Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Kraków, 29.01.2013 BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH.

Podobne prezentacje


Prezentacja na temat: "Kraków, 29.01.2013 BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH."— Zapis prezentacji:

1 Kraków, BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH

2 Konferencja – Bezpieczeństwo i Niezawodność sieci informatycznych. Łódź, 21 Listopada ZAGROŻENIA NATURALNE, TECHNICZNE, Z DZIAŁANIA CZŁOWIEKA – CZYLI BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE WG ISO PRZEGLĄD WYMAGAŃ PRAWNYCH, STANDARDÓW I DOBRYCH PRAKTYK. ZAŁĄCZNIK A – NORMATYWNY DO PN-ISO/IEC 27001:2007 A.9 – BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

3 Zasoby, podatności, ryzyka… PN-I-13335:

4 Postrzeganie bezpieczeństwa (D. Frei) Fałszywe bezpieczeństwo Brak bezpieczeństwa BezpieczeństwoObsesja 4 Postrzeganie Poziom rzeczywisty

5 A.9.1 Obszary bezpieczne Cel: Zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami w siedzibie organizacji w odniesieniu do informacji. 5

6 A Fizyczna granica obszaru bezpiecznego Zabezpieczenie: Granice obszaru bezpiecznego (bariery takie jak ściany, bramki wejściowe, na kartę lub recepcja z obsługą) powinny być stosowane w celu ochrony obszarów zawierających informacje i środki przetwarzania informacji. Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Ustawa o ochronie danych osobowych – obszar przetwarzania. 6

7 A Fizyczne zabezpieczenie wejścia Zabezpieczenie: Obszary bezpieczne powinny być chronione przez odpowiednie fizyczne zabezpieczenia wejścia, zapewniające, że tylko autoryzowany personel ma dostęp Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. PN-EN Systemy kontroli dostępu 7

8 A Zabezpieczenie biur, pomieszczeń i urządzeń Zabezpieczenie: Należy zaprojektować i stosować ochronę fizyczną biur, pomieszczeń i urządzeń Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. PN (różne) – systemy alarmowe, systemy sygnalizacji włamania i napadu 8

9 A Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi Zabezpieczenie: Należy opracować i stosować ochronę fizyczną przed zniszczeniami powstałymi na skutek pożaru, zalania, trzęsienia ziemi, wybuchu, niepokojów społecznych i innych form naturalnych lub spowodowanych przez człowieka katastrof. Przepisy o ochronie przeciwpożarowej Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. 9

10 A Praca w obszarach bezpiecznych Zabezpieczenie Należy opracować i stosować mechanizmy ochrony fizycznej oraz wytyczne do pracy w obszarach bezpiecznych Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. 10

11 A Obszary publicznie dostępne, dostaw i załadunku Zabezpieczenie: Punkty dostępu, takie jak obszary dostaw i załadunku oraz inne punkty, przez które nieuprawnione osoby mogą wejść do budynków, należy nadzorować i, jeśli to możliwe, odizolować od środków przetwarzania informacji w celu uniknięcia nieautoryzowanego dostępu. Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Normy ISO 22000, HACCP, GHP etc. 11

12 A.9.2 Bezpieczeństwo sprzętu Cel: Zapobieganie utracie, kradzieży lub naruszeniu aktywów oraz przerwaniu działalności organizacji 12

13 A Lokalizacja i ochrona sprzętu Zabezpieczenie: Sprzęt należy rozlokować lub chronić w taki sposób, aby redukować ryzyka wynikające z zagrożeń i niebezpieczeństw środowiskowych oraz możliwości nieautoryzowanego dostępu. Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Przepisy o ochronie przeciwpożarowej 13

14 A Systemy wspomagające Zabezpieczenie Sprzęt należy chronić przed awariami zasilania lub zakłóceniami spowodowanymi awariami systemów wspomagających UDT – w zakresie nadzoru Standardy SEP Przepisy o ochronie przeciwpożarowej 14

15 A Bezpieczeństwo okablowania Zabezpieczenie: Okablowanie zasilające i telekomunikacyjne służące do przesyłania danych lub wspomagające usługi informacyjne należy chronić przed przejęciem lub uszkodzeniem Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Przepisy o UDT – w zakresie nadzoru 15

16 A Konserwacja sprzętu Zabezpieczenie: Sprzęt należy prawidłowo konserwować, aby zapewnić jego dostępność i integralność. Przepisy o UDT – w zakresie nadzoru Zasady konserwacji i użytkowania – instrukcje producenta Zasady BHP i PPOŻ oraz inne związane wynikające z procesu technologicznego 16

17 A Bezpieczeństwo sprzętu poza siedzibą Zabezpieczenie: Sprzęt pozostający poza siedzibą należy chronić przy uwzględnieniu ryzyk związanych z pracą poza siedzibą organizacji. Kodeks Cywilny (umowa przechowania) Ustawa o usługach turystycznych – rozdział 5 17

18 A Bezpieczne zbywanie lub przekazywanie sprzętu do ponownego użycia Zabezpieczenie: Wszystkie składniki sprzętu zawierające nośniki informacji należy sprawdzić, aby przed jego zbyciem upewnić się, że wszelkie informacje wrażliwe i licencjonowane programy zostały usunięte lub bezpiecznie nadpisane. 18

19 A Wynoszenie mienia Zabezpieczenie: Sprzęt, informacje lub oprogramowanie nie powinny być wynoszone bez uprzedniego zezwolenia Przepisy Ustawy o ochronie osób i mienia wraz z Metodyką Uzgadniania Planów ochrony obiektów obszarów i urządzeń podlegających obowiązkowej ochronie. Instrukcja ruchu materiałowego. 19

20 Lista wymagań A.9 A.9.1 Lista kontrolna Instytutu Bezpieczeństwa i Informacji zawiera: 19 wymagań szczegółowych A.9.2 Lista kontrolna Instytutu Bezpieczeństwa i Informacji zawiera: 14 wymagań szczegółowych ISO/IEC27001 LK 20

21 Podsumowanie Zespół ds. bezpieczeństwa informacji, zgodnie z ISO/IEC 27001: 1. Specjalista IT 2. Specjalista ds. bezpieczeństwa informacji 3. Specjalista ds. ochrony ppoż 4. Specjalista ds. ochrony fizycznej 5. Specjaliści w zakresach właściwych dla procesu technologicznego (bezpieczeństwo techniczne – wymagania i zagrożenia) 6. Specjalista ds. legislacji wewnętrznej 7. Prawnik 8. Inne…? 21

22 Grzegorz Krzemiński Dziękuję za udział 22


Pobierz ppt "Kraków, 29.01.2013 BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH."

Podobne prezentacje


Reklamy Google