Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczeństwo systemów informatycznych

OpublikowałBronisława Kowal Został zmieniony 9 lat temu

Podobne prezentacje

Prezentacja na temat: "Bezpieczeństwo systemów informatycznych"— Zapis prezentacji:

1 Bezpieczeństwo systemów informatycznych
Niezbędne dokumenty do otrzymania akredytacji przez ABW

2 Zagadnienia Struktura dokumentacji związanej z bezpieczeństwem – zalecenia ABW Struktura organizacji zarządzania bezpieczeństwem w organizacji Ogólny schemat procesu budowy bezpieczeństwa teleinformatycznego Wymagania dotyczące dokumentacji systemu zarządzania bezpieczeństwem informacji w celu uzyskania akredytacji przez ABW Dokument polityki bezpieczeństwa, Plan bezpieczeństwa teleinformatycznego, SWBS, PBE. Podsumowanie

3 Struktura dokumentacji związanej z bezpieczeństwem – zalecenia ABW
Ustawy o ochronie Rozporządzenia do ustaw Zalecenia służb ochrony państwa dotyczące bezpieczeństwa Szczegółowe zalecenia dotyczące dokumentacji bezpieczeństwa teleinformatycznego Szczegółowe zalecenia dotyczące ochrony fizycznej systemów IT ochrony elektromagnetycznej przeprowadzania audytów analizy zagrożeń zarządzania ryzykiem Wytyczne dotyczące stosowania kryteriów oceny bezpieczeństwa IT dotyczące opracowania SWBS dotyczące opracowania PBE Struktura i zawartość SWBS PBE Dokument Polityki Bezpieczeństwa Plan Teleinformatycznego Szczegółowe SI

4 Pełnomocnik ds. bezpieczeństwa
Prezes Firmy Kierownik jednostki organizacyjnej [UOIN] Administrator Danych Osobowych [UODO] Pełnomocnik ds. bezpieczeństwa Pełnomocnik OIN (PION) [UOIN] Administrator Danych Osobowych [UODO]*) Inspektor Bezpieczeństwa Teleinformatycznego [UOIN] Kancelaria Tajna (KT) [UOIN] Wysunięte stanowiska Kancelarii Tajnej Administrator Bezpieczeństwa Teleinformat. Główny Administrator Systemu (GAS) [UOIN] Administrator Bezpieczeństwa Informacji [UODO]**) Starszy Administrator Systemu (SAS) Zespól utrzymania i rozwoju (osoba trzecia) Administrator Systemu (AS) Powołał Podlega Nadzoruje Kontroluje *) wypełnia obowiązki, które ustawa o ochronie danych osobowych nakłada na Administratora Danych Osobowych **) pełni obowiązki, które ustawa o ochronie danych osobowych nakłada na Administratora Bezpieczeństwa Informacji

5 Kierownik jednostki organizacyjnej
Struktura organizacji zarządzania bezpieczeństwem w organizacji PEŁNOMOCNIK DS. BEZPIECZEŃSTWA PREZES FIRMY Kierownik jednostki organizacyjnej Administrator danych ADMINISTRATOR BEZPIECZEŃSTWA TELEINFORMATYCZNEGO (Główny administrator systemu) INSPEKTOR BEZPIECZEŃSTWA TELEINFORMATYCZNEGO Zespół ochrony (kierowany przez pełnomocnika ds. bezpieczeństwa) LOKALNY ADMINISTRATOR SYSTEMU TELEINFORMATYCZNEGO (Administrator systemu) Kancelaria tajna Kancelarie administracyjne Archiwum zakładowe Systemy teleinformatyczne Nadzór i kontrola w gestii pełnomocnika Wypełnia obowiązki, które ustawa o ochronie danych osobowych nakłada na administratora danych Wypełnia obowiązki, które ustawa o ochronie informacji niejawnych nakłada na pełnomocnika informacji niejawnych Pełni obowiązki administratora bezpieczeństwa informacji zgodnie z ustawa o ochronie danych osobowych nakłada na Pełni obowiązki administratora systemu zgodnie z ustawa o ochronie informacji niejawnych nakłada na pełnomocnika informacji niejawnych

