Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora



Podobne dokumenty
2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

ISO w Banku Spółdzielczym - od decyzji do realizacji

Normalizacja dla bezpieczeństwa informacyjnego

Bezpieczeństwo systemów informacyjnych

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Deklaracja stosowania

ISO bezpieczeństwo informacji w organizacji

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

Promotor: dr inż. Krzysztof Różanowski

Bezpieczeństwo systemów informacyjnych

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ISO nowy standard bezpieczeństwa. CryptoCon,

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Program Kontroli Jakości Bezpieczeństwa Informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Deklaracja stosowania

Szczegółowy opis przedmiotu zamówienia:

Marcin Soczko. Agenda

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

SZCZEGÓŁOWY HARMONOGRAM KURSU

Krzysztof Świtała WPiA UKSW

Kompleksowe Przygotowanie do Egzaminu CISMP

SPIS TREŚCI SPIS TREŚCI Postanowienia ogólne Zastosowanie POWOŁANIA NORMATYWNE TERMINY I DEFINICJE SYSTEM ZA

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Bezpieczeństwo informacji. jak i co chronimy

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

DEKLARACJA STOSOWANIA

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Bezpieczeństwo dziś i jutro Security InsideOut

Kryteria oceny Systemu Kontroli Zarządczej

I. O P I S S Z K O L E N I A

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Rozdział I: Terminy i definicje

ISO 9001:2015 przegląd wymagań

Zarządzanie ryzykiem w bezpieczeostwie IT

Polityka Bezpieczeństwa dla Dostawców

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Imed El Fray Włodzimierz Chocianowicz

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Zarządzanie ryzykiem w bezpieczeństwie informacji

PRELEGENT Przemek Frańczak Członek SIODO

Bezpieczeństwo danych w sieciach elektroenergetycznych

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

HARMONOGRAM SZKOLENIA

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Szkolenie otwarte 2016 r.

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Maciej Byczkowski ENSI 2017 ENSI 2017

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Reforma ochrony danych osobowych RODO/GDPR

Audyt systemów informatycznych w świetle standardów ISACA

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Ustanawianie SZBI. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Zapytanie ofertowe nr OR

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Usługa: Audyt kodu źródłowego

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

z dnia stycznia 2017 r. w sprawie funkcjonowania systemu płatności

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie

Transkrypt:

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania mobilne? Skąd wynikają problemy? Wymagania normy ISO/IEC 27001 oraz BS 25999 powiązane z wykorzystaniem rozwiązań mobilnych Podsumowanie najczęściej spotykane błędy w zakresie wdrażania i eksploatacji systemów bezpieczeństwa informacji oraz systemów zarządzania ciągłością działania 1

Dlaczego rozwiązania mobilne? łatwość użycia wysoka dostępność silna integracja urządzeń z życiem codziennym oczekiwania biznesu (szybki dostęp do informacji, mobilność, wielodostępność) ogromny potencjał rozwoju dobra infrastruktura wystarczający poziom technologiczny ograniczenia rozwiązań tradycyjnych Skąd wynikają problemy? złożoność zagadnień bezpieczeństwa, niska świadomość zagrożeń przez użytkowników, przyjęcie założenia, że systemy mobilne pozbawione są wad i zagrożeń typowych dla systemów informatycznych, błędne wartościowanie zasobów informacji, 2

Skąd wynikają problemy? brak systemowego podejścia i błędy w zarządzaniu bezpieczeństwem, zbyt niski priorytet aspektu bezpieczeństwa informacji i ciągłości działania, luki w systemie prawnym, koszty zabezpieczeń, niestosowanie lub nieznajomość dobrych praktyk i norm. ISO/IEC 27001 4.2.1 Ustanowienie SZBI b) Zdefiniować politykę SZBI, uwzględniającą charakterystykę prowadzonej działalności, organizacji, jej lokalizacji, aktywów i technologii d) Określić ryzyka f) Zidentyfikować i ocenić warianty postępowania z ryzykiem. g) Wybrać zabezpieczenia jako środki postępowania z ryzykiem. h) Uzyskać akceptację kierownictwa dla proponowanych ryzyk szczątkowych. 3

ISO/IEC 27001 4.2.2 Wdrożenie i eksploatacja SZBI Organizacja powinna: c) Wdrożyć zabezpieczenia e) Wdrożyć programy uświadamiania i szkolenia f) Zarządzać eksploatacją SZBI g) Zarządzać zasobami SZBI h) Wdrożyć zabezpieczenia zdolne do zapewnienia natychmiastowego wykrycia i reakcji na incydenty ISO/IEC 27001 4.2.3 Monitorowanie i przegląd SZBI Organizacja powinna: e) Przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu. h) Rejestrować działania i zdarzenia, które mogą mieć wpływ na skuteczność lub wydajność realizacji SZBI. 4

ISO/IEC 27001 7 Przeglądy SZBI 7.3 Wyniki przeglądu powinny zawierać zapisy co do: b) Uaktualnienia planu szacowania ryzyka i postępowania z ryzykiem. c) Modyfikacji procedur i zabezpieczeń dotyczących bezpieczeństwa informacji,, które mogą mieć konsekwencje dla SZBI, e) Udoskonalenia metod pomiaru skuteczności zabezpieczeń. A.6.1.3 Przypisanie odpowiedzialności A.6.1.4 Autoryzacja środków przetwarzania informacji A.6.1.5 Umowy o zachowaniu poufności A.6.2.1 Określenie ryzyk dla stron zewnętrzny A.6.2.2 Bezpieczeństwo w kontaktach z klientami A.7.1.1 Inwentaryzacja aktywów A.7.1.2 Własność aktywów A.7.1.3 Akceptowalne użycie aktywów 5

A.8.2.2 Uświadamianie, kształcenie i szkolenia A.8.2.3 Postępowanie dyscyplinarne A.8.3.2 Zwrot aktywów A.8.3.3 Odebranie praw dostępu A.9.2.5 Bezpieczeństwo sprzętu poza siedzibą A.9.2.6 Bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia A.10.1.2 Zarządzanie zmianami A.10.1.4 Oddzielanie urządzeń rozwojowych, testowych i produkcyjnych A.10.2.1 Dostarczanie usług (w umowach serwisowych ze stronami trzecimi) A.10.2.2 Monitorowanie i przegląd usług strony trzeciej A.10.3.2 Odbiór systemu A.10.4.1 Zabezpieczenia przed kodem złośliwym A.10.4.2 Zabezpieczenia przed kodem mobilnym Jeśli korzystanie z kodu mobilnego jest autoryzowane, to konfiguracja systemu powinna zapewnić, aby uprawniony kod działał zgodnie z jasno określoną polityką bezpieczeństwa, natomiast nieuprawniony kod nie mógł się uruchomić. 6

A.10.7.4 Bezpieczeństwo dokumentacji systemowej A.10.8.5 Biznesowe systemy informacyjne Należy opracować i wdrożyć polityki i procedury dla ochrony informacji związanych z połączeniami między biznesowymi systemami informacyjnymi. A.10.9.1 Usługi handlu elektronicznego A.10.9.2 Transakcje on-line A.10.10.2 Monitorowanie użycia systemu A.10.10.5 Rejestrowanie błędów A.11.2 Zarządzanie dostępem użytkowników (zarządzanie przywilejami, hasłami, przegląd praw dostępu) A.11.3 Odpowiedzialność użytkowników A.11.4 Kontrola dostępu do sieci (z zewnątrz organizacji usługi sieciowe, uwierzytelnienie użytkowników, identyfikacja urządzeń) A.11.4.4 Ochrona zdalnych portów diagnostycznych i konfiguracyjnych A.11.7 Przetwarzanie mobilne i praca na odległość 7

A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych (wymagania bezpieczeństwa oraz poprawność przetwarzania danych w aplikacjach) A.12.3 Zabezpieczenia kryptograficzne A.12.4 Bezpieczeństwo plików systemowych A.12.4.1 Zabezpieczenie eksploatowanego oprogramowania A.12.4.2 Ochrona danych testowych A.12.4.3 Kontrola dostępu do kodów źródłowych programów A.12.6 Zarządzanie podatnościami technicznymi A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.15.1 Zgodność z przepisami prawa (m.in. własność intelektualna, ochrona danych osobowych) A.15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna A.15.3 Audyt systemów informacyjnych 8

BS 25999 3.2.1.1. Organizacja zdefiniuje zakres systemu BCM oraz zespół celów dotyczących ciągłości działania z uwzględnieniem:., możliwego do przyjęcia poziomu ryzyka, obowiązków statutowych, regulujących i umownych, oraz interesów swoich kluczowych interesariuszy. 3.2.1.2. W systemie BCM organizacja zdefiniuje kluczowe produkty i usługi. BS 25999 4.1.3.2. Organizacja wdroży odpowiednie sposoby ograniczenia ryzyka dla każdego działania krytycznego zgodnie z poziomem dopuszczalności ryzyka dla tego działania. 5.2.4. Wyniki przeglądu przeprowadzonego przez kierownictwo powinny zawierać decyzje i działania dotyczące: c) modyfikacji strategii i procedur BCM, tak by zapewniały reakcję na wydarzenia wewnętrzne i zewnętrzne mogące mieć wpływ na system ciągłości działania, 9

Błędy w zakresie ISO/IEC 27001 brak świadomości wpływu stosowanych rozwiązań mobilnych na bezpieczeństwo informacji (nieświadomość skutków) błędy w ocenie zagrożeń związanych z wykorzystaniem rozwiązań mobilnych błędy na poziomie zarządzania urządzeniami mobilnymi w warstwie systemowej i aplikacyjnej błędy na poziomie kodu aplikacji w zakresie szybkości wymiany danych (dostępność) oraz bezpieczeństwa (integralność i poufność) brak odporności aplikacji na zamierzone i niezamierzone błędy użytkownika Błędy w zakresie ISO/IEC 27001 błędy związane z wdrażaniem rozwiązań mobilnych brak ograniczeń w transferze danych brak jednoznacznego przejścia pomiędzy fazą testową wdrożenia a produkcyjną błędy związane z zarządzaniem zasobami brak szkoleń dla pracowników korzystających z rozwiązań mobilnych brak dokumentacji aplikacji brak właściwego nadzoru nad wersjonowaniem brak niezależnych testów 10

Błędy w zakresie normy BS 25999 brak świadomości wpływu stosowanych rozwiązań mobilnych na ciągłość biznesu pomijanie urządzeń i rozwiązań mobilnych w planach ciągłości działania brak uwzględnienia rozwiązań mobilnych jako istotnych zasobów w procesie zarządzania ciągłością działania brak szkoleń dla pracowników korzystających z rozwiązań mobilnych w planach ciągłości działania brak testów planów ciągłości działania Dziękuję za uwagę Krzysztof Wertejuk kwertejuk@isoqar.com.pl www.isoqar.pl 11

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres