Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

PARTNER SEMINARIUM:. AGENDA 9.30 – 10.00Rejestracja Uczestników 10.00 – 10.20Powitanie Gości 10.20 – 11.20Zarządzanie Bezpieczeństwem Informacji zgodnie.

Podobne prezentacje


Prezentacja na temat: "PARTNER SEMINARIUM:. AGENDA 9.30 – 10.00Rejestracja Uczestników 10.00 – 10.20Powitanie Gości 10.20 – 11.20Zarządzanie Bezpieczeństwem Informacji zgodnie."— Zapis prezentacji:

1 PARTNER SEMINARIUM:

2 AGENDA 9.30 – 10.00Rejestracja Uczestników – 10.20Powitanie Gości – 11.20Zarządzanie Bezpieczeństwem Informacji zgodnie z wymaganiami ISO Prowadzący: Radosław Frydrych, Dyrektor Pionu Doradztwa Biznesowego Comp Safe Support SA – Przerwa – 12.20Zarządzanie Ciągłością Działania zgodnie ze standardem BS Prowadzący: dr Janusz Zawiła Niedźwiecki, Ekspert Comp Safe Support SA – Obiad – 13.30Analiza ryzyka a dobór teleinformatycznych środków zapewnienia ciągłości działania Prowadzący: Paweł Nowicki, Dyrektor Działu Technicznego Comp Safe Support SA – Bezpieczeństwo firmy bit po bicie Prowadzący: Paweł Odor, Kroll Ontrack – 14.30Sesja pytań i odpowiedzi, losowanie upominków Zakończenie

3 Dlaczego Ciągłość Działania?

4 O COMP SAFE SUPPORT SA

5 Znacie nas i nie znacie Comp SA + Computer Service Support SA = COMP SAFE SUPPORT SA

6 Oferta Comp Safe Support SA STABILNA POZYCJA COMP SAFE SUPPORT SA BEZPIECZEŃSTWOOUTSOURCING ITINFRASTRUKTURAEDUKACJA

7 Kilka liczb Zatrudnienie: 650 osób Sprzedaż w 2007 roku: >180 mln zł Zysk w 2007 roku: > 24 mln zł Filie i oddziały w każdym województwie

8 Zarządzanie bezpieczeństwem informacji zgodnie z ISO 27001:2005.

9 KONCEPCJA ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

10 Biznes i bezpieczeństwo Dobrze wprowadzony system zarządzania powinien wspierać procesy operacyjne: elastyczność Pytanie: czy wprowadzenie zasad bezpieczeństwa informacji może wpływać negatywnie na procesy?

11 Elementy bezpieczeństwa informacji Dostępność Integralność Poufność C.I.A

12 To nie to samo ! Bezpieczeństwo informacji = Bezpieczeństwo teleinformatyczne

13 Elementy bezpieczeństwa Zarządzanie Bezpieczeństwem Informacji Bezpieczeństwo IT Bezpieczeństwo osobowe Bezpieczeństwo fizyczne Zarządzanie ciągłością działania Szkolenia

14 14 Odpowiedzialny za zarządzanie BI

15 ZARZĄDZANIE BI ZGODNIE Z ISO 27001:2005

16 16 Ciągłe doskonalenie (PDCA) Ustanowienie SZBI Utrzymanie i doskonalenie SZBI Wdrożenie i funkcjonowanie SZBI Pomiary i przeglądy SZBI Zainteresowane strony Wymagania i oczekiwania dla bezpieczeństwa informacji Zainteresowane strony Zarządzane bezpieczeństwo informacji

17 17 Informowanie kierownictwa BI

18 18 ISO 27001: budowa 0. Wprowadzenie 1. Zakres normy 2. Powo ł ania 3. Terminologia i definicje 4. System zarz ą dzania bezpiecze ń stwem informacji 5. Odpowiedzialno ść kierownictwa 6. Wewn ę trzne audyty ISMS 7. Przegl ą d zarz ą dzania ISMS 8. Doskonalenie ISMS Za ł. A. Cele zabezpiecze ń i zabezpieczenia

19 19 Załącznik A do normy ISO Polityka bezpieczeństwa Organizacja bezpieczeństwa informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich (osobowe) Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych Zarządzanie incydentami bezpieczeństwa informacji Zarządzanie ciągłością działania Zgodność

20 Logika postępowania Analiza Polityka Zasady A A B B D D C C E E

21 21 Mapa procesów Pozyskanie klienta Realizacja zleceń Zamknięcie i ocena efektów Zarządzanie personelem Utrzymanie systemu zarządzania Proces zarządzania Proces pomocniczy Proces główny Klient Zarządzanie IT

22 22 Integracja z istniejącym systemem 123a4 3b we wy A A B B D D C C E E

23 USŁUGI COMP SAFE SUPPORT W ZAKRESIE SZBI

24 Oferta COMP Safe Support w zakresie SZBI 1.Wdrażanie systemów zarządzania bezpieczeństwem informacji ISO 27001: Tworzenie Polityk Bezpieczeństwa Informacji 3.Tworzenie Polityk Bezpieczeństwa Danych Osobowych 4.Tworzenie Planów Ciągłości Działania (PCD i DRP) 5.Testy bezpieczeństwa – penetracyjne 6.Analizy ryzyka bezpieczeństwa informacji, audyty stanu bieżącego 7.Szkolenia w zakresie zarządzania bezpieczeństwem informacji 24

25 dr inż. Janusz Zawiła-Niedźwiecki Ekspert Comp Safe Support Zarządzanie ciągłością działania wg normy BS 25999

26 Program prezentacji Zakres stosowania Terminologia i definicje Ogólnie o BCM Polityka zarządzania ciągłością działania Program zarządzania ciągłością działania Zrozumienie organizacji Ustalanie strategii ciągłości biznesu Rozwijanie i wdrażanie rozwiązań BCM Testowanie, utrzymywanie i przeglądy zdolności do BCM Wtapianie BCM w kulturę organizacji

27 Business Continuity Management to holistyczny proces zarządzania, który ma na celu określenie potencjalnego wpływu zakłóceń na organizację i stworzenie warunków budowania odporności na nie oraz zdolności skutecznej reakcji w zakresie ochrony kluczowych interesów właścicieli, reputacji i marki organizacji, a także wartości osiągniętych w jej dotychczasowej działalności. (definicja The Business Continuity Institute)

28 Cykl BCM (5) Wdrażać rozwiązania i doskonalić je BCM (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze

29 Terminologia Wskazano i zdefiniowano pojęcia takie jak: działanie, ciągłość działania, zarządzanie ciągłością działania, cykl BCM, plan ciągłości, strategia ciągłości, BIA, działalność krytyczna (newralgiczna) organizacji, dopuszczalny czas awarii, czas odtworzenia, dopuszczalny poziom ryzyka, interesariusze, oszacowanie ryzyka, zarządzanie ryzykiem itp.

30 Ogólnie o BCM Prewencja wobec zagrożeń Naprawa uszkodzeń Zastępcze wykonywanie zadań

31 Dlaczego dostrzegamy ryzyko ? System idealny Zakłócenie (podatność) Zagrożenie Ryzyko Decyzja Działanie Niepewność Zagrożenie w ujęciu ogólnym Ryzyko w ujęciu popularnym

32 Ryzyko to iloczyn: wagi zagrożenia i prawdopodobieństwa jego wystąpienia R = Wz x Pw

33 Relacje wobec ryzyka

34 Zarządzanie ryzykiem Sprzężenie zwrotne Analiza ryzyka Identyfikacja ryzyka Ocena ryzyka PlanowanieManipulowanie ryzykiem Monitorowanie ryzyka Dokumentowanie w ramach zarządzania ryzykiem

