Polityka bezpieczeństwa informacji Główne zagadnienia wykładu



Podobne dokumenty
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Uchwała wchodzi w życie z dniem uchwalenia.

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka bezpieczeństwa

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Spis treści. Analiza Zagrożeń Instrukcja Użytkowania

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Warszawa, dnia 9 lutego 2012 r. Poz. 8

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Polityka Bezpieczeństwa Firmy

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Iłży

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

Z A R Z Ą D Z E N I E NR 10 A/2012 Burmistrza Miasta Lipna z dnia 14 lutego 2012 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Szczegółowe informacje o kursach

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Zasady analizy ryzyka w Urzędzie Miasta Leszna

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

DEPARTAMENT INFORMATYKI I TELEKOMUNIKACJI

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Reforma ochrony danych osobowych RODO/GDPR

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

BAKER TILLY POLAND CONSULTING

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa

ZARZĄDZENIE Nr 12/2019 WÓJTA GMINY STANISŁAWÓW z dnia 15 lutego 2019 r. w sprawie zmiany Regulaminu Organizacyjnego Urzędu Gminy Stanislawów

Informacja Banku Spółdzielczego w Chojnowie

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Szczegółowe wymagania w zakresie ochrony informacji niejawnych oznaczonych klauzula zastrzeżone w Uniwersytecie Gdańskim

Krzysztof Świtała WPiA UKSW

Dokumenty, programy i czynności składające się na system kontroli zarządczej w Urzędzie Gminy w Wierzbicy. A. Środowisko wewnętrzne.

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Polityka Ochrony Cyberprzestrzeni RP

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Normalizacja dla bezpieczeństwa informacyjnego

POLITYKA BEZPIECZEŃSTWA DANYCH

Regulamin zarządzania ryzykiem. Założenia ogólne

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

Dane osobowe: Co identyfikuje? Zgoda

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

System kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS

Rozdział I POSTANOWIENIA OGÓLNE

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Transkrypt:

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących przy zbieraniu, przetwarzaniu i wykorzystaniu informacji w organizacji. Dotyczy ona całego procesu korzystania z informacji, niezależnie od sposobu jej gromadzenia i przetwarzania. Podstawowe zasady opracowywania polityki! Inicjatywa w zakresie bezpieczeństwa informacji musi wyjść ze strony kierownictwa organizacji.! Ostateczną odpowiedzialność za bezpieczeństwo informacji ponosi kierownictwo.! Tylko, gdy kierownictwo jest zainteresowane bezpieczeństwem, zadania w tym zakresie są traktowane poważnie.! Wszystkie strategie i procedury powinny odzwierciedlać potrzeby ochrony danych niezależnie od przyjmowanej przez nie formy - dane powinny być chronione niezależnie od nośnika, na którym występują.! Wskład zespołu d/s zarządzania bezpieczeństwem muszą wejść przedstawiciele praktycznie wszystkich komórek organizacyjnych.! Każdy powinien sobie uświadomić sobie własną odpowiedzialność za utrzymywanie Zbigniew Suski 2 Zbigniew Suski 3 Zadania zespołu d/s bezpieczeństwa! Ustalenie celów bezpieczeństwa oraz opracowanie polityki gwarantującej osiągnięcie założonych celów.! Ustalenie zakresu obowiązków osób odpowiedzialnych za! Doradzanie i kontrola w zakresie osiągania celów bezpieczeństwa przy opracowywaniu koncepcji! Opracowanie planu wdrażania przedsięwzięć bezpieczeństwa określonych w koncepcji! Nadzór nad realizacją planu wdrażania przedsięwzięć! Nadzór nad informowaniem pracowników o działaniach w zakresie! Kontrola efektywności przedsięwzięć bezpieczeństwa w toku pracy organizacji.! Określanie zasobów niezbędnych do realizacji założonych procesów wdrażania Obowiązki pełnomocnika d/s bezpieczeństwa! Współdziałanie w ustalaniu koncepcji! Informowanie kierownictwa i zespołu d/s zarządzania bezpieczeństwem o przebiegu procesów! Ustalenie dróg przepływu informacji od lokalnych pełnomocników i przetworzenie tej informacji.! Odpowiedzialność i nadzór nad realizacją wybranych przedsięwzięć! Planowanie i koordynacja szkoleń w zakresie! Utrzymywanie założonego stopnia bezpieczeństwa (kontrole) w trakcie działania organizacji.! Analizowanie i reagowanie na zdarzenia naruszające Zbigniew Suski 4 Zbigniew Suski 5 Opracował: Zbigniew Suski 1

Schemat postępowania! Planowanie " Zaprojektowanie polityki " Określenie pożądanego poziomu " Powołanie zespołu d/s zarządzania bezpieczeństwem. " Opracowanie polityki " Opracowanie koncepcji! Realizacja " Wdrożenie przedsięwzięć " Szkolenie personelu w zakresie! Eksploatacja " Utrzymywanie bezpieczeństwa w toku pracy organizacji. Audyt bezpieczeństwa! Rozpoznanie problemu przetwarzania informacji w organizacji (przede wszystkim określenie podstawy prawnej).! Rozpoznanie rodzajów informacji przetwarzanych w organizacji.! Analiza obiegu poszczególnych grup informacji i rozpoznanie systemów przetwarzania informacji.! Analiza zagrożeń i ryzyka przetwarzania informacji.! Ocena stosowanych systemów zabezpieczeń. Zbigniew Suski 6 Zbigniew Suski 7 Ryzyko Analiza ryzyka! Szacowanie ryzyka: IEC 61508: Pod pojęciem ryzyka należy rozumieć miarę stopnia zagrożenia dla tajności, integralności i dostępności informacji wyrażona jako iloczyn prawdopodobieństwa wystąpienia sytuacji stwarzającej takie zagrożenie i stopnia szkodliwości jej skutków. " Co chronić? " Przed czym chronić? " Jakie jest prawdopodobieństwo wystąpienia zagrożenia lub skutków zagrożenia?! Ocena akceptowalności ryzyka: " Jaki jest stopień szkodliwości skutków zagrożenia? " Jakie są koszty zabezpieczeń? " Czy warto chronić? Zbigniew Suski 8 Zbigniew Suski 9 Przykład - założenia Pracownicy pewnej instytucji dysponują kartami magnetycznymi z ich danymi osobowymi, służbowymi, zdjęciem i PINem. Karta służy jako przepustka okazywana wartownikowi przy wejściu. Wykorzystywana jest również jako klucz elektroniczny otwierający drzwi dostępne dla danego pracownika. System komputerowy jest chroniony następującymi zabezpieczeniami:! strażnik przy wejściu głównym,! elektroniczne zabezpieczenia (czytnik kart) wejść do korytarzy,! elektroniczne zabezpieczenia wejść do pomieszczeń służbowych,! elektroniczne zabezpieczenia komputera,! nazwa i hasło umożliwiające otwarcie sesji. Drzewo zdarzeń Strażnik zatrzymał intruza Zabezpieczenia korytarzy nie Zabezpieczenia pomieszczeń nie Zabezpieczenia komputera nie dopuściły intruza Nazwa użytkownika i hasło niepoprawne Zdarzenie inicjujące (próba dostępu do komputera) skuteczna Strażnik nie zatrzymał intruza Zabezpieczenia korytarzy Zabezpieczenia pomieszczeń Zabezpieczenia komputera dopuściły intruza Nazwa użytkownika i hasło poprawne Zbigniew Suski 10 Zbigniew Suski 11 Opracował: Zbigniew Suski 2

Drzewo błędów Wady metody oceny ryzyka PIN skutecznie podrobiony Karta i PIN uznane za poprawne PIN uznany za poprawny Wykradziony PIN Zabezpieczenia korytarzy Karta skutecznie podrobiona Skuteczna manipulacja w układzie elektronicznym zabezpieczeń Ukradziona karta! częsty brak danych do wyznaczania prawdopodobieństw zdarzeń elementarnych,! trudności w ustaleniu pełnego zbioru kategorii ryzyka,! niezdolność do badania skutków negatywnych o wspólnej przyczynie,! nieuwzględnianie ryzyka wtórnego,! nieuwzględnianie zagrożenia spowodowanego umyślnie,! trudności w interpretacji wyników. źródło: K.Liderman. Bezpieczeństwo informacji w systemach komputerowych Zbigniew Suski 12 Zbigniew Suski 13 Zalety metody oceny ryzyka! pomaga precyzyjniej identyfikować zagrożenia oraz ich przyczyny,! stanowi podstawę do podejmowania decyzji administracyjnych i menedżerskich,! systematyzuje proces oceny bezpieczeństwa systemu informacyjnego. Realizacja polityki bezpieczeństwa! Jakie informacje będą podlegać ochronie?! Jakie systemy zostaną objęte polityką bezpieczeństwa?! Jakie zadania realizowane przez w/w systemy mają związek z informacjami podlegającymi ochronie?! Kto jest uprawniony do korzystania z zasobów?! Na czym polega właściwe korzystanie z zasobów?! Kto jest uprawniony do przydzielania praw dostępu?! Kto ma uprawnienia administratora?! Jaki jest zakres uprawnień i odpowiedzialności użytkowników?! Jakie są uprawnienia administratora w porównaniu do uprawnień zwykłych użytkowników? Zbigniew Suski 14 Zbigniew Suski 15 Plan realizacji przedsięwzięć! Lista przedsięwzięć bezpieczeństwa realizowanych dla każdego systemu informatycznego.! Zestawienie związanych z tym kosztów.! Szczegółowy plan pracy, zawierający priorytety, budżet, harmonogram,! listę niezbędnych akcji, projektów, itp.! Określenie sposobu nadzoru i kontroli realizacji przedsięwzięć bezpieczeństwa,! listę szkoleń niezbędnych do poprawnego wdrożenia przedsięwzięć Tematyka szkoleń! Cele polityki! Znaczenie polityki bezpieczeństwa dla firmy.! Wybrane elementy koncepcji! Omówienie konieczności i sposobów raportowania przypadków naruszania! Omówienie konsekwencji nie przestrzegania polityki! Plany implementacji i sprawdzania przedsięwzięć wyspecyfikowanych w polityce Zbigniew Suski 16 Zbigniew Suski 17 Opracował: Zbigniew Suski 3

Plan utrzymywania bezpieczeństwa TISM - struktura polityki bezpieczeństwa! Sposoby pielęgnacji i modyfikacji przedsięwzięć! Sposoby kontroli przedsięwzięć.! Sposoby sprawdzania wprowadzanych zmian na! Sposoby reagowania na incydenty naruszania Poziomy określenia wymagań Poziom spełnienia wymagań POLITYKA BEZPIECZEŃSTWA INFORMACJI GRUPY INFORMACJI SYSTEMY PRZETWARZANIA Total Information Security Management oraz skrót TISM jest przedmiotem rejestracji znaku towarowego w Głównym Urzędzie Patentowym RP. Autorem metodologii TISM jest European Network Security Institute Sp. z o.o (www.ensi.net). Dokumentacja TISM jest rozpowszechniana przez autora na zasadzie Licencji Darmowej Dokumentacji GNU - GNU Free Documentation Licence. Zbigniew Suski 18 Zbigniew Suski 19 Informacja Wszelkie zapisy na papierze, w układach elektronicznych, na nośnikach magnetycznych, optycznych, itp. są reprezentacją informacji i podlegają ochronie Własność informacji Wszelkie informacje przekazywane i przetwarzane w organizacji, nie oznaczone jako należące do osób trzecich, będą traktowane jako własność organizacji Podział informacji Wszystkie informacje w organizacji dzielimy na jawne i "zastrzeżone dla danej organizacji" Ochrona informacji Ochronie podlegają tylko informacje zastrzeżone Dostęp do informacji zastrzeżonych Dostęp do informacji zastrzeżonych przyznaje się w oparciu o rolę jaką dana osoba wypełnia w firmie Zarządzanie informacjami zastrzeżonymi Informacje zastrzeżone dzieli się na grupy Każda grupa informacji zastrzeżonych posiada własny dokument Polityki Bezpieczeństwa Każda grupa informacji zastrzeżonych musi posiadać Administratora grupy informacji i Administratora bezpieczeństwa grupy informacji Zbigniew Suski 20 Zbigniew Suski 21 System przetwarzania informacji zastrzeżonych Informacje zastrzeżone mogą być przetwarzane, przechowywane lub przesyłane wyłącznie przy pomocy systemów, które spełniają warunki opisane w Polityce Bezpieczeństwa Grupy Zastrzeżonych posiadać: własną Politykę Bezpieczeństwa własne procedury przyznawania praw dostępu, własne procedury kryzysowe posiadać Administratora bezpieczeństwa systemu i Administratora systemu przechodzić okresowe audyty bezpieczeństwa zlecane przez Zarząd organizacji Użytkownicy informacji zastrzeżonych Użytkownikami informacji są wszystkie osoby, które mogą czytać, zmieniać, tworzyć lub kasować informacje zastrzeżone Struktura zarządzania bezpieczeństwem informacji Istnieją dwa piony zarządzania informacją - pion administracyjny i pion bezpieczeństwa, na wszystkich poziomach Polityki Bezpieczeństwa Zbigniew Suski 22 Zbigniew Suski 23 Opracował: Zbigniew Suski 4

TISM - hierarchia dokumentów Polityka Bezpieczeństwa Regulaminy Procedury Procedury Procedury Procedury Zbigniew Suski 24 Opracował: Zbigniew Suski 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres