Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Założenia do ćwiczeń seria 1 do wykładów Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik.

Podobne prezentacje


Prezentacja na temat: "Założenia do ćwiczeń seria 1 do wykładów Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik."— Zapis prezentacji:

1 Założenia do ćwiczeń seria 1 do wykładów Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik

2 Opis działalności firmy (JO) JO. z siedzibą w mieście o dużym znaczeniu gospodarczym dla kraju, działa na rynku od 1992 roku. Początek jej działalności to usługi integracyjne w zakresie teleinformatyki oraz przygotowywanie na indywidualne zamówienia Klientów (dużych firm korporacyjnych) specjalistycznego oprogramowania zarządzającego dla kadr, finansów oraz projektami. Od 2002 roku firma zainwestowała w usługi hostingowe i kolokacji. JO. stał się operatorem telekomunikacyjnym obsługującym przede wszystkim klientów biznesowych oraz administrację państwową. Serwerownie znajdują się w na terenie siedziby firmy, ale JO. zainwestowała w budowę i wyposażenie nowych serwerowni ukierunkowanych wyłącznie pod klientów biznesowych, z lokalizacją w dwóch dużych miastach w Polsce. Firma korzysta z infrastruktury czołowych operatorów, ale także posiada i swoje zasoby telekomunikacyjne. JO. sprzedaje swoje usługi na terenie całego kraju. Na kluczowych rynkach firma działa przez swoich partnerów, podpisując z nimi umowy na wyłączność na danym obszarze. W Polsce sprzedaż K prowadzą mobilni handlowcy podlegające bezpośrednio Departamentowi Sprzedaży (DS). W roku obecnym firma podpisała kontrakt na dostarczenie dla resortu obronny narodowej MON, urządzeń kryptograficznych do wynajmowanej serwerowni. 2

3 Lokalizacja JO (firmy) Firma zlokalizowana jest blisko centrum miasta. Na terenie firmy znajduje się VII piętrowy gł. budynek biurowy, budynek kolokacji, budynek magazynu, serwerownia nr 3 oraz stacja trafo. Kancelaria tajna wraz z pomieszczeniem do przetwarzania informacji niejawnych w systemach TI znajduje się w zabezpieczonej strefie, na IV piętrze. Teren jest ogrodzony płotem o konstrukcji betonowo-stalowej z lat 80-stych ubiegłego wieku. Teren jest chroniony przez 4 pracowników agencji ochrony w trybie 24H. Na teren można wjechać oraz wejść od strony zachodniej oraz północnej poprzez chronione i nadzorowane bramy ze szlabanami oraz chronione przez pracowników agencji ochrony. Od strony zachodniej obok płotu znajduje centrum handlowe wraz z zapleczem parkingowym Od strony wschodniej teren firmy otacza zalesiony przy ogrodzeniu park miejski będący miejscem spotkań młodzieży z pobliskiej szkoły zawodowej Przez park płynie rzeka, która już kilka razy zalewała teren parku i okoliczna drogę. Około 200m od ogrodzenia od strony południowej zlokalizowana jest stacja benzynowa. Poprzez ulicę od strony północnej firma sąsiaduje z Ratuszem miejskim, w którym ma siedzibę także biuro poselskie lidera partii rządzącej. W odległości ok. 2 km na zachód zlokalizowane są nowoczesne biura i apartamenty W dalszej części znajduje się jednostka straży pożarnej oraz stacja kolejowa. 3

4 4

5 Infrastruktura techniczna firmy (JO) Firma inwestuje w rozwój nowoczesnej infrastruktury technicznej. Budynek główny oraz serwerownie wyposażone są nowoczesną technologię automatyki obiektowej sterującej parametrami środowiska, w tym klimatyzacja, wilgotnością i temperatura niezbędną do pracy ludzi i urządzeń IT. Wszystkie obiekty firmy podłączone są do sieci LAN. Firma posiada komunikacyjne wyjścia światłowodowe do transmisji w sieci WAN. Na stanie firmy znajduje się własna, jak i dzierżawiona oraz klientów (w serwerowniach) nowoczesna infrastruktura IT, w tym szafy, serwery, routery, urządzenia do transmisji itd.. Każdy pracownik ma dostęp do sieci LAN poprzez stacje komputerowe a pracownicy w terenie oraz handlowcy dodatkowo wyposażeni są w laptopy oraz mobilne urządzenia komunikacyjne umożliwiające pracę zdalną. Teren i obiekty firmy chronione są systemami alarmowymi, wejścia do pomieszczeń oraz stref wrażliwych nadzorowane są systemem kontroli dostępu oraz nadzorowane systemem telewizji dozorowej CCTV. Dodatkowo serwerownie chronione są systemem automatycznego gaszenia gazem obojętnym. 5

6 Zabezpieczenie elektroniczne strefy bezpieczeństwa – kancelarii tajnej 6

7 Objaśnienie symboli 7

8 Ćwiczenie nr 1. Inwentaryzacja zasobów informacyjnych, klasyfikacja, określenie zagrożeń, podatności 8

9 Polecenia do wykonania w ćwiczeniu nr 1: Dokonaj inwentaryzacji zasobów (aktywów) lub grupy zasobów informacji niejawnych, wskaż ich właścicieli oraz lokalizację. Wskaż główne procesy biznesowe firmy oraz przydziel do nich niezbędne zasoby, pamiętając, że jeden zasób może uczestniczyć w kilku procesach. Oceń ważność procesów i zasobów w nich użytych jako: – Niska (Bez większego na skutki) =1 – Średnia (Normalne, nie zbyt odczuwalne skutki) = 2 – Wysoka (Wrażliwe dla procesu ze względu na skutki) = 3 – B. wysoka (Krytyczne dla procesu ze względu na katastrofalne skutki) - 4 Wskaż procesy oraz zasoby krytyczne i wrażliwe dla funkcjonowania firmy. Analiza każdego zagrożenia powinna być oceniana w ujęciu poufności, integralności i dostępności. Wszystkie analizy przeprowadź stosując zintegrowane tabele analityczne, pozwalające odczytać kolejne fazy zależności. 9

10 10 Tabela nr 1 Inwentaryzacja aktywów niezbędnych w procesie przetwarzania IN w JO Lp.Wyszczególnienie aktywu Lokalizacja aktywu/właścici el Atrybut informacji Skala ważności aktywu (wartości) w procesie Zagrożenia podstawowe wg opisu wypełniającego Przyczyny podatności (słabości aktywa) IAktywa podstawowe- podać nazwęniska = 1średnia = 2 wysoka (aktywo wrażliwe) = 3 b.wysoka (aktywo krytyczne) = 4 abc defghi 1Procesy i działania biznesowe w ochronie IN 1.1 poufność integralność dostępność 2Informacje 2.1 poufność integralność dostępność IIAktywa wspierające 1Sprzęt 1.1 poufność integralność dostępność 2Oprogramowanie 2.1 poufność integralność dostępność 2.4Aplikacje biznesowe poufność integralność dostępność 3Sieć 3.1 poufność integralność dostępność 4Personel 4.1 poufność integralność dostępność 5Siedziba 5.1Lokalizacja poufność integralność dostępność 6Organizacja 6.1 poufność integralność dostępność

11 ĆWICZENIE NR 2. ZAGROŻENIA I ICH OCENA (OKREŚLENIE ZAGROŻEŃ, POMIAR RYZYKA) 11

12 Polecenia do wykonania w ćwiczeniu nr 2: Proszę wykonać szacowanie ryzyka na podstawie danych opracowanych w ćwiczeniu nr 1. – Przyjąć metodykę szacowania ryzyka – klasyfikację prawdopodobieństwa wystąpienia zagrożenia, skutku i ryzyka; – Określić wartość następstw zmaterializowania się zagrożeń wg tabeli od 0 (b.niskie) do 4 (b.wysokie); – Prawdopodobieństwo urzeczywistnienia się zagrożenia (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4); – Dokonać pomiaru poziomu ryzyka, określając prawdopodobieństwo wystąpienia zagrożenia x nastepstw – Na podstawie analizy ryzyka proszę wskazać krytyczne i wrażliwe procesy. 12

13 Określenie poziomów ryzyka 13 Tabele oceny Wartość następstw:Prawdopodobieństwo wystąpienia zagrożenia: Bardzo niskie - 0 Niskie -1 Średnie -2 Wysokie -3 Bardzo wysokie - 4 lp.Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Opis zagrożenia (rodzaje zagrożeń wg znormalizowanej tabeli w zakładce typy zagrożeń lub własnych określeń)Atrybut informacji Wartość następstw biznesowych (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4) Prawdopodobieństw o urzeczywistnienia się zagrożenia( Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4) Miara ryzyka e x f wg atrybutu Wartość średnia poziomu ryzyka dla danej pozycji abcdefgh 1 poufność integralność dostępność 2 poufność integralność dostępność 3 poufność integralność dostępność 4 poufność integralność dostępność 5 poufność integralność dostępność

14 ĆWICZENIE NR 3. PLAN POSTĘPOWANIA Z RYZYKIEM 14

15 Polecenia do wykonania w ćwiczeniu nr 3: Na podstawie danych opracowanych w ćwiczeniu nr 2 proszę przygotować plan postępowania z ryzykiem, uwzględniający m.in.: – Określić ranking zagrożeń dla określonych aktywów (zasobów) wg najwyższej wartości – Koncepcję postępowania z ryzykiem na podstawie dokonanego pomiaru ryzyka. – Opisać planowane zadania – Przydzielić zasoby i odpowiedzialności – Przygotować harmonogram realizacji oraz zasady kontroli przebiegu. 15

16 Określenie rankingu zagrożeń 16 Tabela nr 3 Analiza zagrożeń i szacowanie ryzyka - ranking zagrożeń lp.Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Miara ryzyka (uśredniona z tab.2 poz.h) Ranking zagrożeń (wg najwyższych wartości obliczonego ryzyka) abde

17 Opracowanie planu postępowania z ryzykiem 17 Tabela nr 4 Plan postępowania z ryzykiem lp.Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Wartość szacowania ryzyka (przeniesienie z tab. 2) Warianty postępowania z ryzykiem (wpisać wynik) Czy postępowanie satysfakcjonujące ? T- dalej; Nie - powrót do tab. 2 Czy odpowiedzialny za proces szacowania ryzyka potwierdza akceptację? T- dalej; Nie - powrót do tab. 2 R -Redukowanie; Z - Zachowanie; U - Unikanie; P - Przeniesienie abcdef Tabela oceny wg wartości punktowej: Unikanie:> 16 pktów Redukowanie: pktów Przeniesienie:5 - 7 pktów Zachowanie:poniżej 4

18 Harmonogram realizacji postępowania z ryzykiem 18 Tabela nr 5 Realizacja planu postępowania z ryzykiem lp.Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Warianty postępowania z ryzykiem z tab. 4 Podjęte działania postępowania z ryzykiem (opisać) Niezbędne aktywa (środki) postępowania z ryzkiem (opis) Planowany termin realizacji Odpowiedzi alny Kontrola wykonania Ocena efektywności wykonania abcdefghi

19 WYKONANIE ĆWICZENIA Praktyczne 19


Pobierz ppt "Założenia do ćwiczeń seria 1 do wykładów Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik."

Podobne prezentacje


Reklamy Google