35 Analiza ryzyka Identyfikacja zagrożeń Identyfikacja podatności Potencjalne zakłócenia

36 Manipulowanie ryzykiem Potencjalne straty Koszty zabezpieczeń ryzyko szczątkowe prawdopodobieństwo100%0% koszt

37 BCM a ryzyko Zarządzanie ryzykiem Zarządzanie bezpieczeństwem Zarządzanie ciągłością działania

38 Niepewność Ryzyko Zagrożenie Prewencja (ograniczanie podatności) Zakłócenie Postępowanie ze skutkami Odtwarzanie stanu sprzed wystąpienia zakłócenia Zapewnianie funkcjonowania w warunkach występowania zakłócenia lub jego skutków

39 Polityka i program zarządzania BCM określenie odpowiedzialności wdrożenie podejścia BCM w organizacji bieżące zarządzanie BCM (rozumienie istoty działania organizacji, zapewnianie właściwej reakcji na incydenty, wypełnianie obowiązków prawa, ochrona dobrego imienia firmy) dokumentacja BCM

40 Cykl BCM (5) Wdrażać rozwiązania i doskonalić je BCM (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze

41 Zrozumieć swój biznes BIA (business impact analysis) procesy i operacje krytyczne wymagania ciągłości oszacowanie ryzyka operacyjnego określenie jak postępować z zagrożeniami

42 procesy podatności zagrożenia

43 Cykl BCM (5) Wdrażać rozwiązania i doskonalić je BCM (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze

44 Strategia zapewniania ciągłości cele i metody oczekiwania (dopuszczalny czas przerwy, koszt zapewniania ciągłości, konsekwencje braku dostatecznej reakcji) zapotrzebowanie na zasoby i wsparcie

45 Cykl BCM (5) Wdrażać rozwiązania i doskonalić je BCM (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze

46 Podejścia projektowania DRII – (Disaster Recovery Institute International) – metoda maksymalnego scenariusza TSM-BCP – (total security management – business continuity planning) – metoda ewolucyjnego nabywania umiejętności

47 Metoda TSM-BCP Faza wstępna Faza przygotowania Faza analizy Faza projektowaniaFaza wdrożenia Faza kontroli spirala doskonalenia

48 Rozwiązania reakcja na incydent działanie w warunkach zastępczych powrót do warunków normalnych plany (scenariusze, zadania, dokumenty)

49 Podejścia reagowania na zagrożenia DW DPMP MW PZ Mpodejście Tolerowania (T) Przede wszystkim działania o charakterze prawnym, a w następnej kolejności organizacyjnym

50 Podejścia reagowania na zagrożenia DW DPMP MW PZ podejście Monitorowania (M) T Przede wszystkim działania o charakterze organizacyjnym, a w następnej kolejności regulacyjnym

51 Podejścia reagowania na zagrożenia DW DPMP MW P podejście Zapobiegania (Z) M T Przede wszystkim działania o charakterze inwestycyjnym, a do czasu realizacji inwestycji działania z zakresu podejścia P

52 Podejścia reagowania na zagrożenia DW DPMP MW podejście Planu Ciągłości Działania (P) Z M T Działania rozumiane stricte zgodnie z popularnym pojmowaniem celu i zakresu zapewniania ciągłości działania

53 Dokument scenariusza Zakłócenie Model reakcji Działanie Przygotowanie

54 Cykl BCM (5) Wdrażać rozwiązania i doskonalić je BCM (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze

55 Wtopić BCM w kulturę organizacji liderzy powszechny udział i odpowiedzialność powszechna świadomość rozwijanie umiejętności reagowania ćwiczenia

56 Cykl BCM (5) Wdrażać rozwiązania i doskonalić je BCM (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze

57 Wdrażanie testy przeglądy stałe doskonalenie

58 Dziękuję za uwagę

59 Analiza ryzyka a dobór teleinformatycznych metod zapewnienia ciągłości działania Prowadzący: Paweł Nowicki

60 RYZYKO A CIĄGŁOŚĆ DZIAŁANIA

61 61 ZASOBY Personel Systemy Środowisko Zagrożenia

62 RYZYKO to iloczyn wagi zagrożenia i prawdopodobieństwa jego wystąpienia R= Wz x Pw Baza do analizy: statystyka metoda ekspercka

63 Proces analizy ryzyka Opracowanie wytycznych Zebranie danych Przeprowadzenie szacowania Zatwierdzenie przez Kierownictwo Cykliczne powtarzanie

64 64 Kto odpowiada za BI?

