Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Podobne dokumenty
Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

Spis treści. Analiza Zagrożeń Instrukcja Użytkowania

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Instalacja programu:

Diagnoza Szkolna Pearsona. Instrukcja obsługi

Instrukcja do bazy demonstracyjnej

Płace VULCAN. 2. W polu nad drzewem danych ustaw rok, za który chcesz utworzyć deklaracje.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Jak utworzyć plik SIO dla aktualnego spisu?

Centrum Informatyki "ZETO" S.A. w Białymstoku. Wysyłanie danych o licencjach i zezwoleniach do CEIDG w systemie ProcEnt Licencje

JPK Jednolity Plik Kontrolny

Instrukcja instalacji certyfikatu kwalifikowanego w programie Płatnik wersja b

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

WYDAWANIE CZYTNIKAMI BY CTI Instrukcja

Estomed2. 1. Wstęp. 2. Instalacja Systemu Estomed Jak zainstalować Estomed2. Hakon Software sp. z o. o. Podręcznik instalacji

Imed El Fray Włodzimierz Chocianowicz

Bazy danych raporty. 1. Przekopiuj na dysk F:\ bazę M5BIB.mdb z dysku wskazanego przez prowadzącego.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Logowanie do aplikacji TETA Web. Instrukcja Użytkownika

Instrukcja użytkownika WYKŁADOWCY AKADEMICKIEGO SYSTEMU ARCHIWIZACJI PRAC

JPK Jednolity Plik Kontrolny

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Instrukcja obsługi programu

Symfonia Produkcja Instrukcja instalacji. Wersja 2013

OBSŁUGA PRACY DYPLOMOWEJ W APD PRZEZ RECENZENTA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

S P I S T R E Ś C I. Instrukcja obsługi

Arkusz Optivum. Jak eksportować do SIO dane z Arkusza Optivum?

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.


Instrukcja uŝytkowania programu

Wysyłka dokumentacji serwisowej z Sekafi3 SQL do producentów.

PRZYGOTOWANIE I WYSYŁKA RAPORTU MSNOT24

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Podręcznik Użytkownika LSI WRPO

System Symfonia e-dokumenty

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Instrukcja korzystania z platformy B2B Black Point S.A.

Spis treści. Wykaz skrótów... Wprowadzenie...

Instrukcja użytkownika Internetowej Platformy Edukacyjnej UPRP

PRZEWODNIK PO ETRADER ROZDZIAŁ XII. ALERTY SPIS TREŚCI

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Instrukcja użytkownika OPERATORA Akademickiego Systemu Archiwizacji Prac

Instrukcja użytkownika OPERATORA Akademickiego Systemu Archiwizacji Prac

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

PRODUKCJA BY CTI INSTRUKCJA INSTALACJI I KONFIGURACJI

1 Rejestrator czasu pracy

Podstawy tworzenia prezentacji w programie Microsoft PowerPoint 2007

Podręcznik użytkownika

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Wydruki formularzy PIT

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Dokumentacja Użytkownika

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika

PORTAL KLIENTA I OBSŁUGA ZGŁOSZEŃ.V01. VULCAN Innowacji

Wysyłka plików JPK - instrukcja za pomocą profilu zaufanego (epuap)

Instrukcja użytkownika NAUCZYCIELA AKADEMICKIEGO SYSTEMU ARCHIWIZACJI PRAC

przewodnik do aplikacji neofon lite Spis treści

Przewodnik korzystania z Biblioteki kursów na platformach e-learningowych RON

Biatel BIT S.A. BIT Rejestry. Instrukcja instalacji. Wersja 2

Jak wypełnić zeznanie podatkowe przez Internet PIT-37, e- pity

Wydawanie czytnikami by CTI. Instrukcja

etrader Pekao Podręcznik użytkownika Strumieniowanie Excel

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Rozdział ten zawiera informacje o sposobie konfiguracji i działania Modułu OPC.

Dokumentacja panelu Klienta

Procedura wygenerowania paczki instalacyjnej oprogramowania F-Secure

Opis aktualizacji programu Kancelaria Komornika

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

SPIS TREŚCI: 1. INSTALACJA SYSTEMU SIMPLE.ERP LOGOWANIE DO SYSTEMU ZMIANA HASŁA PLANOWANIE INFORMACJE DODATKOWE...

Instalacja wypychana ESET Endpoint Encryption

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Instrukcja obsługi dla studenta

BLUETOOTH INSTRUKCJA PODŁĄCZENIA I KONFIGURACJI.

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

Instrukcja do programu DoUPS 1.0

Rys. Przykładowy aktywacyjny

Sigma moduł Raportowanie

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Instalowanie VHOPE i plików biblioteki VHOPE

MODUŁ ZAMÓWIEŃ DO EURO

Szkolenie otwarte 2016 r.

Instrukcja obsługi Outlook Web App i konfiguracji Thunderbird

Instrukcja. Internet Explorer 8 pracuje domyślnie w trybie dokumenty Internet Explorer 7. Brak możliwości korzystania z systemu e-pfron2

Certyfikaty Certum ID. Aktywacja grupowa. wersja 1.0

Ustawienia personalne

Instrukcja do wersji Kancelaria Komornika - VAT

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce)

Jak eksportować dane z Arkusza do SIO?

Płatnik wersja a wersja 1.5

Transkrypt:

Maj 2013

Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3. Ikony szybkiego wyboru... 11 5.4. Obszar pracy... 12 5.5. Raport... 13 5.6. Zapisanie stanu projektu... 14 5.7. Wczytanie projektu... 15 5.8. Drzewo programu... 16 6. Opis analizy ryzyka... 17 7. F-tec... 18 Spis rysunków: Rysunek 1 Opis programu... 8 Rysunek 2 Menu - Plik... 9 Rysunek 3 Menu Projekt... 9 Rysunek 4 Menu Pomoc... 10 Rysunek 5 Status... 10 Rysunek 6 Ikony szybkiego wyboru... 11 Rysunek 7 Przykładowy obszar pracy... 12 Rysunek 8 Zakładka z przyciskiem generowania raportu... 13 Rysunek 9 Zapisanie stanu projektu... 14 Rysunek 10 Wczytanie pliku z projektem... 15 Rysunek 11 Drzewo programu... 16 2

1. Wprowadzenie Program umożliwia przeprowadzenie analizy ryzyka metodyką zgodną z zaleceniami Departamentu Bezpieczeństwa Teleinformatycznego ABW. Analiza ryzyka jest kluczowym elementem procesu akredytacji bezpieczeństwa teleinformatycznego. Na podstawie analizy ryzyka dobieramy środki ochrony, które należy wdrożyć w systemie teleinformatycznym. Konieczność przeprowadzenia analizy ryzyka wynika z ustawy o ochronie informacji niejawnych, a także rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Analiza ryzyka jest częścią procesu zarządzania ryzykiem, a konkretniej jest częścią szacowania ryzyka. Szacowanie ryzyka obejmuje analizę ryzyka i ocenę ryzyka. Analiza ryzyka jest węższym pojęciem, nie zawiera bowiem oceny ryzyka. W procesie akredytacji bezpieczeństwa teleinformatycznego wybór środków ochrony odbywa się na podstawie szacowania ryzyka. Szacowanie ryzyka składa się z: analizy ryzyka; oceny ryzyka, czyli określenia, które ryzyka są akceptowalne poprzez porównanie wyznaczonych poziomów ryzyk z tymi, które można zaakceptować. Analiza ryzyka jest to proces: identyfikacji ryzyka; określenia wielkości ryzyk. W procesie identyfikacji ryzyka określamy kolejno: zasoby systemu teleinformatycznego, czyli informacje niejawne, osoby, usługi, oprogramowanie, dane i sprzęt, a także inne elementy mające wpływ na bezpieczeństwo informacji zagrożenia, czyli niepożądane zdarzenia, mogące mieć wpływ na informacje niejawne podatności, czyli słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożeni zabezpieczenia, czyli środki o charakterze fizycznym, technicznym lub organizacyjnym skutki, czyli wynik działania zagrożenia W procesie określenia wielkości ryzyk wyznacza się poziomy zidentyfikowanych ryzyk. Program w intuicyjny sposób pozwala na łatwe i bezproblemowe przeprowadzenie szacowania ryzyka i wybór odpowiednich środków ochrony. 3

2. Podstawy prawne Program powstał w celu wykonania przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych zwanej dalej UOIN. Zgodnie z art. 49 ust. 7 UOIN kierownik jednostki organizacyjnej akceptuje wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą organizację bezpieczeństwa teleinformatycznego. Zgodnie z art. 49 ust. 1 UOIN dokument szczególnych wymagań bezpieczeństwa powinien zawierać wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym. Zgodnie z art. 49 ust. 1 UOIN przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa. Zgodnie z art. 49 ust. 4 UOIN podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie. Zgodnie z art. 15 ust. 1 pkt 3) do zadań pełnomocnika ochrony należy zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka. Program pozwala na realizację wymogów rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego zwanego dalej RPBT. Zgodnie z 18.3 pkt 1) RPBT na etapie projektowania przeprowadza się wstępne szacowanie ryzyka dla bezpieczeństwa informacji niejawnych w celu określenia wymagań dla zabezpieczeń. Zgodnie z 18.3 pkt 2) RPBT na etapie projektowania dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego w oparciu o wyniki wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych. Zgodnie z 18.4 pkt 3) RPBT na etapie wdrażania przeprowadza się szacowanie ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń. Zgodnie z 19.3 pkt 3) RPBT przed przeprowadzeniem procesu szacowania ryzyka dokonuje się wyboru metody analizy ryzyka. Zgodnie z 20.1 RPBT szacowanie ryzyka dla bezpieczeństwa informacji niejawnych obejmuje analizę ryzyka i ocenę ryzyka. Zgodnie z 20.5 RPBT wstępne szacowanie ryzyka dla bezpieczeństwa informacji niejawnych przeprowadza się przed podjęciem decyzji o wprowadzeniu niezbędnych zabezpieczeń w systemie teleinformatycznym. 4

Zgodnie z 20.6 RPBT wyniki wstępnego szacowania ryzyka: przedstawia się w dokumentacji bezpieczeństwa systemu teleinformatycznego; wykorzystuje się w procesie projektowania zabezpieczeń dla danego systemu teleinformatycznego przeciwdziałających zidentyfikowanym zagrożeniom; zachowuje się na potrzeby przyszłych uaktualnień. Zgodnie z 25.3 RPBT w dokumencie szczególnych wymagań bezpieczeństwa zawiera się informacje o metodyce użytej w procesie szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz raport z tego procesu. 5

3. Zasada działania programu Program Analiza Ryzyka prowadzi użytkownika przez kolejne kroki procesu szacowania ryzyka. Użytkownik ma do dyspozycji gotowe biblioteki dzięki którym proces analizy ryzyka jest prowadzony w większości automatycznie, a działania użytkownika ograniczone są do minimum. Użytkownik w pierwszym kroku dokonuje wyboru zasobów, przy czym, może skorzystać z gotowych profili zasobów, np. wskazać typowe zasoby dla autonomicznego stanowiska komputerowego. Po wyborze profilu zasoby zostaną zaznaczone automatycznie. Użytkownik może je w dowolny sposób zmieniać. Następnie należy wybrać zagrożenia oddziaływujące na zasoby i przyporządkować je do odpowiednich zasobów. Proces ten może odbyć się automatycznie po wczytaniu gotowych rozwiązań z biblioteki. Do zasobów zostaną przyporządkowane typowe zagrożenia. Kolejny krok to wybór poziomu ryzyka akceptowalnego. Domyślnie ustawiona jest wartość 35 na 100. Jest to wartość poniżej której ryzyka naruszenia bezpieczeństwa są akceptowalne. Ostatni krok to wybór wdrożonych środków ochrony. Do wyboru są środki ochrony fizyczne, techniczne, organizacyjne, proceduralne. Środki ochrony fizycznej są zgodne ze środkami ochrony fizycznej z rozporządzenia Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych. Program umożliwia generowanie raportu, który zawiera wszystkie wprowadzone i wyliczone na tej podstawie elementy. 6

4. Zgodność z analizą zagrożeń Wybór środków ochrony fizycznej w programie Analiza Ryzyka jest zgodny ze środkami ochrony fizycznej z rozporządzenia Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych. Program Analiza Ryzyka jest zgodny z programem Analiza Zagrożeń. Środki ochrony fizycznej oznaczone są identycznie jak w rozporządzeniu, np. oznaczenie K4S1 TYP2 oznacza system kontroli dostępu typu 2. Typ oznacza stopień zabezpieczenia, im wyższy typ tym doskonalsze i skuteczniejsze zabezpieczenie, np. typ 1 oznacza najgorsze zabezpieczenie, typ 4 najlepsze. Przy wyborze środków ochrony nie można wybrać kilku typów z tego samego rodzaju zabezpieczenia. W celu optymalnego wyboru środków ochrony fizycznej należy najpierw wyliczyć poziom zagrożeń na podstawie rozporządzenia, a następnie również na podstawie rozporządzenia dobrać środki bezpieczeństwa. Wyliczenie poziomu zagrożeń i dobór środków bezpieczeństwa fizycznego umożliwia program Analiza Zagrożeń. 7

5. Opis programu Program Analiza Ryzyka zbudowany jest z 4 głównych okien działania: menu górne zawiera opcje programu oraz ikony z szybkim dostępem do najczęściej używanych funkcji status wyświetla aktualny status Analizy Ryzyka drzewo programu zakładki z kolejnymi krokami metodyki obszar pracy okno, w którym użytkownik wybiera stosowne opcje Rysunek 1 Opis programu 8

5.1. Menu Górne Plik Rysunek 2 Menu - Plik Wczytaj ostatni plik Wczytanie ostatnio używanego pliku, w którym zapisany był projekt. Wczytaj plik... Wczytanie wybranego pliku, w którym zapisany był projekt. Zapisz Ctrl+S Zapisanie danych do ostatnio używanego pliku Zapisz jako... Zapisanie danych do wybranego pliku Wyjście Wyjście z programu Projekt Rysunek 3 Menu Projekt Raport Wygenerowanie raportu i zapisanie do pliku WORD z rozszerzeniem.doc 9

Pomoc Rysunek 4 Menu Pomoc Pomoc F1 Wyświetlenie pomocy programu. Klucz aktywacyjny Okno wprowadzenie klucza aktywacyjnego do pełnej wersji programu. Licencja Okno z licencją programu. O programie Okno z informacją o programie. 5.2. Status Status programu pokazuje aktualne parametry programu. Rysunek 5 Status 1. Zasoby: Etykieta wyświetla ilość wybranych zasobów. Kolor zielony oznacza wybranie przynajmniej jednego zasobu, kolor czerwony oznacza brak zasobów. 10

2. Zagrożenia: Etykieta wyświetla ilość wybranych zagrożeń. Kolor zielony oznacza wybranie przynajmniej jednego zagrożenia, kolor czerwony oznacza brak zagrożeń. 3. Zagrożenia->zasoby: Etykieta wyświetla ilość przyporządkowanych zagrożeń do zasobów. Kolor zielony oznacza przyporządkowanie przynajmniej jednego zagrożenia do zasobu, kolor czerwony oznacza brak przyporządkowania. 4. Ryzyko akceptowalne: Etykieta wyświetla wartość ryzyka akceptowalnego. Ryzyko akceptowalne może być wartością z przedziału 0-100, poziom można ustalić w zakładce Poziom ryzyka akceptowalnego w drzewie programu. 5. Zabezpieczenia: Etykieta wyświetla ilość wybranych zabezpieczeń. Kolor zielony oznacza wybranie przynajmniej jednego zabezpieczenia, kolor czerwony oznacza brak zabezpieczeń. 5.3. Ikony szybkiego wyboru Ikony szybkiego wyboru pozwalają jednym kliknięciem uzyskać dostęp do najczęściej używanych funkcji programu, takich jak: Pokaż wszystko pokazuje wszystkie elementy z drzewa programu Schowaj wszystko chowa wszystkie elementy z drzewa programu Zapisz - zapisuje dane do ostatnio używanego pliku Wczytaj - wczytuje wybrany plik, w którym zapisany był projekt Raport - wygenerowanie raportu i zapisanie do pliku WORD z rozszerzeniem.doc Pomoc wyświetla pomoc programu Wyjście z programu zamknięcie programu Rysunek 6 Ikony szybkiego wyboru 11