6 Ogólny schemat procesu budowy bezpieczeństwa teleinformatycznego
Zaintereso wane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Cykl opracowywania, utrzymywania i doskonalenia Zarządzanie bezpieczeństwem informacji Ustanowienie SZBI Wdrożenie i eksploatacja SZBI Monitorowanie i przegląd SZBI Utrzymanie i doskonalenie SZBI Wykonaj (Do) Sprawdzaj (Check) Planuj Plan) Działaj (Act)

7 Ustanowienie SZBI Na tym etapie instytucja powinna podjąć następujące działania: Powołać zespół ds. zarządzania bezpieczeństwem Określić zakres SZBI uwzględniający charakter prowadzonej działalności, instytucji, jej lokalizacji, aktywów i technologii, Opracować politykę SZBI uwzględniającą charakter prowadzonej działalności, instytucji, jej lokalizacji, aktywów i technologii – Dokument polityki Bezpieczeństwa, Określić systematyczne podejście do szacowania ryzyka, Określić ryzyka, Oszacować ryzyka, Zidentyfikować i ocenić warianty traktowania ryzyk, Wybrać cele stosowania zabezpieczeń oraz zabezpieczenia jako środki traktowania ryzyk, Przygotować deklarację stosowania zabezpieczeń, Uzyskać akceptację kierownictwa dla zaproponowanych ryzyk szczątkowych oraz autoryzację do wdrażania i eksploatacji SZBI Opracować plan bezpieczeństwa – Plan bezpieczeństwa teleinformatycznego Opracować szczególne wymagania bezpieczeństwa - SWBS

8 Wdrożenie i eksploatacja SZBI
Na tym etapie instytucja powinna podjąć następujące działania: Sformułować plan postępowania z ryzykiem, w którym są określone odpowiednie działania kierownictwa, zakresy odpowiedzialności oraz priorytety dla zarządzania ryzykami związanymi z bezpieczeństwem informacji, Wdrożyć plan postępowania z ryzykiem w celu osiągnięcia zidentyfikowanych celów stosowania zabezpieczeń, które obejmują rozważenie przydzielania ról i zakresów odpowiedzialności, Wdrożyć wybrane zabezpieczenia tak aby osiągnąć cel stosowania zabezpieczeń, Opracować procedury bezpiecznej eksploatacji - PBE Wdrożyć programy uświadamiania i szkolenia, Zarządzać eksploatacją, Administrować zasobami, Wdrożyć procedury bezpiecznej eksploatacji i inne zabezpieczenia zdolne do zapewnienia natychmiastowego wykrycia i reakcji na incydenty związane z naruszeniem bezpieczeństwa.

9 Monitorowanie i przegląd SZBI
Na tym etapie instytucja powinna podjąć następujące działania: Wykonywać procedury bezpiecznej eksploatacji i stosować inne zabezpieczenia w celu: natychmiastowego wykrywania błędów w wynikach przetwarzania, natychmiastowego identyfikowania naruszenia bezpieczeństwa oraz incydentów, zakończonych niepowodzeniem lub sukcesem, umożliwienia kierownictwu stwierdzenia, czy działania związane z bezpieczeństwem delegowane na poszczególne osoby lub wdrożone za pomocą środków informatycznych są wykonywane zgodnie z oczekiwaniami, Wykonywać regularne przeglądy skuteczności SZBI (w tym zgodność z polityką i celami oraz przegląd zabezpieczeń), biorąc pod uwagę wyniki audytów bezpieczeństwa, incydentów, sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron,

10 Monitorowanie i przegląd SZBI
Dokonywać przeglądów poziomu ryzyka szczątkowego oraz ryzyka akceptowalnego, biorąc pod uwagę zmiany: w instytucji, technologii, celów biznesowych, zidentyfikowanych zagrożeń, zewnętrznych zdarzeń, takich jak zmiany prawa lub stosowanych regulacji, W zaplanowanych odstępach czasu przeprowadzać audyty wewnętrzne SZBI, W regularnych odstępach czasu podejmować przeglądy SZBI realizowane przez kierownictwo tak, aby zapewnić, że zakres jest odpowiedni oraz zostały zidentyfikowane udoskonalenia procesu SZBI, Rejestrować działania i zdarzenia, które mogą mieć wpływ na skuteczność lub jakość realizacji systemu zarządzania bezpieczeństwem informacji.

