SZBI Zainteresowane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Wykonuj (Do) Wdrożenie i eksploatacja SZBI Sprawdzaj (Check) Monitorowanie i przegląd Działaj (Act) Utrzymanie i doskonalenie SZBI Zarządzanie bezpieczeństwem informacji

1. Polityka bezpieczeństwa 2. Zakres SZBI 3. Procedury i zabezpieczenia wspomagające SZBI 4. Opis metodyki szacowania ryzyka 5. Raport z procesu szacowania ryzyka 6. Plan postępowania z ryzykiem 7. Procedury potrzebne organizacji do zapewnienia skutecznego planowania, eksploatacji i sterowania procesami bezpieczeństwa informacji 8. Opis pomiaru skuteczności zabezpieczeń 9. Deklaracja stosowania

Kluczowe funkcje w SZBI Administrator danych Zarząd Pełnomocnik Zarządu d/s zarządzania bezpieczeństwem (CISO) Forum Bezpieczeństwa Administrator Bezpieczeństwa Informacji (ABI) Inspektor bezpieczeństwa teleinformatycznego Właściciel Biznesowy aktywów Kluczowy użytkownik Administrator Użytkownik

Jakich zabezpieczeń organizacja używa? Jaki jest poziom stosowanych zabezpieczeń? Jakie są szanse na powodzenie wdrożenia SZBI? Ile pracy należy włożyć, aby to osiągnąć? Ile to będzie kosztowało? Ile będzie trwało? I inne.

Poziom Nazwa Opis 0 Nie Całkowity brak komponentu. Organizacja nie zdaje sobie sprawy, że występuje rozwiązanie powinno zostać wdrożone. 1 Początkowy Organizacja zdaje sobie sprawę, że rozwiązanie powinno zostać wdrożone. Nie istnieją jednak zdefiniowane procesy a jedynie podejście ad-hoc. Zła organizacja podejścia do zarządzania w tym obszarze. Pytanie Zał. A A.5 Polityka bezpieczeństwa 5.1 Polityka bezpieczeństwa informacji Nie występuje Początkowy Ograniczony Zdefiniowany Zarządzany Optymalny Poza zakresem Zaawansowanie 0,00 % 2 Ograniczony 3 Zdefiniowany 4 Zarządzany 5 Optymalny Został zdefiniowany proces uwzględniający dany komponent. Jest on jednak realizowany przez różne osoby i jego wynik zależy od osoby realizującej. Brak szkoleń w zakresie standaryzacji stosowanych procedur. Z tego powodu występuje prawdopodobieństwo błędów. Istnieją zestandaryzowane, udokumentowane i zakomunikowane procedury. Postępowanie zgodnie z tymi procedurami nie jest jednak kontrolowane istnieje, więc małe prawdopodobieństwo wykrycia odstępstw od procedury. Procesy podlegają ciągłemu doskonaleniu. Można je monitorować i wykonywać pomiary zgodności z oczekiwaniami. Ograniczone wykorzystanie narzędzi i automatyzacji. Procesy są udoskonalone w wyniku ciągłego doskonalenia i stosowania najlepszych praktyk. Są porównywane do innych firm z danego sektora. Wykorzystuje się automatyzację działań. Umożliwia to organizacji szybką adaptacje do zmieniających się warunków. 6 Nie dotyczy Nie dotyczy - dany obszar nie był badany Czy organizacja posiada i stosuje politykę 5.1.1 bezpieczeństwa lub inny dokument określający zasady bezpieczeństwa informacji? Czy dokument, o którym mowa w poprzednim 5.1.2 punkcie jest przeglądany i aktualizowany? A.6 Organizacja bezpieczeństwa informacji 6.1 Organizacja wewnętrzna Cel: Zarządzanie Czy kierownictwo organizacji wyraża swoje 6.1.1 wsparcie w zakresie wdrażania systemu bezpieczeństwa informacji? Czy działania dotyczące bezpieczeństwa informacji są 6.1.2 koordynowane w ramach organizacji? Czy zostały określone odpowiedzialności w 6.1.3 zakresie bezpieczeństwa informacji Czy istnieje proces autoryzacji przez kierownictwo 6.1.4 nowych środków przetwarzania informacji. 1 1 1 1 1 1 45,45 %

Obszar bezpieczeństwa 5. Polityka bezpieczeństwa 2 0 0 0 0 0 0 2 6. Organizacja bezpieczeństwa informacji 6 0 4 1 0 0 0 11 7. Zarządzanie aktywami 3 1 0 0 0 0 0 4 8. Bezpieczeństwo zasobów ludzkich 5 0 2 1 0 0 0 8 9. Bezpieczeństwo fizyczne i środowiskowe 3 0 7 1 2 0 0 13 10. Zarządzanie systemami i sieciami 16 0 14 1 1 0 0 32 11. Kontrola dostępu 12 0 10 1 0 2 0 25 12. Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych 8 1 7 0 0 0 0 16 13. Zarządzanie incydentami związanymi z bezpieczeństwem informacji 4 0 1 0 0 0 0 5 14. Zarządzanie ciągłością działania 5 0 0 0 0 0 0 5 15. Zgodność 5 0 3 2 0 0 0 10 Suma 69 2 48 7 3 2 0 131 Nie występuje Początkowy Ograniczony Zdefiniowany Zarządzany Optymalny Poza zakresem Suma Nie występuje Początkowy Ograniczony Zdefiniowany Zarządzany Optymalny Poza zakresem Suma Suma 69 2 48 7 3 2 0 131 2 48 7 3 2 62 Wdrożone 69 69 Należy wdrożyć Zabeczenia

