Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk



Podobne dokumenty
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Krzysztof Świtała WPiA UKSW

Promotor: dr inż. Krzysztof Różanowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Maciej Byczkowski ENSI 2017 ENSI 2017

I. O P I S S Z K O L E N I A

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

ISO bezpieczeństwo informacji w organizacji

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Bezpieczeństwo informacji. jak i co chronimy

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

ISO w Banku Spółdzielczym - od decyzji do realizacji

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Zdrowe podejście do informacji

ISO nowy standard bezpieczeństwa. CryptoCon,

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Bezpieczeństwo dziś i jutro Security InsideOut

Kultura usługowa i jej znaczenie dla relacji biznes - IT

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Kompleksowe Przygotowanie do Egzaminu CISMP

Zarządzanie ryzykiem w bezpieczeństwie informacji

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

ISO 9001:2015 przegląd wymagań

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Grzegorz Pieniążek Hubert Szczepaniuk

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

SZCZEGÓŁOWY HARMONOGRAM KURSU

Certified IT Manager Training (CITM ) Dni: 3. Opis:

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

BAKER TILLY POLAND CONSULTING

Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 9 listopada 2011 roku

UCHWAŁA Nr 12/2011 Rady Wydziału Społeczno-Technicznego Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 18 października 2011 r.

Normalizacja dla bezpieczeństwa informacyjnego

Szkolenie otwarte 2016 r.

Standard ISO 9001:2015

Marcin Soczko. Agenda

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Imed El Fray Włodzimierz Chocianowicz

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Zarządzanie projektami a zarządzanie ryzykiem

Reforma ochrony danych osobowych RODO/GDPR

HARMONOGRAM SZKOLENIA

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Ryzyko systemów informatycznych Fakty

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO Mariola Witek

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Polityka Bezpieczeństwa Informacji PIN BG AGH. (w wyborze)

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

PARTNER.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

PRELEGENT Przemek Frańczak Członek SIODO

Zarządzanie ryzykiem w bezpieczeostwie IT

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Informatyka w kontroli i audycie

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

POLITYKA JAKOŚCI I ŚRODOWISKOWA

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

OGRANICZENIE RYZYKA POPRAWA BEZPIECZEŃSTWA ODPORNOŚĆ NA ZAGROŻENIA SEKA S.A. ZARZĄDZANIE BEZPIECZEŃSTWEM. seka.pl

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

1

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Transkrypt:

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1

Informacja a system zarządzania Informacja jest obecnie niezwykle ważnym zasobem w działalności przedsiębiorstw, a także stanowi jeden z głównych czynników sukcesu firm w dynamicznie zmieniającym się otoczeniu biznesowym Szczególną uwagę na zarządzanie bezpieczeństwem informacji zwracają uwagę organizacje, dla których ochrona informacji ma zasadnicze znaczenie (np. takie, które przetwarzają duże ilości danych osobowych) Koncepcja systemu zarządzania bezpieczeństwem informacji (ang. Information Security Management System ISMS) opiera się o cykl ciągłego doskonalenia P-D-C-A: Planowanie określenie polityki zarządzania bezpieczeństwem informacji; określenie poziomu ryzyka związanego z przechowywanymi informacjami Wykonanie wdrożenie i realizacja procedur minimalizacji ryzyka Ocena prowadzenie bieżącego monitoringu realizowanych działań oraz okresowych przeglądów i auditów Działanie realizacja działań doskonalących 2

Wymagania normatywne w zakresie bezpieczeństwa informacji Firmy, które decydują się na wdrożenie systemu zarządzania bezpieczeństwem informacji najczęściej korzystają z dwóch norm: PN ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji PN ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania 3

bezpieczeństwa informacji - PN ISO/IEC 17799 Norma PN ISO/IEC 17799 ma formę wytycznych i zaleceń dla organizacji chcących zarządzać bezpieczeństwem informacji (nie podlega certyfikacji) Określa ona, że informacja może przybierać różne formy Zakres zastosowania wymagań standardu może obejmować całość informacji przetwarzanej w danej instytucji lub ograniczać się do wydzielonego obszaru w ramach firmy Zarządzanie bezpieczeństwem według normy PN ISO/IEC 17799 oparte jest na 3 kluczowych zasadach: Poufności (ang. confidentiality) zapewnieniu dostępu do informacji tylko upoważnionym osobom Integralności (ang. Integrality) zapewnieniu kompletności i dokładności informacji oraz metod jej przetwarzania Dostępności (ang. availability) zagwarantowaniu, że upoważnione osoby mają dostęp do odpowiednich informacji zawsze wtedy, gdy jest to konieczne 4

bezpieczeństwa informacji - PN ISO/IEC 17799 Standard ISO/IEC 17799 zawiera również opisy zabezpieczeń, jakie należy stosować w celu ograniczenia ryzyka utraty informacji: Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Rozwój i utrzymanie systemu Zarządzanie ciągłością działania Zgodność 5

bezpieczeństwa informacji - PN ISO/IEC 17799 W praktyce działania jakie powinny być podejmowane w powyższych obszarach obejmują m.in.: Kontrolę dostępu do informacji Ochronę poufności i integralności informacji Zapewnienie dostępności informacji Zapobieganie nieupoważnionemu dostępowi do informacji oraz sprzętu komputerowego Zapobieganie utracie informacji (np. celowemu lub przypadkowemu ich usunięciu, przekazaniu informacji konkurencyjnej firmie, ujawnieniu poufnych danych klienta) Zapobieganie modyfikacji (przypadkowej lub celowej) informacji; Zapobieganie stratom wynikającym z braku ciągłości dostępu do informacji 6

bezpieczeństwa informacji - PN ISO/IEC 17799 W praktyce działania jakie powinny być podejmowane w powyższych obszarach obejmują m.in. (cd.): Zmniejszanie ryzyka popełnienia błędów, kradzieży i oszustw przez pracowników, a także niewłaściwego użycia przez nich informacji i sprzętu Zapewnienie bezpieczeństwa informacji w sytuacji, kiedy odpowiedzialność za jej przetwarzanie przekazywane jest na zewnątrz organizacji Zapewnienie bezpieczeństwa kanałów komunikacyjnych w firmie (np. poprawnego i nieprzerwanego działania programu pocztowego, który służy do komunikacji pomiędzy pracownikami) Zapewnienie bezpieczeństwa stosowanego oprogramowania komputerowego Minimalizacje ryzyka wystąpienia awarii w systemach odpowiedzialnych za przetwarzanie i ochronę danych (np. systemach komputerowych) Zapewnienie bezpieczeństwa podczas użytkowania sprzętu przenośnego oraz urządzeń pracujących w sieci 7

bezpieczeństwa informacji - PN ISO/IEC 27001 Norma PN ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania stanowi podstawę do certyfikacji systemów zarządzania bezpieczeństwem informacji Określa ona wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem systemu zarządzania bezpieczeństwem informacji Norma w kompleksowy sposób obejmuje wszystkie zagadnienia związane z zarządzaniem bezpieczeństwem informacji w przedsiębiorstwie, a wśród nich bezpieczeństwo fizyczne, osobowe, teleinformatyczne oraz prawne 8

bezpieczeństwa informacji - PN ISO/IEC 27001 Norma nie określa szczegółowych sposobów w zakresie ochrony informacji - zwraca uwagę na kwestie, które należy uregulować, a sposób tego uregulowania leży w gestii wdrażającej wymagania jednostki i jest uzależniony od: Wielkości Rodzaju realizowanych procesów biznesowych Posiadanych zasobów Funduszy dostępnych na wdrożenie, etc. PN ISO/IEC 27001 jest odpowiednia do wdrożenia we wszystkich organizacjach, niezależnie od typu (biznesowe i publiczne), rozmiaru (małe, średnie i duże) i natury prowadzonej działalności (usługowa i produkcyjna) 9

bezpieczeństwa informacji - PN ISO/IEC 27001 Norma PN ISO/IEC 27001 wchodzi w skład grupy norm serii 27000. Ich celem jest ujednolicenie dotychczasowych opracowań i standardów poświęconych bezpieczeństwu informacji Planuje się, że w skład tej grupy, oprócz normy o numerze 27001 wchodzić będą następujące również: ISO/IEC 27002 - ma zastąpić normę ISO/IEC 17799:2005 ISO/IEC 27003 (w trakcie opracowywania) - porady i wskazówki dotyczące wdrażania Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27004 (w trakcie opracowywania) - wskaźniki i pomiar dotyczący Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27005 (w trakcie opracowywania) - szacowanie ryzyka w Systemie Zarządzania Bezpieczeństwem Informacji ISO/IEC 27006 (w trakcie opracowywania) - wytyczne do certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji 10

bezpieczeństwa informacji - PN ISO/IEC 27001 Główne etapy wdrożenia systemu zarządzania bezpieczeństwem informacji: zdefiniowanie zakresu określenie polityki systemu zarządzania bezpieczeństwem informacji zdefiniowanie i przeprowadzenie analizy ryzyka 11

bezpieczeństwa informacji - PN ISO/IEC 27001 Analiza ryzyka powinna obejmować następujące elementy: Określenie aktywów względem których ryzyko będzie szacowane Identyfikację możliwych zagrożeń dla tych aktywów Identyfikację podatności, które mogą być wykorzystane przez te zagrożenia Określenie skutków, jakie może nieść ze sobą wykorzystanie podatności przez zagrożenia 12

bezpieczeństwa informacji - PN ISO/IEC 27001 Proces analizy ryzyka nie musi być skomplikowany przydatne wdrożone ISO 9001 lub 14001 Kolejnym etapem analizy ryzyka jest określenie kryteriów jego akceptacji: Ograniczanie ryzyka poprzez stosowanie odpowiednich zabezpieczeń Przeniesienie ryzyka Unikanie ryzyka Zaakceptowanie ryzyka Główny cel wdrożenia systemu zarządzania bezpieczeństwem informacji to zapewnienie ciągłości działania organizacji 13

Korzyści z wdrożenia systemów zarządzania bezpieczeństwem informacji Przeprowadzenie klasyfikacji zasobów informacyjnych i oszacowanie dla nich rodzajów i poziomów ryzyk Budowanie świadomości pracowników związane z zagadnieniami bezpieczeństwa informacji Określenie działań zmierzających do ciągłego doskonalenia organizacji (w tym zarządzania bezpieczeństwem informacji) Zapewnienie zgodności z wymaganiami prawnymi w zakresie ochrony informacji, jakie konieczne są do stosowania przez organizację Zmniejszenie strat wynikających z utraty lub kradzieży informacji poprzez zabezpieczenie się przed taka ewentualnością Poprawę dostępności zasobów informacyjnych Zwiększenie wiarygodności organizacji w oczach potencjalnych klientów 14

Zarządzanie bezpieczeństwem informacji według metodyki SABSA Obok rozwiązań zawartych w wymaganiach normatywnych firmy coraz częściej stosują również metodykę SABSA (ang. Sherwood Applied Business Security Architecture) Metodyka ta zapewnia kompleksowe podejście do zarządzania bezpieczeństwem informacji i jednocześnie nie stoi w opozycji do omawianych wcześniej norm Twórcy SABSA podkreślają, że ich koncepcja pozwala na analizę kwestii bezpieczeństwa przez prymat prowadzonej działalności Wymaga to odpowiedzi na podstawowe dla organizacji pytanie, czym jest bezpieczeństwo lub co to znaczy, że jest bezpiecznie SABSA proponuje inną definicję bezpieczeństwa informacji (poprzednia definicja: poufność, integralność, dostępność) - punktem wyjścia do analizy rozwiązań z zakresu bezpieczeństwa informacji jest zrozumienie specyfiki działalności przedsiębiorstwa i zachodzących w nim procesów biznesowych, poprzez wskazanie, które spośród zdefiniowanych w SABSA 75-ciu kryteriów bezpieczeństwa są dla danej jednostki najistotniejsze. 15

Zarządzanie bezpieczeństwem informacji według metodyki SABSA Głównym etapem wdrażania metodyki SABSA jest analiza wszystkich aspektów działania firmy. Należy odpowiedzieć na następujące pytania: Co ma być chronione? Dlaczego właśnie te zasoby mają podlegać ochronie? W jaki sposób zasoby będą chronione? Kto ma zajmować się ochroną? Gdzie umieścić ochronę? Kiedy chronić? Głównym atuty metodyki SABSA: umożliwienie wpisania idei bezpieczeństwa w filozofię działania organizacji Elastyczność 16

Dziękuję za uwagę 17

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres