Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Wojciech Garstka, PROJEKT_G Wsparcie ochrony bezpieczeństwa firmy z wykorzystaniem standardów i norm.

Podobne prezentacje


Prezentacja na temat: "Wojciech Garstka, PROJEKT_G Wsparcie ochrony bezpieczeństwa firmy z wykorzystaniem standardów i norm."— Zapis prezentacji:

1 Wojciech Garstka, PROJEKT_G Wsparcie ochrony bezpieczeństwa firmy z wykorzystaniem standardów i norm

2 Problem terminologiczny Angielski termin Security ma podwójne znaczenie: 1.Bezpieczeństwo, jako stan rzeczy opisany jako lista zabezpieczeń, poziom ich skuteczności, struktury techniczne i służbowe, procedury i miary monitoringu, ilość incydentów, itp. – czyli struktury, dokumenty, zapisy; 1.Zabezpieczanie, jako aktywny proces składający się z szeregu podprocesów szczegółowych – np. ochrona fizyczna obiektu, kontrola dostępu, ochrona przeciwpożarowa i przed innymi zagrożeniami fizycznymi, nadzór nad systemami i oprogramowaniem, zabezpieczenie przed malwarem, zabezpieczanie sprzętu i aplikacji mobilnych itp. – czyli obejmujący podprocesy i ich wzajemne związki

3 Problem terminologiczny - przykład Terminologia i tłumaczenie jest ważne! Oto przykład: Tekst oryginalny: My hand slips on the barrel, and shot goes wild. Tłumaczenie poprawne: Dłoń ześliznęła mi się na lufę i padł niekontrolowany strzał. Tłumaczenie inżynierskie – maszynowe: Zrazy na baryłkę a strzał szaleje….

4 Co zabezpieczamy Majątek i aktywa firmy,Majątek i aktywa firmy, Sprzęt, systemy i oprogramowanie / bezpieczeństwo fizyczne,Sprzęt, systemy i oprogramowanie / bezpieczeństwo fizyczne, Interesy i własność klienta,Interesy i własność klienta, Wszelkie warunki sukcesu rynkowego – np. tajemnicę handlową, patentową itpWszelkie warunki sukcesu rynkowego – np. tajemnicę handlową, patentową itp Prestiż firmy…Prestiż firmy… tak, ale w gruncie rzeczy przede wszystkim Zabezpieczamy informację !

5 Dlaczego informacja jest ważna? Należy do aktywów firmy,Należy do aktywów firmy, Jej utrata, zdobycie przez podmiot niepowołany lub zniekształcenie rodzi stratę dla firmy i grozi jej upadkiem,Jej utrata, zdobycie przez podmiot niepowołany lub zniekształcenie rodzi stratę dla firmy i grozi jej upadkiem, Fakt nieuprawnionej ingerencji dot. informacji wrażliwej może narazić firmę na przykre konsekwencje prawne,Fakt nieuprawnionej ingerencji dot. informacji wrażliwej może narazić firmę na przykre konsekwencje prawne, Grozi utratą prestiżu na rynku – co oznacza utratę klientówGrozi utratą prestiżu na rynku – co oznacza utratę klientów

6 Bezpieczeństwo informacji Bezpieczna informacja to: CIA = confidencial, integral, available czyli poufna, spójna i dostępna Poufna – czyli dostępna wyłącznie dla podmiotów do tego uprawnionych (osoby, systemy, procesy)Poufna – czyli dostępna wyłącznie dla podmiotów do tego uprawnionych (osoby, systemy, procesy) Spójna – czyli nie przetwarzana w żaden sposób przez podmioty nieuprawnione (nietknięta),Spójna – czyli nie przetwarzana w żaden sposób przez podmioty nieuprawnione (nietknięta), Dostępna – czyli gotowa i zdatna do wykorzystania przez podmioty uprawnione przy każdej niezbędnej potrzebieDostępna – czyli gotowa i zdatna do wykorzystania przez podmioty uprawnione przy każdej niezbędnej potrzebie

7 Podstawowe normy dot. ochrony bezpieczeństwa informacji ISO/IEC 27001:2005 Technologia Informacji – Techniki Bezpieczeństwa - Systemy Zarządzania Bezpieczeństwem Informacji ISO/IEC Technologia Informacji – kodeks postępowania dla SZBI ISO/IEC Guide 73 Zarządzanie ryzykiem – Słownictwo – wytyczne do stosowania w normach ISO Wytyczne do audytowania systemów jakości i środowiska ISO TR Wytyczne do Zarządzania Bezpieczeństwem Systemów Informatycznych (GMITS) - 5 części ISO 18044Zarządzanie incydentami ISO 17944Systemy finansowe ISO 18028Zarządzanie komunikacją ISO 14516Bezpieczeństwo handlu elektronicznego

8 Normy i standardy przydatne ISO 9001:2008 – System Zarządzania JakościąISO 9001:2008 – System Zarządzania Jakością ISO/IEC 20000:2005 – System Zarządzania Usługami ITISO/IEC 20000:2005 – System Zarządzania Usługami IT ITIL v 3 – biblioteka najlepszych praktyk ITSMITIL v 3 – biblioteka najlepszych praktyk ITSM BS (ISO 22301) – System Zarządzania Ciągłością BiznesuBS (ISO 22301) – System Zarządzania Ciągłością Biznesu

9 Co to są normy? Co to są normy? Normy – to są tematyczne, spójne zbiory zaleceń, pojęć, wskazówek i zasad postępowaniaNormy – to są tematyczne, spójne zbiory zaleceń, pojęć, wskazówek i zasad postępowania Normy są fakultatywne – nie musisz ich wdrażaćNormy są fakultatywne – nie musisz ich wdrażać Są oparte na najlepszych, skutecznych praktykachSą oparte na najlepszych, skutecznych praktykach Są potwierdzane autorytetem międzynarodowych organizacji respektujących rygorystyczne wewnętrzne standardy rzetelnościSą potwierdzane autorytetem międzynarodowych organizacji respektujących rygorystyczne wewnętrzne standardy rzetelności Dają szansę certyfikacji – czyli obiektywnego sprawdzenia poprawności twojego postępowaniaDają szansę certyfikacji – czyli obiektywnego sprawdzenia poprawności twojego postępowania Wyręczają w procesie doskonalenia własnej organizacji, podpowiadając sprawdzone rozwiązaniaWyręczają w procesie doskonalenia własnej organizacji, podpowiadając sprawdzone rozwiązania

10 Organizacje normalizacyjne ISO - International Organization for StandarizationISO - International Organization for Standarization Organizacja została założona w 1946 roku w Londynie. Na konferencji zwołanej przez BSI, która miała miejsca w dniach października, połączyły się dwie organizacje: Międzynarodowa Federacja Narodowych Stowarzyszeń Normalizacyjnych (International Federation of the National Standardizing Associations ISA) założona w 1926 w Nowym Jorku, zarządzana ze Szwajcarii, działająca do 1942 jako porozumienie najważniejszych na świecie organizacji standaryzacyjnych – amerykańskiej ANSI, niemieckiej DIN, francuskiej AFNOR i brytyjskiej BSI. W praktyce ISA działała głównie w Europie w krajach używających systemu metrycznego. 1946BSIInternational Federation of the National Standardizing Associations ANSIDINAFNORBSIsystemu metrycznego1946BSIInternational Federation of the National Standardizing Associations ANSIDINAFNORBSIsystemu metrycznego Komitet Koordynacyjny Narodów Zjednoczonych do spraw Standardów (United Nations Standards Coordinating Committee UNSCC), założony w 1944 przez Stany Zjednoczone, Wielką Brytanię i Kanadę, w którego skład wchodziły byłe kolonie brytyjskie i niektóre państwa europejskie wyzwolone w toku II wojny światowej, zarządzany z londyńskiego biura IEC. W praktyce UNSCC reprezentował kraje używające miar anglosaskich. 1944II wojny światowejIECmiar anglosaskich1944II wojny światowejIECmiar anglosaskich

11 Organizacje normalizacyjne IEC – The International Electronical CommisionIEC – The International Electronical Commision To pozarządowa organizacja niekomercyjna, przygotowująca i publikująca międzynarodowe standardy w zakresie technologii elektrycznych, elektronicznych i pokrewnych – zwanych ogólnie Elektrotechnologią Powstała 26 czerwca 1906 r, na spotkaniu British IEE, amerykańskiego Institute of Electrical and Electronics Engineers (IEEE) (nazwanego potem AIEE), i kilku innych organizacji, których współpraca rozpoczęła się w 1900 na paryskim International Electrical Congress, IEC była inicjatorką wprowadzenia standardów na jednostki miary – zwłaszcza takie, jak gauss, hertz i weber. Pierwsza zaproponowała też system jednostek - tzw. Giorgi System, ostatecznie nazwany SI, lub Międzynarodowym Systemem jednostek (International System of Units).

12 Zarządzanie Zabezpieczaniem Zarządzanie organizacją Zarządzanie Zabezpieczaniem Zarządzanie Zabezpieczaniem Informacji

13 Cykl Deminga - PDCA Plan Do Check Act

14 ISO/IEC 27001:2005 – System Zarządzania Bezpieczeństwem Informacji

15 ISO/IEC 27001: załącznik A Cele stosowania zabezpieczeń i zabezpieczenia – swoista check-lista pomocna we wdrożeniu A.5 Polityka bezpieczeństwa A.5 Polityka bezpieczeństwa A.6 Organizacja bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.7 Zarządzanie aktywami A.8 Bezpieczeństwo zasobów ludzkich (osobowe) A.8 Bezpieczeństwo zasobów ludzkich (osobowe) – Zatrudnianie, praca, zwalnianie A.9 Bezpieczeństwo fizyczne i środowiskowe A.9 Bezpieczeństwo fizyczne i środowiskowe A.10 Zarządzanie komunikacją i stosowaniem (urządzenia) A.10 Zarządzanie komunikacją i stosowaniem (urządzenia) A.11 Kontrola dostępu A.11 Kontrola dostępu A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.14 Zarządzanie ciągłością działania. A.14 Zarządzanie ciągłością działania. A.15 Zgodność. A.15 Zgodność.

16 16 ITIL : 2011 Zarządzania Zabezpieczaniem Zarządzanie Zabezpieczaniem (Bezpieczeństwem) jest procesem, podczas którego należy uzyskać zdefiniowany stopień ochrony informacji oraz usług IT (uzgodniony i zharmonizowany z potrzebami Biznesu): definicja tolerancji dla poszczególnych ryzyk biznesowych i operacyjnych IT,definicja tolerancji dla poszczególnych ryzyk biznesowych i operacyjnych IT, ustalenie strategicznych, taktycznych oraz operacyjnych środków dla zapewnienia odpowiedniego poziomu bezpieczeństwa.ustalenie strategicznych, taktycznych oraz operacyjnych środków dla zapewnienia odpowiedniego poziomu bezpieczeństwa. Zarządzanie Zabezpieczaniem obejmuje zarówno elementy organizacyjne jak i techniczne.

17 ITIL : 2011 Zarządzania Zabezpieczaniem Zarządzanie Incydentami związanymi z bezpieczeństwem,Zarządzanie Incydentami związanymi z bezpieczeństwem, Zapobieganie Incydentom naruszającym bezpieczeństwo,Zapobieganie Incydentom naruszającym bezpieczeństwo, Stworzenie planów zabezpieczania i dokumentacji wymagań,Stworzenie planów zabezpieczania i dokumentacji wymagań, Spełnienie wymagań bezpieczeństwa dla IT z uwzględnieniem parametrów technicznychSpełnienie wymagań bezpieczeństwa dla IT z uwzględnieniem parametrów technicznych Uzgodnienia w SLR dotyczące bezpieczeństwa, które następnie są definiowane w SLAUzgodnienia w SLR dotyczące bezpieczeństwa, które następnie są definiowane w SLA Wypracowanie uzgodnień pomiędzy klientem, a organizacją ITWypracowanie uzgodnień pomiędzy klientem, a organizacją IT Raportowanie statusu bezpieczeństwa i przeprowadzanie audytówRaportowanie statusu bezpieczeństwa i przeprowadzanie audytów Struktury Zarządzania ZabezpieczaniemStruktury Zarządzania Zabezpieczaniem Security Manager – po stronie ITSecurity Manager – po stronie IT Pełnomocnik ds. Bezpieczeństwa – po stronie BiznesuPełnomocnik ds. Bezpieczeństwa – po stronie Biznesu

18 ISO/IEC 20000:2005 Zarządzanie Zabezpieczaniem Procesy Dostarczania Usług Zarządzanie Poziomem Jakości Usług Sporządzanie raportu z usług Zarządzanie Zasobami (potencjałem wykonawczym Zarządzanie Dostępnością i Odpornością usług (Ciągłością) Zarządzanie Zabezpieczaniem Budżetowanie i rozliczanie usług Procesy nadzoru (kontrolne) Zarządzanie Konfiguracją Zarządzanie Zmianą Procesy wydawania Zarządzanie Wydawaniem Procesy rozwiązań Zarządzanie Incydentem Zarządzanie Problemem Procesy powiązań i odniesień (związków) Zarządzanie relacjami Biznesu Zarządzanie poddostawcami

19 BS – Business Continuity BS 25999BS jest standardem brytyjskim w zakresie zarządzania ciągłością działania, który powstał na podstawie dobrych praktyk w tym obszarze. Ma on dwie części: BS :2006 zawiera wytyczne do systemowego zarządzania ciągłością działania, BS :2007 obejmuje wymagania dla certyfikacji systemu. Efektem wdrożenia tego standardu jest system zarządzania BCM – czyli udokumentowany zestaw planów i procedur, pozwalający na utrzymanie określonego poziomu odporności na negatywne zdarzenia. BS jest powiązana ściśle z ISO 9001, ISO oraz ISO/IEC 27001

20 Business Continuity – co to jest? = dosłownie,Contunuity = dosłownie Ciągłość, ale także = na wszelkie zakłócenia + zdolnoóść do przywrócenia działania w miarę potrzeby, w niezbędnym zakresieContinuity = Odporność na wszelkie zakłócenia + zdolnoóść do przywrócenia działania w miarę potrzeby, w niezbędnym zakresie

21 Co daje realny i skuteczny BCP Firma EMC opublikowała wyniki badania European Disaster Recovery Survey 2011 (Europejska ankieta dotycząca odtwarzania danych po awarii). Potwierdzają one, że 74% europejskich przedsiębiorstw nie jest pewna czy jest w stanie w pełni przywrócić sprawność systemu lub odtworzyć dane po awarii, a ponad połowa przedsiębiorstw (54%) utraciła dane lub doświadczyła przestoju systemów w ciągu ostatnich 12 miesięcy. Badanie przeprowadzone przez niezależną firmę analityczną Vanson Bourne na zlecenie firmy EMC analizuje stan europejskiej infrastruktury tworzenia kopii zapasowych i odtwarzania po awarii i ocenia predyspozycje przedsiębiorstw do skutecznego działania w obliczu utraty danych i przestojów systemów.Firma EMC opublikowała wyniki badania European Disaster Recovery Survey 2011 (Europejska ankieta dotycząca odtwarzania danych po awarii). Potwierdzają one, że 74% europejskich przedsiębiorstw nie jest pewna czy jest w stanie w pełni przywrócić sprawność systemu lub odtworzyć dane po awarii, a ponad połowa przedsiębiorstw (54%) utraciła dane lub doświadczyła przestoju systemów w ciągu ostatnich 12 miesięcy. Badanie przeprowadzone przez niezależną firmę analityczną Vanson Bourne na zlecenie firmy EMC analizuje stan europejskiej infrastruktury tworzenia kopii zapasowych i odtwarzania po awarii i ocenia predyspozycje przedsiębiorstw do skutecznego działania w obliczu utraty danych i przestojów systemów. Szczegóły w dokumencie: European Disaster Recovery Survey 2011: Data Today Gone Tomorrow: How Well Companies Are Poised ForSzczegóły w dokumencie: European Disaster Recovery Survey 2011: Data Today Gone Tomorrow: How Well Companies Are Poised ForEuropean Disaster Recovery Survey 2011: Data Today Gone Tomorrow: How Well Companies Are Poised ForEuropean Disaster Recovery Survey 2011: Data Today Gone Tomorrow: How Well Companies Are Poised For

22 BS zawartość BS :2006 zawiera następujące działy: Polityka zarządzania ciągłością działania definiująca cele kierownictwa. Proces zarządzania ciągłością funkcjonowania organizacji zapewniający systemowe podejście. Analiza działalności z punktu widzenie ryzyka i strategia zarządzania ciągłością działania jako odpowiedź na istniejące ryzykostrategia Opracowanie i wdrożenie środków ochrony i zapobiegania wynikających z realizacji strategii. Testowanie, zarządzanie i przegląd środków ochrony zarówno technicznych jak i organizacyjnych (przede wszystkim planów awaryjnych). Budowa świadomości pracowników i podmiotów współpracujących w zakresie BCM.

23 BCM – sens i idea BCM jest procesem po stronie biznesu, prowadzonym na rzecz biznesu, który stwarza ramy strategiczne i operacyjne dla: - proaktywnego doskonalenia organizacyjnej odporności na naruszenia ciągłości działania i osiągania kluczowych celów; - zapewniania stosowania przećwiczonych metod odtwarzania zdolności dostarczania kluczowych produktów i usług na uzgodnionym poziomie w uzgodnionym momencie po awarii; - dostarczania sprawdzonych umiejętności zarządzania awariami i chroni prestiż oraz markę organizacji. Podczas gdy szczegółowe procesy związane z ciągłością biznesową mogą być różne w zależności od wielkości, struktur i odpowiedzialności – to podstawowe zasady pozostają dokładnie takie same dla dowolnej prywatnej lub publicznej firmy czy organizacji, z uwzględnieniem jej skali, zakresu działania i poziomu komplikacji.

24 Jak wdrożyć normę? Wola i determinacja KierownictwaWola i determinacja Kierownictwa Analiza potrzeb - przesłanki biznesowe wdrożeniaAnaliza potrzeb - przesłanki biznesowe wdrożenia Świadomość odniesienia korzyści biznesowejŚwiadomość odniesienia korzyści biznesowej Świadomość pracochłonności i kosztówŚwiadomość pracochłonności i kosztów Decyzja perspektywiczna – na lataDecyzja perspektywiczna – na lata Analiza komplikacji - przesłanki organizacyjne wdrożeniaAnaliza komplikacji - przesłanki organizacyjne wdrożenia Rodzaj biznesu i sposób jego prowadzeniaRodzaj biznesu i sposób jego prowadzenia Dojrzałość organizacyjnaDojrzałość organizacyjna Kompetencje załogiKompetencje załogi Decyzja biznesowaDecyzja biznesowa

25 Uporządkowanie i standaryzacja procesów – zapewnienie ich prawidłowości;Uporządkowanie i standaryzacja procesów – zapewnienie ich prawidłowości; Lepsze wykorzystanie zasobów – skuteczność i efektywność firmy;Lepsze wykorzystanie zasobów – skuteczność i efektywność firmy; Zwiększenie zadowolenia i zaufania oraz lojalności Klientów;Zwiększenie zadowolenia i zaufania oraz lojalności Klientów; Lepsza komunikacja między IT a biznesem - poprawa wizerunku IT jako bezpiecznego i wiarygodnego partnera biznesu;Lepsza komunikacja między IT a biznesem - poprawa wizerunku IT jako bezpiecznego i wiarygodnego partnera biznesu; Pewniejsze działanie w sytuacji zagrożeń powodowanych przez czynniki wewnętrzne i zewnętrzne – zagwarantowanie ciągłości biznesu;Pewniejsze działanie w sytuacji zagrożeń powodowanych przez czynniki wewnętrzne i zewnętrzne – zagwarantowanie ciągłości biznesu; Wzrost konkurencyjności firmy na rynkuWzrost konkurencyjności firmy na rynku Korzyści z wdrożenia standardów

26 Norma i standard – dlaczego? Bo wyręcza w planowaniu i organizowaniu systemu i wspiera efektywne zarządzanie;Bo wyręcza w planowaniu i organizowaniu systemu i wspiera efektywne zarządzanie; … porządkuje i ujednolica procesy, struktury, funkcjonowanie i dokumentację;… porządkuje i ujednolica procesy, struktury, funkcjonowanie i dokumentację; … pomaga ominąć wątpliwości i naśladować autorów sukcesu rynkowego (najlepsze praktyki);… pomaga ominąć wątpliwości i naśladować autorów sukcesu rynkowego (najlepsze praktyki); … podpowiada właściwe rozwiązania –uwalnia od rozterek i wątpliwości;… podpowiada właściwe rozwiązania –uwalnia od rozterek i wątpliwości; … ułatwia nadzór i kontrolę nad określoną sferą działań… ułatwia nadzór i kontrolę nad określoną sferą działań

27 Norma – po co? dla poprawy funkcjonowania i efektywności biznesowej firmy;dla poprawy funkcjonowania i efektywności biznesowej firmy; dla uporządkowania relacji z dostawcami i partnerami;dla uporządkowania relacji z dostawcami i partnerami; dla podniesienia prestiżu na rynku i poziomu zaufania klientów;dla podniesienia prestiżu na rynku i poziomu zaufania klientów; dla zdobycia przewagi konkurencyjnej…dla zdobycia przewagi konkurencyjnej…czyli Dla utrwalenia stabilnego sukcesu

28 Wdrożenie normy jako projekt Wykorzystanie standardowych metodyk prowadzenia projektówWykorzystanie standardowych metodyk prowadzenia projektów Inicjowanie projektuInicjowanie projektu Zasoby do wdrożeniaZasoby do wdrożenia Role i obowiązkiRole i obowiązki Harmonogram i fazy wdrożeniaHarmonogram i fazy wdrożenia

29 Rola konsultanta Konsultant zewnętrzny czy samodzielność?Konsultant zewnętrzny czy samodzielność? Konsultant zewnętrzny pomaga, czy wyręcza?Konsultant zewnętrzny pomaga, czy wyręcza? Rola pełnomocnika ds. wdrożenia systemu objętego normą (SZJ, SZBI, IT SM… itp);Rola pełnomocnika ds. wdrożenia systemu objętego normą (SZJ, SZBI, IT SM… itp); Szkolenia i edukacja permanentna załogi;Szkolenia i edukacja permanentna załogi; Zaangażowanie KierownictwaZaangażowanie Kierownictwa

30 Podsumowanie Nie pytaj co ci z tego przyjdzie… … dowiesz się, gdy to zastosujesz! Jeśli tego nie zastosujesz, dowiesz się poniewczasie dlaczego twój biznes kuleje….

31 Dziękuję za uwagę!


Pobierz ppt "Wojciech Garstka, PROJEKT_G Wsparcie ochrony bezpieczeństwa firmy z wykorzystaniem standardów i norm."

Podobne prezentacje


Reklamy Google