Wstępna analiza ryzyka (ang. High level risk analysis) - Odpowiedź na temat krytyczności danego systemu lub procesu w kontekście prowadzonego biznesu. Metoda podstawowego zestawu zabezpieczeń (ang. baseline approach) - Zestaw zabezpieczeń buduje się w oparciu o uznane standardy i dobre praktyki z dziedziny bezpieczeństwa NIE NIE NIE Ogólna ocena ryzyka Czy aktywo wspiera kluczowe procesy biznesowe? Czy aktywo przetwarza krytyczne dane dla biznesu? aktywa? TAK TAK TAK Szczegółowa analiza ryzyka - Stosowana jest dla aktywów o znaczeniu krytycznym dla biznesu. NIE Czy proces wykorzystuje kosztowne elementy informatyczne TAK

Identyfikacja aktywów i ich właścicieli; Identyfikacja zagrożeń dla tych aktywów; Identyfikacja istniejących zabezpieczeń; Ocena podatności (prawdopodobieństwo naruszenia integralności, poufności i dostępności) Ocena skutków utraty poufności, integralności i dostępności w odniesieniu do aktywów; Szacowanie ryzyka; Opracowanie rekomendacji;

Narażenie na ryzyko Stopień wdrożenia polityki bezpieczeństwa Efektywność działania systemu zarządzania bezpieczeństwem Wskaźnik poziomu bezpieczeństwa Opóźnienie poświadczenia bezpieczeństwa Poziom zdefiniowania ról i odpowiedzialności w obszarze bezpieczeństwa Skuteczność kontroli fizycznej do chronionych pomieszczeń Wykorzystanie zasobów sieciowych Stopień wdrożenia zabezpieczeń Użytkownicy uprzywilejowani Stopień błędów dot. krytycznych danych przedsiębiorstwa. Procent incydentów bezpieczeństwa Liczba dni miedzy incydentami bezpieczeństwa o szczególnym znaczeniu Stopień skoordynowania planów ciągłości działania. Czas odtworzenia działalności biznesowej Poziom bezpieczeństwa urządzeń osobistych Poziom nadużyć związanych aktywnością internetową pracowników

Nazwa metryki Skuteczność kontroli fizycznej chronionych pomieszczeń. 4 System zarządzania bezpieczeństwem informacji 5- Polityka bezpieczeństwa informacji 6- Organizacja bezpieczeństwa informacji Główny zainteresowany Źródło informacji Sposób obliczania Zalecana częstotliwość pomiaru Kierownicy ochrony, Oficer bezpieczeństwa Raporty z system kontroli pomieszczeń. Raporty incydentów związanych z nieuprawnionym dostępem lub próbami dostępu nieuprawnionego. Ilość nieuprawnionych prób dostępu / ilość wszystkich prób dostępu. Wskaźnik wyliczany codziennie. Raportowanie w cyklu miesięcznym. Wskaźnik pozwala na monitorowanie problemów Załącznik A Cele stosowania zabezpieczeń i zabezpieczenia normy ISO/IEC 27001 Uwagi 7- Zarządzanie aktywami 8- Bezpieczeństwo zasobów ludzkich 9- Bezpieczeństwo fizyczne i środowiskowe 10 Zarządzanie systemami i sieciami 11- Kontrola dostępu 12 Pozyskanie i rozwój systemów informacyjnych 13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji 14 Zarządzanie ciągłością działania 15 Zgodność Analiza prób nieautoryzowanego dostępu do chronionych stref może ujawniać przypadki systematycznych prób przełamania dostępu, przypadki współdzielenia kart dostępu itp. Zapisy kontroli dostępu powinny być systematycznie związanych z próbami przełamania zabezpieczeń i skrupulatnie przeglądane, aby zminimalizować ryzyko sytuacji, Cel pomiaru kontroli dostępu fizycznego. Ochrona fizyczna powinna stale monitorować ten parametr. gdy dana osoba uzyskuje dostęp do chronionych pomieszczeń w nieuprawniony sposób.

Wiedza, która nie jest łatwo dostępna. Poradnik dla osób, które są odpowiedzialne za wdrożenie SZBI lub które zastanawiają się nad wdrożeniem takiego systemu w swojej firmie. Praktyczna wiedza bazująca na własnych doświadczeniach we wdrażaniu SZBI w organizacji, oraz na wiedzy ekspertów z tej dziedziny. Podejście systemowo procesowe, które daje duże szanse na powodzenie wdrożenia i utrzymania SZBI w organizacji. Kompleksowe podejście do ochrony informacji.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres