Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Kraków, 29.01.2013 BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH.

Podobne prezentacje


Prezentacja na temat: "Kraków, 29.01.2013 BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH."— Zapis prezentacji:

1 Kraków, 29.01.2013 BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH

2 Konferencja – Bezpieczeństwo i Niezawodność sieci informatycznych. Łódź, 21 Listopada ZAGROŻENIA NATURALNE, TECHNICZNE, Z DZIAŁANIA CZŁOWIEKA – CZYLI BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE WG ISO 27001. PRZEGLĄD WYMAGAŃ PRAWNYCH, STANDARDÓW I DOBRYCH PRAKTYK. ZAŁĄCZNIK A – NORMATYWNY DO PN-ISO/IEC 27001:2007 A.9 – BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

3 Zasoby, podatności, ryzyka… PN-I-13335:1-1999 3

4 Postrzeganie bezpieczeństwa (D. Frei) Fałszywe bezpieczeństwo Brak bezpieczeństwa BezpieczeństwoObsesja 4 Postrzeganie Poziom rzeczywisty

5 A.9.1 Obszary bezpieczne Cel: Zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami w siedzibie organizacji w odniesieniu do informacji. 5

6 A.9.1.1 Fizyczna granica obszaru bezpiecznego Zabezpieczenie: Granice obszaru bezpiecznego (bariery takie jak ściany, bramki wejściowe, na kartę lub recepcja z obsługą) powinny być stosowane w celu ochrony obszarów zawierających informacje i środki przetwarzania informacji. Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Ustawa o ochronie danych osobowych – obszar przetwarzania. 6

7 A.9.1.2 Fizyczne zabezpieczenie wejścia Zabezpieczenie: Obszary bezpieczne powinny być chronione przez odpowiednie fizyczne zabezpieczenia wejścia, zapewniające, że tylko autoryzowany personel ma dostęp Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. PN-EN 50133 Systemy kontroli dostępu 7

8 A.9.1.3 Zabezpieczenie biur, pomieszczeń i urządzeń Zabezpieczenie: Należy zaprojektować i stosować ochronę fizyczną biur, pomieszczeń i urządzeń Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. PN (różne) 50131 – systemy alarmowe, systemy sygnalizacji włamania i napadu 8

9 A.9.1.4 Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi Zabezpieczenie: Należy opracować i stosować ochronę fizyczną przed zniszczeniami powstałymi na skutek pożaru, zalania, trzęsienia ziemi, wybuchu, niepokojów społecznych i innych form naturalnych lub spowodowanych przez człowieka katastrof. Przepisy o ochronie przeciwpożarowej Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. 9

10 A.9.1.5 Praca w obszarach bezpiecznych Zabezpieczenie Należy opracować i stosować mechanizmy ochrony fizycznej oraz wytyczne do pracy w obszarach bezpiecznych Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. 10

11 A.9.1.6 Obszary publicznie dostępne, dostaw i załadunku Zabezpieczenie: Punkty dostępu, takie jak obszary dostaw i załadunku oraz inne punkty, przez które nieuprawnione osoby mogą wejść do budynków, należy nadzorować i, jeśli to możliwe, odizolować od środków przetwarzania informacji w celu uniknięcia nieautoryzowanego dostępu. Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Normy ISO 22000, HACCP, GHP etc. 11

12 A.9.2 Bezpieczeństwo sprzętu Cel: Zapobieganie utracie, kradzieży lub naruszeniu aktywów oraz przerwaniu działalności organizacji 12

13 A.9.2.1 Lokalizacja i ochrona sprzętu Zabezpieczenie: Sprzęt należy rozlokować lub chronić w taki sposób, aby redukować ryzyka wynikające z zagrożeń i niebezpieczeństw środowiskowych oraz możliwości nieautoryzowanego dostępu. Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Przepisy o ochronie przeciwpożarowej 13

14 A.9.2.2 Systemy wspomagające Zabezpieczenie Sprzęt należy chronić przed awariami zasilania lub zakłóceniami spowodowanymi awariami systemów wspomagających UDT – w zakresie nadzoru Standardy SEP Przepisy o ochronie przeciwpożarowej 14

15 A.9.2.3 Bezpieczeństwo okablowania Zabezpieczenie: Okablowanie zasilające i telekomunikacyjne służące do przesyłania danych lub wspomagające usługi informacyjne należy chronić przed przejęciem lub uszkodzeniem Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Przepisy o UDT – w zakresie nadzoru 15

16 A.9.2.4 Konserwacja sprzętu Zabezpieczenie: Sprzęt należy prawidłowo konserwować, aby zapewnić jego dostępność i integralność. Przepisy o UDT – w zakresie nadzoru Zasady konserwacji i użytkowania – instrukcje producenta Zasady BHP i PPOŻ oraz inne związane wynikające z procesu technologicznego 16

17 A.9.2.5 Bezpieczeństwo sprzętu poza siedzibą Zabezpieczenie: Sprzęt pozostający poza siedzibą należy chronić przy uwzględnieniu ryzyk związanych z pracą poza siedzibą organizacji. Kodeks Cywilny (umowa przechowania) Ustawa o usługach turystycznych – rozdział 5 17

18 A.9.2.6 Bezpieczne zbywanie lub przekazywanie sprzętu do ponownego użycia Zabezpieczenie: Wszystkie składniki sprzętu zawierające nośniki informacji należy sprawdzić, aby przed jego zbyciem upewnić się, że wszelkie informacje wrażliwe i licencjonowane programy zostały usunięte lub bezpiecznie nadpisane. 18

19 A.9.2.7 Wynoszenie mienia Zabezpieczenie: Sprzęt, informacje lub oprogramowanie nie powinny być wynoszone bez uprzedniego zezwolenia Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Instrukcja ruchu materiałowego. 19

20 Lista wymagań A.9 A.9.1 Lista kontrolna Instytutu Bezpieczeństwa i Informacji zawiera: 19 wymagań szczegółowych A.9.2 Lista kontrolna Instytutu Bezpieczeństwa i Informacji zawiera: 14 wymagań szczegółowych ISO/IEC27001 LK 20

21 Podsumowanie Zespół ds. bezpieczeństwa informacji, zgodnie z ISO/IEC 27001: 1. Specjalista IT 2. Specjalista ds. bezpieczeństwa informacji 3. Specjalista ds. ochrony ppoż 4. Specjalista ds. ochrony fizycznej 5. Specjaliści w zakresach właściwych dla procesu technologicznego (bezpieczeństwo techniczne – wymagania i zagrożenia) 6. Specjalista ds. legislacji wewnętrznej 7. Prawnik 8. Inne…? 21

22 Grzegorz Krzemiński grzegorz.krzeminski@ibii.eu Dziękuję za udział 22


Pobierz ppt "Kraków, 29.01.2013 BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH."

Podobne prezentacje


Reklamy Google