65 65 Reagowanie na zagrożenia Duży wpływ Mały wpływ Duże prawdopodobieństwo lub częstotliwość Małe prawdopodobieństwo lub częstotliwość Plany Ciągłości Działania Zapobieganie MonitorowanieTolerowanie

66 66 Zależności

67 CASE STUDY

68 Przedstawienie Klienta -Klient posiada 17 oddziałów w Polsce z centralą w Warszawie. -System komputerowy obsługuje 1000 klientów. -System działa w trybie ciągłym 24 godziny na dobę z restrykcyjnym czasem odpowiedzi. -System posiada kilka podstawowych aplikacji i dwie główne współpracujące bazy danych -90% użytkowników systemu pracuje w godzinach

69 Wymagania Klienta 1. System działa w trybie 24h/365dni 2. Czas odpowiedzi na zapytanie użytkownika nie może przekroczyć 4 minut. 3. Awaria systemu nie może spowodować przerwy w pracy produkcyjnej systemu ( monitorowanie i automatyzacja procesów) 4. Awaria systemu nie może spowodować utraty danych produkcyjnych.

70 Podstawowe zagrożenia Awaria urządzenia (uszkodzenie serwera, uszkodzenie aplikacji ) Awaria związana z lokalizacją (powódź, pożar, zanik zasilania dla budynku lub miasta) Obciążenie bazy danych w okresie produkcyjnym Ograniczona dostępność administratorów i użytkowników systemu

71 Tabela ryzyka LpZagrożenieWpływ/ Prawdopodob. Obszar postępowania z ryzykiem Rozwiązanie 1Awaria urządzenia (uszkodzenie serwera, uszkodzenie aplikacji ) B.wysoki/ Średnie zapobieganieOdpowiednia infrastruktura IT 2Awaria związana z lokalizacją (powódź, pożar, zanik zasilania dla budynku lub miasta) B.wysoki/ Małe Plany ciągłości działania Dokumentacja PCD/Odpowiednia infrastruktura IT 3Obciążenie bazy danych w okresie produkcyjnym Średni/ Średnie MonitorowanieOdpowiednia infrastruktura IT 4Ograniczona dostępność administratorów i użytkowników systemu Średni/ Średnie MonitorowaniePolityka bezpieczeństwa klienta/ odpowiednia infrastruktura IT

72 Przedstawienie rozwiązania 1.Zastosowanie równolegle pracujących urządzeń 2.Umieszczenie krytycznych elementów systemu w 2 centrach danych klasy DataCenter oddalonych od siebie o 25 km ( Warszawa centrum, Piaseczno) 3.Zastosowanie mechanizmów automatycznego przełączania usług pomiędzy lokalizacjami ( dotyczy aplikacji, bazy danych i dostępu do systemu) 4.Replikacje danych w sieci korporacyjnej WAN pomiędzy lokalizacjami 5.Rozłożenie obciążenia pomiędzy lokalizacjami

73 Nadmiarowe serwery ( virtualizacje ) Klastry ( Veritas Cluster Server, HACMP, SUN Cluster ) Oracle Real Application Cluster, Replikacje danych ( Mirror View, BCV, SRDF, VVR ) Global Cluster Manager, Przełączniki treści - Alteon


Pobierz ppt "PARTNER SEMINARIUM:. AGENDA 9.30 – 10.00Rejestracja Uczestników 10.00 – 10.20Powitanie Gości 10.20 – 11.20Zarządzanie Bezpieczeństwem Informacji zgodnie."

Podobne prezentacje


Reklamy Google