11 Utrzymanie i doskonalenie SZBI
Na tym etapie instytucja powinna podjąć następujące działania: Wdrożyć w SZBI zidentyfikowane udoskonalenia, Podejmować odpowiednie działania korygujące lub zabezpieczające (wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa), Informować o wynikach działań i uzgadniać je ze wszystkimi zainteresowanymi stronami, Zapewniać, że udoskonalenia osiągają zamierzone cele.

12 Wymagania dotyczące dokumentacji systemu zarządzania bezpieczeństwem informacji
Dokumentacja SZBI powinna obejmować: Udokumentowane deklaracje polityki bezpieczeństwa oraz celów stosowania zabezpieczeń – dokument polityki bezpieczeństwa, Plan bezpieczeństwa teleinformatycznego, Polityki bezpieczeństwa teleinformatycznego dla poszczególnych systemów informatycznych, Szczególne wymagania bezpieczeństwa systemów informatycznych – SWBS-y Procedury bezpiecznej eksploatacji - PBE, Raport z procesu szacowania ryzyka, Plan postępowania z ryzykiem, Deklarację stosowania

13 Dokument Polityki Bezpieczeństwa (punkt 3. 1
Dokument Polityki Bezpieczeństwa (punkt normy PN ISO /IEC ) ogólne cele, zakres i znaczenie bezpieczeństwa, oświadczenie o intencjach kierownictwa, potwierdzające cele, zakres i zasady bezpieczeństwa informacji, krótkie wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności mających szczególne znaczenie dla firmy: zgodność z prawem i wymaganiami wynikającymi z umów, wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa, zapobieganie i wykrywanie szkodliwego oprogramowania, zarządzanie ciągłością działania, konsekwencje naruszenia polityki bezpieczeństwa,

14 Dokument Polityki Bezpieczeństwa cd..
ogólne i szczegółowe obowiązki w odniesieniu do zarządzania bezpieczeństwem, zasady zgłaszania przypadków naruszenia bezpieczeństwa, odsyłacze do dokumentacji mogącej uzupełnić politykę np.: szczegółowe polityki bezpieczeństwa dla poszczególnych systemów informatycznych, szczególne wymagania bezpieczeństwa dla poszczególnych systemów informatycznych, procedury bezpiecznej eksploatacji dla poszczególnych systemów informatycznych, ogólne zalecenia do przestrzegania przez użytkowników zasad bezpieczeństwa

15 Dokument polityki bezpieczeństwa – spis treści
WPROWADZENIE 1. ZAKRES DOKUMENTU 2. TERMINY I DEFINICJE 3. BEZPIECZEŃSTWO INFORMACJI W INSTYTUCJI 3.1. Dlaczego chronimy informację w Urzędzie Dozoru Technicznego 3.2. Rodzaje informacji 3.3. Hierarchia polityk bezpieczeństwa w Urzędzie Dozoru Technicznego 4. KONCEPCJA POLITYKI BEZPIECZEŃSTWA SYSTEMÓW TELEINFORMATYCZNYCH 4.1. Cel i zakres polityki bezpieczeństwa systemów teleinformatycznych 4.2. Specyfikacja i klasyfikacja informacji podlegającej ochronie w systemach teleinformatycznych 4.3. Opis znaczenia systemów teleinformatycznych dla wykonywanych zadań biznesowych 4.4. Wymagany poziom bezpieczeństwa teleinformatycznego 4.5. Cele budowania bezpieczeństwa teleinformatycznego 4.6. Uwagi dodatkowe 5. INTENCJE KIEROWNICTWA, POTWIERDZAJĄCE CELE I ZASADY BEZPIECZEŃSTWA INFORMACJI 6. WYJAŚNIENIE POLITYKI BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH 6.1. Zasady polityki bezpieczeństwa systemów informatycznych 6.2. Zarządzenia 6.3. Procesy 6.4. Metody 6.5. Procedury 6.6. Wymagania dotyczące kompetencji, edukacji i szkolenia w dziedzinie bezpieczeństwa 6.7. Zarządzanie ciągłością działania biznesowego 6.8. Plany odtwarzania działania systemów teleinformatycznych 6.9. Konsekwencje naruszenia polityki bezpieczeństwa 6.10. Zapobieganie i wykrywanie szkodliwego oprogramowania 7. DEFINICJE OGÓLNYCH I SZCZEGÓŁOWYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI 8. DOKUMENTY ZWIĄZANE Lub według ISO/IEC TR :1998(E) Załącznik - spis zawartości polityki bezpieczeństwa w zakresie systemów teleinformatycznych

16 Plan bezpieczeństwa teleinformatycznego
Żeby polityka bezpieczeństwa nie pozostała martwym dokumentem, powinna zostać opracowana koncepcja bezpieczeństwa teleinformatycznego, która powinna zostać udokumentowana – zapisana w postaci dokumentu o nazwie „Plan bezpieczeństwa teleinformatycznego w UDT”. Dokument (niejawny – opatrzony najwyższą stosowaną w Instytucji klauzulą tajności) ten zawiera opis przedsięwzięć, które należy zrealizować, aby osiągnąć wyspecyfikowane w „Dokumencie polityki bezpieczeństwa ....” cele i poziomy bezpieczeństwa w ramach przyznanych środków finansowych.

17 Plan bezpieczeństwa teleinformatycznego
Podstawowe zadania, które powinny wynikać z planu bezpieczeństwa teleinformatycznego to: ustalenie, czy w stosunku do informacji przetwarzanej, przechowywanej i przesyłanej w systemach informatycznych mają zastosowanie regulacje prawne i jakie to są regulacje (należy je przytoczyć), zinwentaryzowanie zasobów teleinformatycznych, zidentyfikowanie obiegu informacji w instytucji, ze szczególnym uwzględnieniem obiegu informacji wrażliwej (informacje niejawne + dane osobowe),

18 Plan bezpieczeństwa teleinformatycznego
zidentyfikowanie systemów teleinformatycznych w całym instytucji (również planowanych), objętych polityką bezpieczeństwa teleinformatycznego, zidentyfikowanie zadań służbowych realizowanych przez wymienione systemy teleinformatyczne w aspekcie wymaganych zasobów sprzętowych i programowych, określenie, na jakie zagrożenia narażony jest obieg informacji w systemach objętych polityką bezpieczeństwa,

19 Plan bezpieczeństwa teleinformatycznego
określenie (jakościowe, np. 1,2,3 lub niskie, średnie, wysokie, bardzo wysokie) szkód poniesionych w przypadku utraty poufności, integralności lub dostępności informacji w systemach objętych polityka bezpieczeństwa teleinformatycznego, określenie, jakie przedsięwzięcia w zakresie zakupu/instalacji dodatkowego sprzętu komputerowego i oprogramowania, zakupu/instalacji środków ochrony technicznej obiektów, zmian organizacyjnych i kadrowych muszą być zrealizowane, aby osiągnąć poziom bezpieczeństwa teleinformatycznego założony w „Polityce bezpieczeństwa...”, określenie sposobu wykorzystania sprzętu i oprogramowania z zakresu bezpieczeństwa oraz wdrożenie przedsięwzięć typu organizacyjnego, sformułowanych w dokumentach: „Szczególne wymagania bezpieczeństwa systemu” oraz „Procedury bezpiecznej eksploatacji”.

20 Plan bezpieczeństwa - SPIS TREŚCI
1. WPROWADZENIE 2. AKTY PRAWNE REGULUJĄCE OCHRONĘ W UDT 3. INWENTARYZACJA ZASOBÓW TELEINFORMATYCZNYCH 4. OBIEG INFORMACJI WRAŻLIWEJ W INSTYTUCJI 5. SYSTEMY TELEINFORMATYCZNE W UDT OBJĘTE POLITYKA BEZPIECZEŃSTWA 5.1. Uwarunkowania 5.2. Eksploatowane i planowane systemy informatyczne w UDT 5.3. Zadania służbowe realizowane przez systemy teleinformatyczne 5.4. Kwalifikacja systemów informatycznych UDT 5.5. Stopień ochrony informacji w systemach teleinformatycznych 6. ZAGROŻENIA INFORMACJI W SYSTEMACH TELEINFORMATYCZNYCH 6.1. Oszacowanie zagrożeń systemów informatycznych UDT 6.2. Oszacowanie podatności 6.3. Dopuszczalne czasy niedostępności zasobów informatycznych 7. ZABEZPIECZENIA 7.1. Identyfikacja istniejących zabezpieczeń / planowanych zabezpieczeń 7.2 Formalna aprobata bezpieczeństwa systemu 8. HARMONOGRAM WDRAŻANIA ZABEZPIECZEŃ DODATKOWYCH 9. DOKUMENTY ZWIĄZANE

21 SWBS - Spis treści 1. Wprowadzenie 1.1. Nazwa systemu
1.2. Cel – rola projektu/systemu 1.3. Lokalizacja systemu 1.4. Podmioty odpowiedzialne za projekt oraz eksploatację systemu 1.5. Użytkownicy systemu 1.6. Kluczowe daty związane z projektami i/lub systemami ZSI UDT 1.7. Odnośniki do dokumentacji związanej z bezpieczeństwem

22 SWBS - Spis treści 2. Definicja systemu 2.1. Rola systemu
2.2. Charakterystyka informacji w systemie 2.3. Poziomy bezpieczeństwa użytkowników 2.4. Architektura systemu 2.5. Podsumowanie

23 SWBS - Spis treści 3. Definicja wymagań bezpieczeństwa
3.1. Zagrożenia dla systemu 3.2. Stopień ważności informacji 3.3. Podatność systemu na zagrożenia 3.4. Minimalne standardy bezpieczeństwa 3.5. Tryb bezpieczeństwa

24 SWBS - Spis treści 3.6. Podsumowanie wymagań bezpieczeństwa
Ogólne wymagania bezpieczeństwa Wymagania bezpieczeństwa w zakresie informacji niejawnych Wymagania bezpieczeństwa dotyczące środowisk

25 SWBS - Spis treści 4. Definicja środowisk bezpieczeństwa
4.1. Globalne Środowisko Bezpieczeństwa (GŚB) 4.2. Lokalne Środowisko Bezpieczeństwa (LŚB) 4.3. Elektroniczne Środowisko Bezpieczeństwa (EŚB)

26 SWBS - Spis treści 5. Definicja środków zabezpieczających
5.1. Dostęp / kontrola dostępu 5.2. Uwierzytelnienie 5.3. Rozliczalność 5.4. Audyt 5.5. Ponowne wykorzystanie obiektu i niszczenie nośników danych 5.6. Integralność 5.7. Dostępność 5.8. Plany awaryjne 5.9. Bezpieczeństwo kanałów łączności 5.10. Pozostałe ryzyko (ryzyko szczątkowe)

27 SWBS - Spis treści 6. Administrowanie bezpieczeństwem
6.1. Zarządzający bezpieczeństwem Władze Organizacja Stanowiska 6.2. Zarządzanie ryzykiem Strategia analizy ryzyka dla systemu informatycznego Procedura zarządzania ryzykiem dla systemu informatycznego Wymagania związane z postępowaniem z ryzykiem

28 SWBS - Spis treści 6.3. Procedury Bezpiecznej Eksploatacji
6.4. Kontrola konfiguracji 6.5. Utrzymanie (konserwacja) i serwis 6.6. Dokumentacja 6.7. Szkolenia 6.8. Akredytacja / Ponowna Akredytacja 6.9. Wycofywanie z Użycia / Usuwanie Sprzętu

29 Układ zawartości PBE Rozdział I - Wprowadzenie
Niniejszy dokument ustanawia procedury bezpieczeństwa związane z wytwarzaniem, przechowywaniem, przetwarzaniem i przekazywaniem informacji niejawnych do oznaczonych maksymalną klauzulą pofne Prezentowany dokument Procedur Bezpiecznej Eksploatacji opracowany został na podstawie wymagań zawartych w: Ustawie z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, p. 95 ze zmianami), Rozporządzeniu Prezesa Rady Ministrów z dnia 25 lutego 1999 r. W sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 18, poz. 162) Innych rozporządzeniach wykonawczych wydanych do ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Zaleceniach Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego dotyczących ochrony informacji niejawnych w systemach i sieciach TI, Wewnętrznych regulacjach bezpieczeństwa w instytucji, Lokalnych instrukcjach bezpieczeństwa obowiązujących w instytucji

30 Układ zawartości PBE Rozdział II - Procedury administrowania
ADMINISTROWANIE SYSTEMEM PRZYDZIELANIE UPRAWNIEŃ UŻYTKOWNIKOM SYSTEMU ZGŁASZANIE INCYDENTÓW BEZPIECZEŃSTWA TELEINFORMATYCZNEGO DYSTRYBUCJA DOKUMENTÓW SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA I PROCEDUR BEZPIECZNEJ EKSPLOATACJI

31 Układ zawartości PBE Rozdział III - Procedury bezpieczeństwa osobowego
SZKOLENIE UŻYTKOWNIKÓW SYSTEMU WSTĘP I PRZEBYWANIE W STREFACH BEZPIECZEŃSTWA PERSONELU POMOCNICZEGO STOSOWANIE W SYSTEMIE ZASADY „DWÓCH PAR OCZU”

32 Układ zawartości PBE Rozdział IV - Procedury bezpieczeństwa dokumentów
KLASYFIKOWANIE DOKUMENTÓW I MATERIAŁÓW PRZECHOWYWANIE DOKUMENTÓW I MATERIAŁÓW KONTROLOWANIE SPOSOBU POSTĘPOWANIA Z DOKUMENTAMI I MATERIAŁAMI ZARZĄDZANIE NOŚNIKAMI PRZETWARZANIE INFORMACJI NIEJAWNYCH PRZEKAZYWANIE INFORMACJI NIEJAWNYCH NISZCZENIE WYDRUKÓW KONTROLNYCH I NOŚNIKÓW DYSTRYBUCJA DOKUMENTÓW SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA I PROCEDUR BEZPIECZNEJ EKSPLOATACJI

33 Układ zawartości PBE Rozdział V - Procedury ochrony fizycznej
KONTROLA DOSTĘPU DO STREFY BEZPIECZEŃSTA ZARZĄDZANIE KLUCZAMI DO POMIESZCZEŃ KONTROLA WNOSZENIA ORAZ WYNOSZENIA ZE STREFY BEZPIECZEŃSTWA ZASOBÓW INFORMATYCZNYCH EKSPLOATACJA SYSTEMU SYGNALIZACJI NAPADU I WŁAMANIA EKSPLOATACJA SYSTEMU ELEKTRONICZNEJ KONTROLI DOSTĘPU EKSPLOATACJA SYSTEMU TELEWIZJI DOZOROWEJ OCHRONA STREF BEZPIECZEŃSTWA I STERF ADMINISTRACYJNYCH PO GODZINACH NORMALNEJ PRACY

34 Układ zawartości PBE Rozdział VI - Procedury ochrony elektromagnetycznej WYMAGANIA W ZAKRESIE ZAPEWNIENIA OCHRONY ELEKTROMAGNETYCZNEJ INSTALACJA ŚRODKÓW OCHRONY ELEKTROMAGNETYCZNEJ EKSPLOATACJA ŚRODKÓW OCHRONY ELEKTROMAGNETYCZNEJ PONOWNA AKREDYTACJA ŚRODKÓW OCHRONY ELEKTROMAGNETYCZNEJ

35 Układ zawartości PBE Rozdział VII - Procedury ochrony kryptograficznej
EKSPLOATACJA URZĄDZEŃ KRYPTOGRAFICZNYCH ZARZĄDZANIE KLUCZAMI, PARAMETRAMI LUB ZMIENNYMI KRYPTOGRAFICZNYMI GENEROWANIE KLUCZY KRYPTOGRAFICZNYCH LUB PARAMETRÓW DYSTRYBUCJA KLUCZY KRYPTOGRAFICZNYCH SERWISOWANIE URZĄDZEŃ I OPROGRAMOWANIA KRYPTOGRAFICZNEGO

36 Układ zawartości PBE Rozdział VIII - Procedury bezpieczeństwa transmisji ZABEZPIECZANIE ELEMENTÓW SYSTEMU PRZEKAZUJĄCYCH INFORMACJE NIEJAWNE W POSTACI NIE ZASZYFROWANEJ ZAPEWNIANIE I EKSPLOATACJA ŁĄCZY ZAPASOWYCH I DRÓG OBEJŚCIOWYCH METODY MASKOWANIA RUCHU INFORMACJI NIEJAWNYCH

37 Układ zawartości PBE Rozdział IX - Procedury bezpieczeństwa urządzeń teleinformatycznych SERWISOWANIE URZĄDZEŃ TELEINFORMATYCZNYCH WYKONYWANIE NAPRAW I KONSERWACJI URZĄDZEŃ TELEINFORMATYCZNYCH DOKUMENTOWANIE NAPRAW I KONSERWACJI URZĄDZEŃ TELEINFORMATYCZNYCH WYMIANA URZĄDZEŃ TELEINFORMATYCZNYCH URUCHAMIANIE STANOWISKA PRACY SYSTEMU WYŁĄCZANIE STANOWISKA PRACY SYSTEMU PRZEPROWADZANIE KONTROLI STANU ZABEZPIECZEŃ OBUDÓW URZĄDZEŃ

38 Układ zawartości PBE Rozdział X - Procedury kontroli dostępu i bezpieczeństwa oprogramowania IDENTYFIKACJA UŻYTKOWNIKÓW SYSTEMU UWIERZYTELNIANIE UŻYTKOWNIKÓW SYSTEMU STOSOWANIE MECHANIZMÓW KONTROLI DOSTĘPU MODYFIKACJA OPROGRAMOWANIA OPERACYJNEGO WYKONYWANIE KOPII ZAPASOWYCH SYSTEMU OPERACYJNEGO WPROWADZANIE DO UŻYTKU NOWEGO OPROGRAMOWANIA

39 Układ zawartości PBE Rozdział XI - Procedury ochrony antywirusowej
KONTROLA ANTYWIRUSOWA OPROGRAMOWANIA ORAZ PLIKÓW KONTROLA ANTYWIRUSOWA NOŚNIKÓW POCHODZĄCYCH ZE ŹRÓDEŁ ZEWNĘTRZNYCH POSTĘPOWANIE W PRZYPADKU WYKRYCIA WIRUSA LUB OPROGRAMOWANIA SZKODLIWEGO

40 Układ zawartości PBE Rozdział XII - Procedury zarządzania konfiguracją
KONFIGUROWANIE OPROGRAMOWANIA KONTROLA KONFIGURACJI BAZOWEJ WPROWADZANIE ZMIAN W KONFIGURACJI URZĄDZEŃ WPROWADZANIE ZMIAN W KONFIGURACJI OPROGRAMOWANIA WYKONYWANIE PRZEGLĄDÓW OPROGRAMOWANIA

41 Układ zawartości PBE Rozdział XIII - Procedury utrzymania ciągłości działania WYKONYWANIE KOPII ZAPASOWYCH DANYCH POSTĘPOWANIE W SYTUACJI WYSTĄPIENIA AWARII ZASILANIA ENERGETYCZNEGO POSTĘPOWANIE W SYTUACJI WYSTĄPIENIA BŁĘDÓW W FUNKCJONOWANIU OPROGRAMOWANIA POSTĘPOWANIE W SYTUACJI WYSTĄPIENIA ZAGROŻEŃ ŚRODOWISKOWYCH POSTĘPOWANIE W SYTUACJI WYSTĄPIENIA ZAGROŻEŃ TERRORYSTYCZNYCH SZKOLENIE I ODBYWANIE ĆWICZEŃ ZWIĄZANYCH ZE STOSOWANIEM PROCEDUR POSTĘPOWANIA W SYTUACJACH AWARYJNYCH

42 Układ zawartości PBE Rozdział XIV - Procedury rozliczalności zdarzeń i audytowania bezpieczeństwa WYKONYWANIE PRZEGLĄDÓW ZAPISÓW DZIENNIKÓW ZDZARZEŃ PRZEPROWADZANIE WEWNĘTRZNYCH AUDYTÓW BEZPIECZEŃSTWA SYSTEMU DOKUMENTOWANIE AUDYTÓW I KONTROLI BEZPIECZEŃSTWA SYSTEMU URUCHAMIANIE PROGRAMÓW LUB NARZĘDZI MONITORUJĄCYCH I AUDYTUJĄCYCH BEZPIECZEŃSTWO SYSTEMU REAGOWANIE NA ZDARZENIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMU ARCHIWIZOWANIE ZAPISÓW DZIENNIKÓW ZDARZEŃ

43 Podsumowanie Wyszczególnione dokumenty:
Dokument polityki bezpieczeństwa, Plan bezpieczeństwa teleinformatycznego, Polityki bezpieczeństwa dla systemów informatyczntych Szczególne wymagania bezpieczeństwa systemów, Procedury bezpiecznej eksploatacji określają jak to bezpieczeństwo jest zarządzane, osiągane i monitorowane, formułują wiążące porozumienie pomiędzy kierownikiem jednostki organizacyjnej systemu IT.

44 Podsumowanie Zatwierdzenie treści dokumentów lub nie wniesienie zastrzeżeń przez właściwą służbę ochrony państwa jest równoznaczne z zezwoleniem na wytwarzanie, przechowywanie, przetwarzanie i przekazywanie informacji niejawnych – akredytacją systemu lub sieci IT

45 Podsumowanie Zgodnie z art..62 ust.1 Ustawy o Ochronie Informacji Niejawnych [UOIN] systemy i sieci TI, w których przetwarzane są informacje niejawne stanowiące tajemnicę państwową podlegają certyfikowaniu przez służby ochrony państwa – muszą więc uzyskać akredytację w postaci certyfikatu akredytacji systemu lub sieci TI

46 Podsumowanie Dokument SWBS może przybierać wiele form w zależności od natury i stopnia skomplikowania systemu lub sieci IT (lub połączenia wielu sieci): Szczególne Wymagania Bezpieczeństwa Systemu (SWBS), Szczególne Wymagania Bezpieczeństwa Informacji Elektronicznych w Systemie (SWBIES), Szczególne Wymagania Bezpieczeństwa Połączeń Międzysystemowych (SWBPM), Szczególne Wymagania Bezpieczeństwa Środowiska (SWBŚ)

Pobierz ppt "Bezpieczeństwo systemów informatycznych"

Podobne prezentacje

BEZPIECZEŃSTWO TELEINFORMATYCZNE

BEZPIECZEŃSTWO TELEINFORMATYCZNE
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN

ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.

Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Krajowy System Informatyczny (KSI) – rola KSI w kontekście działań kontrolnych i procesu informowania o nieprawidłowościach,

Krajowy System Informatyczny (KSI) – rola KSI w kontekście działań kontrolnych i procesu informowania o nieprawidłowościach,
DOKUMENTOWANIE PROCESU ZINTEGROWANEGO

DOKUMENTOWANIE PROCESU ZINTEGROWANEGO
ZASADY AUDITOWANIA ZARZĄDZANIE PROGRAMEM AUDITÓW

ZASADY AUDITOWANIA ZARZĄDZANIE PROGRAMEM AUDITÓW
Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy

Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy
Administracja zintegrowanych systemów zarządzania

Administracja zintegrowanych systemów zarządzania
Eksploatacja zasobów informatycznych przedsiębiorstwa

Eksploatacja zasobów informatycznych przedsiębiorstwa
Jakość systemów informacyjnych (aspekt eksploatacyjny)

Jakość systemów informacyjnych (aspekt eksploatacyjny)
Audyt wewnętrzny w systemie kontroli zarządczej

Audyt wewnętrzny w systemie kontroli zarządczej
Urząd Miasta Ostrowiec Świętokrzyski Kielce 12 marca 2009 r.

Urząd Miasta Ostrowiec Świętokrzyski Kielce 12 marca 2009 r.
Współpraca tłumacza z BT przed zdobyciem i po zdobyciu certyfikatu normy PN:EN 15038 Autor: Magdalena Gałczyńska Firma: BTInfo Biuro Tłumaczeń Informatycznych.

Współpraca tłumacza z BT przed zdobyciem i po zdobyciu certyfikatu normy PN:EN Autor: Magdalena Gałczyńska Firma: BTInfo Biuro Tłumaczeń Informatycznych.
Środki bezpieczeństwa

Środki bezpieczeństwa
AKREDYTACJA LABORATORIUM Czy warto

AKREDYTACJA LABORATORIUM Czy warto
Departament Higieny Środowiska

Departament Higieny Środowiska
Urząd Marszałkowski Województwa Dolnośląskiego Wydział Europejskiego Funduszu Społecznego Wrocław, 10 grudnia 2007r. INSTYTUCJA POŚREDNICZĄCA komponentu.

Urząd Marszałkowski Województwa Dolnośląskiego Wydział Europejskiego Funduszu Społecznego Wrocław, 10 grudnia 2007r. INSTYTUCJA POŚREDNICZĄCA komponentu.
Metodyki zarządzania projektami

Metodyki zarządzania projektami
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH

BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH

Podobne prezentacje

Reklamy Google