5.4. Obszar pracy W oknie obszaru pracy użytkownik wykonuje kolejne kroki metodyki analizy ryzyka. Rysunek 7 Przykładowy obszar pracy 12

5.5. Raport Program pozwala na wygenerowanie raportu z przeprowadzonej analizy ryzyka. Raport zawiera: Dane projektu Zasoby systemu teleinformatycznego Zagrożenia działające na system teleinformatyczny Skala skutków Skala podatności Skala ryzyka Ryzyko akceptowalne Macierz ryzyka bez wdrożonych środków ochrony Środki ochrony wdrożone w systemie teleinformatycznym Macierz ryzyka po wdrożeniu środków ochrony Ocena ryzyka Podsumowanie W celu wygenerowania raportu należy przejść wszystkie kroki w drzewie programu i w ostatniej zakładce Ocena ryzyka można wygenerować raport klikając przycisk Raport. Drugi sposób to wybór z górnego menu opcji Projekt->Raport. Rysunek 8 Zakładka z przyciskiem generowania raportu 13

5.6. Zapisanie stanu projektu W celu zapisania stanu projektu, należy wybrać z górnego menu Plik->Zapisz jako lub Plik->Zapisz, lub wybrać ikonę szybkiego wybierania. Rysunek 9 Zapisanie stanu projektu 14

5.7. Wczytanie projektu W celu wczytania pliku z projektem, należy wybrać z górnego menu Plik->Wczytaj ostatni plik lub Plik->Wczytaj plik, lub wybrać ikonę szybkiego wybierania. Rysunek 10 Wczytanie pliku z projektem 15

5.8. Drzewo programu Drzewo programu zawiera zakładki z kolejnymi krokami, które należy przejść podczas analizy ryzyka. Rysunek 11 Drzewo programu 16

6. Opis analizy ryzyka 1. Wybór zasobów: zasób systemu teleinformatycznego są to informacje przetwarzane w systemie teleinformatycznym, jak również osoby, usługi, oprogramowanie, dane i sprzęt oraz inne elementy mające wpływ na bezpieczeństwo tych informacji. 2. Wskazanie zagrożeń działających na zasoby: zagrożenie jest to potencjalna przyczyna niepożądanego zdarzenia, które może wywołać szkodę w zasobach systemu teleinformatycznego; 3. Wyznaczenie poziomów podatności, skutków i ryzyk. podatności jest to słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie; 4. Wskazanie ryzyka akceptowalnego. 5. Wybór zabezpieczeń wdrożonych lub planowanych do wdrożenia do ochrony systemu teleinformatycznego: zabezpieczenie jest to środek o charakterze fizycznym, technicznym lub organizacyjnym zmniejszający ryzyko; 6. Określenie wielkości ryzyk, czyli wyznaczenie poziomów zidentyfikowanych ryzyk. 7. Ocena ryzyk, czyli porównanie wyznaczonych poziomów ryzyk z tymi, które można zaakceptować. Na podstawie oceny podejmuje się decyzję co do dalszego postępowania z ryzykami. 7.1. Ryzyka akceptowalne - nic nie robimy z takim ryzykiem 7.2. Ryzyka nieakceptowalne - należy wdrożyć działania zaradcze takie jak: obniżanie ryzyka przez wdrażanie zabezpieczeń; pozostawienie ryzyka na poziomie określonym w procesie szacowania ryzyka i zaniechanie dalszych działań; unikanie ryzyka przez niepodejmowanie działań będących źródłem ryzyka; przeniesienie ryzyka na inny podmiot w zakresie odpowiedzialności za zarządzanie ryzykiem bez możliwości przeniesienia odpowiedzialności za skutki wynikające z naruszenia poufności, integralności lub dostępności informacji niejawnych przetwarzanych w systemie teleinformatycznym. 17

7. F-tec Właścicielem programu jest firma: F-tec Technologie Informatyczne Wszelkie prawa zastrzeżone. Oferowane usługi Tworzenie i aktualizacja dokumentacji SWB i PBE Tworzenie i aktualizacja dokumentacji bezpieczeństwa teleinformatycznego: szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji. Opracowywanie analizy ryzyka dla informacji niejawnych przetwarzanych w systemach teleinformatycznych. Konsulting bezpieczeństwa Konsulting bezpieczeństwa systemów teleinformatycznych, w których przetwarzane są informacje niejawne. Wybór optymalnych środków ochrony, pozwalających minimalizować koszty, które należy wdrożyć w celu ochrony informacji niejawnych przetwarzanych w systemach teleinformatycznych. Szkolenia Szkolenia z zakresu ochrony informacji niejawnych w systemach teleinformatycznych. Doradztwo w zakresie bezpieczeństwa systemów NATO i UE Doradztwo w zakresie ochrony informacji niejawnych NATO i UE w systemach teleinformatycznych. Przeprowadzanie audytu bezpieczeństwa systemu TI Wykonywanie audytu bezpieczeństwa systemu teleinformatycznego zgodnie z zaleceniami ABW. Przygotowanie stanowiska komputerowego do akredytacji Instalacja systemu operacyjnego, konfiguracja systemu, wprowadzenie zabezpieczeń zgodnie z zaleceniami ABW, testy bezpieczeństwa. Skonfigurowanie kont administratora systemu, inspektora bezpieczeństw teleinformatycznego, użytkowników. Oferowane szkolenia Ochrona informacji niejawnych w systemach teleinformatycznych Dla kogo jest przeznaczone: administratorów systemów inspektorów bezpieczeństwa teleinformatycznego pełnomocników do spraw ochrony informacji niejawnych 18

Tematyka: Podczas szkolenia zostaną omówione aspekty prawne dotyczące ochrony informacji niejawnych w systemach teleinformatycznych, aspekty techniczne bezpieczeństwa teleinformatycznego, omówione zostaną środki ochrony teleinformatycznej, fizycznej, elektromagnetycznej, kryptograficznej i organizacyjnej. Szczegółowo zostaną przedstawione obowiązki administratora systemu i inspektora bezpieczeństwa teleinformatycznego. Dokumentacja bezpieczeństwa: szczególne wymagania bezpieczeństwa i procedury bezpiecznej eksploatacji Dla kogo jest przeznaczone: administratorów systemów inspektorów bezpieczeństwa teleinformatycznego pełnomocników do spraw ochrony informacji niejawnych Tematyka: W trakcie szkolenia omówiona zostanie szczegółowo dokumentacja bezpieczeństwa czyli dokumenty szczególne wymagania bezpieczeństwa i procedury bezpiecznej eksploatacji. Co powinno się znaleźć w tego typu dokumentach i jak poprawnie tworzyć takie dokumenty. Jakie są minimalne wymagania dla tego typu dokumentów. Co należy w nich uwzględnić, a także wymagania prawne. Analiza ryzyka dla informacji niejawnych przetwarzanych w systemach teleinformatycznych Dla kogo jest przeznaczone: administratorów systemów inspektorów bezpieczeństwa teleinformatycznego pełnomocników do spraw ochrony informacji niejawnych Tematyka: Co to jest analiza ryzyka, szacowanie ryzyka. Jak wprowadzić system zarządzania ryzykiem. Jak przeprowadzać prawidłowo szacowanie ryzyka. Aspekty prawne dotyczące zarządzania ryzykiem. Popularne metodyki analizy ryzyka. 19

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres