Promotor: dr inż. Krzysztof Różanowski



Podobne dokumenty
Krzysztof Świtała WPiA UKSW

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ISO bezpieczeństwo informacji w organizacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Normalizacja dla bezpieczeństwa informacyjnego

SZCZEGÓŁOWY HARMONOGRAM KURSU

Szkolenie otwarte 2016 r.

Bezpieczeństwo informacji. jak i co chronimy

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

I. O P I S S Z K O L E N I A

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

ISO w Banku Spółdzielczym - od decyzji do realizacji

HARMONOGRAM SZKOLENIA

ISO nowy standard bezpieczeństwa. CryptoCon,

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Maciej Byczkowski ENSI 2017 ENSI 2017

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Marcin Soczko. Agenda

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

PRELEGENT Przemek Frańczak Członek SIODO

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

ZARZĄDZENIE Starosty Bielskiego

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

Polityka bezpieczeństwa informacji instytucji

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Szczegółowy opis przedmiotu zamówienia:

Imed El Fray Włodzimierz Chocianowicz

Jakość. danych w systemach informatycznych adów w ubezpieczeń 25.III Aspekty normalizacyjne zarządzania incydentami bezpieczeństwa w.

Polskie normy dotyczące ochrony informacji - najbliższe zmiany i dalsze potrzeby w tym zakresie Wdrożenie SZBI w podmiocie publicznym

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

INTERNATIONAL POLICE CORPORATION

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

ABI I OCHRONA DANYCH OSOBOWYCH ORAZ INFORMACJI W ADMINISTRACJI PUBLICZNEJ

Deklaracja stosowania

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Reforma ochrony danych osobowych RODO/GDPR

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Regulacje prawne. Artur Sierszeń

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

ZARZĄDZENIE Nr 58/2014 Starosty Bielskiego z dnia 23 grudnia 2014 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Szczegółowe informacje o kursach

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Komunikat nr 115 z dnia r.

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

BAKER TILLY POLAND CONSULTING

Certified IT Manager Training (CITM ) Dni: 3. Opis:

ZARZĄDZENIE Nr 22/2018 Starosty Bielskiego z dnia 24 maja 2018 r.

Uchwała wchodzi w życie z dniem uchwalenia.

PARTNER.

Kompleksowe Przygotowanie do Egzaminu CISMP

Transkrypt:

Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof Różanowski Błażej Zawadzki Album: 5325 21 czerwca 2012 roku 1

Cel i zakres pracy dyplomowej Przegląd aktów prawnych i norm dotyczących Bezpieczeństwa Informacji Prezentacja wymogów formalnych dla dokumentacji PBI Opracowanie sposobu inwentaryzacji i klasyfikacji zasobów Zaproponowanie wzorcowej Polityki Bezpieczeństwa Informacji dla działalności dotyczącej testowania oprogramowania: szablonu dla dokumentów propozycji rozporządzeń i decyzji ustanawiających PBI w organizacji opracowanie kompletu niezbędnych procedur, regulaminów i instrukcji Przedstawienie definicji obowiązków wynikających z PBI 2

Polityka Bezpieczeństwa Informacji Polityka bezpieczeństwa informacji - to zbiór spójnych, precyzyjnych reguł i procedur, według których organizacja buduje, zarządza oraz udostępnia swoje zasoby i systemy informacyjne i informatyczne. Polityka określa, które zasoby i w jaki sposób powinny być chronione. Polityka powinna wskazywać możliwe rodzaje naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp itp.), scenariusze postepowania w takich sytuacjach oraz czynności, które pozwolą uniknąć ponownego wystąpienia takiego incydentu. Polityka bezpieczeństwa powinna dodatkowo definiować poprawne i niepoprawne metody korzystania z zasobów. Polityka bezpieczeństwa musi być dokumentem spisanym i znanym oraz zrozumianym przez wszystkich użytkowników zasobów informatycznych przedsiębiorstwa, w tym również klientów czy dostawców. 3

Polityka Bezpieczeństwa Informacji Punktem wyjścia do spisania PBI jest dokładna analiza specyfiki działalności organizacji i jej otoczenia biznesowego Polityka powinna poruszać następujące zagadnienia: co podlega ochronie? informacja systemy teleinformatyczne itd. identyfikacja zagrożeń w jaki sposób chronimy krytyczne zasoby przedsiębiorstwa? precyzyjne zdefiniowanie odpowiedzialności i obowiązków 4

Bezpieczeństwo informacji jako proces Zarządzanie bezpieczeństwem Informacji musi być procesem ciągłym ustanowienie PBI i opracowanie systemu zabezpieczeń wdrożenie zabezpieczeń i bieżące eksploatowanie monitorowanie skuteczności przyjętych rozwiązań utrzymywanie i doskonalenie 5

PDCA cykl Deminga Ustanowienie Zdefiniowanie zakresu Szacowanie ryzyk Dobór zabezpieczeń Opracowanie polityk Plan Do Wdrożenie i stosowanie Wdrażanie planu postępowania z ryzykiem Wdrażanie zabezpieczeń Szkolenie Eksploatacja Act Check Ciągłe udoskonalanie Działania korygujące i zapobiegawcze Wdrażanie usprawnień Informowanie o wynikach Monitorowanie Poddawanie regularnym przeglądom Przeprowadzanie audytów 6

Cel PBI Zbudowanie i opisanie jednorodnego systemu zabezpieczeń i rozwiązań mających zapewnić stan bezpieczeństwa teleinformatycznego (i szerzej bezpieczeństwa informacji) Atrybuty bezpieczeństwa informacji: poufność integralność dostępność Dodatkowe atrybuty autentyczność rozliczalność niezaprzeczalność niezawodność 7

Poufność, Integralność i Dostępność (CIA Confidentiality-Integrity-Availability) Bezpieczeństwo organizacyjne Bezpieczeństwo osobowe Bezpieczeństwo fizyczne Bezpieczeństwo techniczne Odniesienie do ogólnego modelu bezpieczeństwa System chroniony Źródło: http://en.wikipedia.org/wiki/cia_triad#key_concepts 8

Schemat PBI zaprezentowanej w pracy prezentacja warstwowa Dwa uzupełniające się dokumenty na najwyższym poziomie Polityka Bezpieczeństwa Informacji podstawy prawne oraz ogólne zasady i strategie bezpieczeństwa informacji Politykę Bezpieczeństwa Systemu Informatycznego ogólne procedury korzystania z zasobów informatycznych, tryby i zasady uzyskiwania dostępu do zasobów, procedury dotyczące wykonywania kopii zapasowych itd. Polityki dla poszczególnych grup informacji konkretne rozwiązania i zabezpieczenia Regulaminy, procedury, instrukcje szczegółowe opisy postepowania w konkretnych przypadkach 9

Polityka Bezpieczeństwa Informacji plan dokumentu Definicja PBI Organizacja bezpieczeństwa informacji Zarządzanie aktywami Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do zasobów przedsiębiorstwa Rozwój i utrzymanie systemów Zarządzanie ciągłością działania Zarządzanie ryzykiem Zarządzanie incydentami bezpieczeństwa Powiązania i zgodność z aktami prawnymi i innymi dokumentami 10

Polityka Bezpieczeństwa Systemu Informatycznego plan dokumentu Definicja PBSI Fizyczny i logiczny dostęp do pomieszczeń przedsiębiorstwa, do systemów elektronicznych i do danych elektronicznych Szyfrowanie danych Sieć informatyczna przedsiębiorstwa Zabezpieczenia urządzeń, systemów i danych Przesył danych Kopie zapasowe i odtwarzanie danych Incydenty związane z naruszeniem bezpieczeństwa 11

Wykaz polityk i regulaminów opracowanych w ramach pracy dyplomowej Polityka Bezpieczeństwa Informacji dokument główny Polityka Bezpieczeństwa Systemu Informatycznego Zasady Klasyfikacji Danych Regulamin Zdalnego Dostępu do Zasobów Informatycznych Regulamin Korzystania z Poczty Elektronicznej i Firmowego Komunikatora Procedura Zarządzania Ryzykiem 12

Pozostałe dokumenty opracowane w ramach pracy dyplomowej Szablon rozporządzenia ustanawiającego PBI w organizacji Wykaz definicji istotnych z dla PBI Wykaz aktów prawnych Wzór ewidencji aktywów sprzętowych Wzór dokumentacji sieci informatycznej przedsiębiorstwa Wykaz zatwierdzonych do użycia systemów operacyjnych Wzór formularzu incydentu bezpieczeństwa Szablon pliku do tworzenia dalszej dokumentacji PBI 13

Akty prawne, które muszą być uwzględnione przy tworzeniu PBI Dyrektywa Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego (99/93/WE) Rozporządzenie Ministra Finansów z dnia 31 października 2003 r. w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia (Dz.U.2003.193.1889) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024) Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczania danych informatycznych (Dz.U.2004.100.1023) Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U.05.171.1433) Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz.U.2002.128.1094) Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U.2002.144.1204 z późniejszymi zmianami) Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U.2001.130.1450 z późniejszymi zmianami) Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (tekst jednolity Dz.U.05.196.1631) Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz.U.2001.128.1402 z późniejszymi zmianami Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2002.101.926 z późniejszymi zmianami) Ustawa z dnia 16 lipca 2004 Prawo Telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późniejszymi zmianami) 14

Normy polskie i międzynarodowe ISO 18028 Zarządzanie komunikacją ISO 18044 Zarządzanie incydentami ISO/IEC 27002 (wcześniej ISO/IEC 17799 i BS 7799-1) Wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemy Zarządzania Bezpieczeństwem Informacji (SZBI ISMS ang. Information Security Management System) ISO/IEC Guide 73 Słownictwo dotyczące zarządzania ryzykiem ISO/IEC TR-13335-3:1998 Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych ISO19011 Wytyczne do auditów jakości i systemów środowiska PN-EN ISO 14001:2005 Systemy zarządzania środowiskowego. Wymagania i wytyczne stosowania PN-EN ISO 9001:2001 System zarządzania jakością. Wymagania PN-I-13335-1:1999 Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych PN-ISO/IEC 15408-1:2002 Technika informatyczna Techniki zabezpieczeń Kryteria oceny zabezpieczeń informatycznych PN-ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji PN-ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania 15

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres