Założenia do ćwiczeń seria 1 do wykładów

Slides:



Advertisements
Podobne prezentacje
Ewidencja Wyposażenia PL+
Advertisements

INFRASTRUKTURA KRYTYCZNA
SOCHACZEW Propozycja lokalizacji lotniska cywilnego dla Linii Low Cost i Cargo Materiał przygotowany na posiedzenie Zespołu ds. opracowania Programu Rozwoju.
Kielce na rynku od 2001 r.. Kolporter Info SA Kielce 2006 Zakres działalności: OPROGRAMOWANIE - produkcja, sprzedaż, instalacja i serwis INSIGNUM.
PLAN PREZENTACJI Sesja Rady Miasta MIELECKI PARK PRZEMYSŁOWY – stan realizacji PROJEKT: Budowa Inkubatora Nowych Technologii IN- Tech wraz z.
SIEĆ SZEROKOPASMOWA POLSKI WSCHODNIEJ Władysław Ortyl Sekretarz Stanu Warszawa, 12 lipca 2007 r.
Wytyczne Ministra Rozwoju Regionalnego w zakresie wyboru projektów w trybie konkursowym Szkolenie, maja 2007 r. Departament Koordynacji i Zarządzania.
Struktura Austriackiego Urzędu Regulacji Radiofonii i Telewizji
DOKUMENTOWANIE PROCESU ZINTEGROWANEGO
Podsumowanie działań związanych z budową społeczeństwa informacyjnego
Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach na przykładzie Wojewódzkiego Centrum Zarządzania Siecią
Projekt „e-świętokrzyskie” Finansowany z funduszy ZPORR na
Użytkowanie Sieci Marcin KORZEB WSTI - Użytkowanie Sieci.
Administracja zintegrowanych systemów zarządzania
Eksploatacja zasobów informatycznych przedsiębiorstwa
Jakość systemów informacyjnych (aspekt eksploatacyjny)
RYZYKO OPERACYJNE Jak przeciwdziałać mu w praktyce?
RENOWATOR Staże Ośrodka RENOWATOR.
Wyniki ankietowania Miasto Szczecin Młodzieżowa Rada Miasta Szczeciński Park Naukowo Technologiczny Szczecin, 20 czerwca
SIECI KOMPUTEROWE PIOTR MAJCHER PODSTAWOWE POJĘCIA.
PROJEKT SIECI KOMPUTEROWYCH
Zadanie: Integracja oprogramowania w gminach i starostwie
Prezentacja firmy Pretor sp. z o.o.
PRODUKTY Instytut Ekologii Terenów Uprzemysłowionych Dział Promocji
Adam Walicki - 30 września 2010
MOBILNE CENTRUM INFORMACJI ZAWODOWEJ w Koninie
Dotcom Projektowanie systemów CCTV Projektowanie sieci LAN
WDROŻENIE KOMPLEKSOWEGO MONITORINGU SERWEROWNI STUDIUM PRZYPADKU
Departament Higieny Środowiska
Biznes Online Mobile Solution Zdalny dostęp do sieci VPN.
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
7-8 listopada 2007 Central European Outsourcing Forum
Zielona Góra, 18 listopada 2011
GRUPA ROBOCZA 5 ZAPOBIEGANIE POWAŻNYM AWARIOM W PRZEMYŚLE
Infrastruktura bezpieczeństwa obiektu
Mobile Switching Centre & Data Center
Założenia do ćwiczeń seria 1 do wykładów
Bezpieczeństwo fizyczne i techniczne systemów i sieci komputerowych
Miejsce dozoru elektronicznego w strukturze informatycznej polskiego wymiaru sprawiedliwości Andrzej Jacek Kaucz prokurator Prokuratury Krajowej 14.
WOLNE powierzchnie biurowe WOLNE powierzchnie biurowe o łącznym metrażu 115,35 m² Park Przemysłowy Gminy Leżajsk.
Operacyjne sterowanie produkcją
Zarządzanie Energią i Teleinformatyka ZET 2013 Nałęczów lutego 2013 r.
Ochrona danych osobowych i informacji niejawnych
Systemy informatyczne
Zarządzanie zagrożeniami
Ocena projektów inwestycyjnych
Inteligentny budynek PRACA DYPLOMOWA Agnieszka Brylińska.
ZINTEGROWANE SYSTEMY ZARZĄDZANIA
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Ergonomia procesów informacyjnych
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Zarządzanie stacjami roboczymi przy wykorzystaniu urządzeń i oprogramowania KACE serii 1000, 2000, 3000 Adam Pura, IT Projekt Jacek Gralik, Quest Dystrybucja.
Kierunki rozwoju usług monitorowania Outsourcing stacji monitorowania Optymalizacja kosztów.
Podział sieci komputerowych
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
SYRIUSZ – KONFERENCJA PSZ 2011 Dr inż. Jan Gąsienica-Samek – CRZL, kierownik projektu 1.12 Dr inż. Jan Gąsienica-Samek Kierownik projektu 1.12 Centrum.
Zintegrowany monitoring infrastruktury IT w Budimex
Specjalność INNOWACYJNY BINZES Katedra Informatyki Ekonomicznej Katedra Przedsiębiorczości i Zarządzania Innowacyjnego Katowice,
WYDZIAŁ ZARZĄDZANIA KRYZYSOWEGO
Mój region w Europie Wsparcie dla nowoczesnych form świadczenia usług drogą elektroniczną w ramach Działania 4.3. RPO WK-P Rozwój komercyjnych e-usług.
Projekt STARGARDZKI INTERNET SZEROKOPASMOWY planowany do realizacji ze środków Regionalnego Programu Operacyjnego Województwa Zachodniopomorskiego na.
Operator ARP Sp. z o.o. to założona przez państwową Agencję Rozwoju Przemysłu S.A. spółka, zajmująca się sprzedażą majątku przejętego od restrukturyzowanych.
Problematykę ochrony osób, mienia i informacji niejawnych normują:
Plan projektu biznesowego
IV Konferencja Naukowo-Techniczna "Nowoczesne technologie w projektowaniu, budowie.
Ewidencja Wyposażenia PL+
- Krajowe Repozytorium Obiektów Nauki i Kultury
Zapis prezentacji:

Założenia do ćwiczeń seria 1 do wykładów Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik

Opis działalności firmy (JO) JO. z siedzibą w mieście o dużym znaczeniu gospodarczym dla kraju, działa na rynku od 1992 roku. Początek jej działalności to usługi integracyjne w zakresie teleinformatyki oraz przygotowywanie na indywidualne zamówienia Klientów (dużych firm korporacyjnych) specjalistycznego oprogramowania zarządzającego dla kadr, finansów oraz projektami. Od 2002 roku firma zainwestowała w usługi hostingowe i kolokacji. JO. stał się operatorem telekomunikacyjnym obsługującym przede wszystkim klientów biznesowych oraz administrację państwową. Serwerownie znajdują się w na terenie siedziby firmy, ale JO. zainwestowała w budowę i wyposażenie nowych serwerowni ukierunkowanych wyłącznie pod klientów biznesowych, z lokalizacją w dwóch dużych miastach w Polsce. Firma korzysta z infrastruktury czołowych operatorów, ale także posiada i swoje zasoby telekomunikacyjne. JO. sprzedaje swoje usługi na terenie całego kraju. Na kluczowych rynkach firma działa przez swoich partnerów, podpisując z nimi umowy na wyłączność na danym obszarze. W Polsce sprzedaż K prowadzą mobilni handlowcy podlegające bezpośrednio Departamentowi Sprzedaży (DS). W roku obecnym firma podpisała kontrakt na dostarczenie dla resortu obronny narodowej MON, urządzeń kryptograficznych do wynajmowanej serwerowni.

Lokalizacja JO (firmy) Firma zlokalizowana jest blisko centrum miasta. Na terenie firmy znajduje się VII piętrowy gł. budynek biurowy, budynek kolokacji, budynek magazynu, serwerownia nr 3 oraz stacja trafo. Kancelaria tajna wraz z pomieszczeniem do przetwarzania informacji niejawnych w systemach TI znajduje się w zabezpieczonej strefie, na IV piętrze. Teren jest ogrodzony płotem o konstrukcji betonowo-stalowej z lat 80-stych ubiegłego wieku. Teren jest chroniony przez 4 pracowników agencji ochrony w trybie 24H. Na teren można wjechać oraz wejść od strony zachodniej oraz północnej poprzez chronione i nadzorowane bramy ze szlabanami oraz chronione przez pracowników agencji ochrony. Od strony zachodniej obok płotu znajduje centrum handlowe wraz z zapleczem parkingowym Od strony wschodniej teren firmy otacza zalesiony przy ogrodzeniu park miejski będący miejscem spotkań młodzieży z pobliskiej szkoły zawodowej Przez park płynie rzeka, która już kilka razy zalewała teren parku i okoliczna drogę. Około 200m od ogrodzenia od strony południowej zlokalizowana jest stacja benzynowa. Poprzez ulicę od strony północnej firma sąsiaduje z Ratuszem miejskim, w którym ma siedzibę także biuro poselskie lidera partii rządzącej. W odległości ok. 2 km na zachód zlokalizowane są nowoczesne biura i apartamenty W dalszej części znajduje się jednostka straży pożarnej oraz stacja kolejowa.

Infrastruktura techniczna firmy (JO) Firma inwestuje w rozwój nowoczesnej infrastruktury technicznej. Budynek główny oraz serwerownie wyposażone są nowoczesną technologię automatyki obiektowej sterującej parametrami środowiska, w tym klimatyzacja, wilgotnością i temperatura niezbędną do pracy ludzi i urządzeń IT. Wszystkie obiekty firmy podłączone są do sieci LAN. Firma posiada komunikacyjne wyjścia światłowodowe do transmisji w sieci WAN. Na stanie firmy znajduje się własna, jak i dzierżawiona oraz klientów (w serwerowniach) nowoczesna infrastruktura IT, w tym szafy, serwery, routery, urządzenia do transmisji itd.. Każdy pracownik ma dostęp do sieci LAN poprzez stacje komputerowe a pracownicy w terenie oraz handlowcy dodatkowo wyposażeni są w laptopy oraz mobilne urządzenia komunikacyjne umożliwiające pracę zdalną. Teren i obiekty firmy chronione są systemami alarmowymi, wejścia do pomieszczeń oraz stref wrażliwych nadzorowane są systemem kontroli dostępu oraz nadzorowane systemem telewizji dozorowej CCTV. Dodatkowo serwerownie chronione są systemem automatycznego gaszenia gazem obojętnym.

Zabezpieczenie elektroniczne strefy bezpieczeństwa – kancelarii tajnej

Objaśnienie symboli

Ćwiczenie nr 1. Inwentaryzacja zasobów informacyjnych, klasyfikacja, określenie zagrożeń, podatności

Polecenia do wykonania w ćwiczeniu nr 1: Dokonaj inwentaryzacji zasobów (aktywów) lub grupy zasobów informacji niejawnych , wskaż ich właścicieli oraz lokalizację. Wskaż główne procesy biznesowe firmy oraz przydziel do nich niezbędne zasoby, pamiętając, że jeden zasób może uczestniczyć w kilku procesach. Oceń ważność procesów i zasobów w nich użytych jako: Niska (Bez większego na skutki) =1 Średnia (Normalne, nie zbyt odczuwalne skutki) = 2 Wysoka (Wrażliwe dla procesu ze względu na skutki) = 3 B. wysoka (Krytyczne dla procesu ze względu na katastrofalne skutki) - 4 Wskaż procesy oraz zasoby krytyczne i wrażliwe dla funkcjonowania firmy. Analiza każdego zagrożenia powinna być oceniana w ujęciu poufności, integralności i dostępności . Wszystkie analizy przeprowadź stosując zintegrowane tabele analityczne, pozwalające odczytać kolejne fazy zależności.

Szacowanie ryzyka realizacji systemu alarmowego zgodnie z wymaganiami PN ISO/IEC 27005:2010 Tabela nr 1 Inwentaryzacja aktywów niezbędnych w procesie przetwarzania IN w JO Lp. Wyszczególnienie aktywu Lokalizacja aktywu/właściciel Skala ważności aktywu (wartości) w procesie Zagrożenia podstawowe Przyczyny podatności (słabości aktywa) ze względu na poufność/integralność/dostępność Przyczyny podatności (słabości aktywa) ze względu na poufność/integralność/dostępność I Aktywa podstawowe- podać nazwę niska = 1 średnia = 2 wysoka (aktywo wrażliwe) = 3 b.wysoka (aktywo krytyczne) = 4 a b c d e f g h i 1 Procesy i działania biznesowe   1.1 2 Informacje 2.1 II Aktywa wspierające Sprzęt Oprogramowanie 2.4 Aplikacje biznesowe 2.4.1 3 Sieć 3.1 Media i usługi wspierające 4 Personel 4.1 5 Siedziba 5.1 Lokalizacja 5.1.1 6 Organizacja 6.1

Ćwiczenie nr 2. zagrożenia i ich ocena (określenie zagrożeń, pomiar ryzyka)

Polecenia do wykonania w ćwiczeniu nr 2: Proszę wykonać szacowanie ryzyka na podstawie danych opracowanych w ćwiczeniu nr 1. Przyjąć metodykę szacowania ryzyka – klasyfikację prawdopodobieństwa wystąpienia zagrożenia, skutku i ryzyka; Określić wartość następstw zmaterializowania się zagrożeń wg tabeli od 0 (b.niskie) do 4 (b.wysokie); Prawdopodobieństwo urzeczywistnienia się zagrożenia (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4); Dokonać pomiaru poziomu ryzyka, określając prawdopodobieństwo wystąpienia zagrożenia x nastepstw Na podstawie analizy ryzyka proszę wskazać krytyczne i wrażliwe procesy.

Określenie poziomów ryzyka Tabele oceny Wartość następstw: Prawdopodobieństwo wystąpienia zagrożenia: Bardzo niskie - 0 Niskie -1 Średnie -2 Wysokie -3 Bardzo wysokie - 4 Tabela nr 2 Analiza zagrożeń i szacowanie ryzyka lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Opis zagrożenia (rodzaje zagrożeń wg znormalizowanej tabeli w zakładce typy zagrożeń lub własnych określeń) Przyczyny podatności (słabości aktywa) ze względu na poufność/integralność/dostępność Wartość następstw biznesowych (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4) Prawdopodobieństwo urzeczywistnienia się zagrożenia (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4) Miara ryzyka (dxe) wg atrybutu d x f a b c d f g 1   2 3 4 5

Ćwiczenie nr 3. plan postępowania z ryzykiem

Polecenia do wykonania w ćwiczeniu nr 3: Na podstawie danych opracowanych w ćwiczeniu nr 2 proszę przygotować plan postępowania z ryzykiem, uwzględniający m.in.: Określić ranking zagrożeń dla określonych aktywów (zasobów) wg najwyższej wartości Koncepcję postępowania z ryzykiem na podstawie dokonanego pomiaru ryzyka. Opisać planowane zadania Przydzielić zasoby i odpowiedzialności Przygotować harmonogram realizacji oraz zasady kontroli przebiegu.

Określenie rankingu zagrożeń Tabela nr 3 Analiza zagrożeń i szacowanie ryzyka – ranking zagrożeń lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tab. 1 Opis zagrożenia (rodzaje zagrożeń wg znormalizowanej tabeli w zakładce typy zagrożeń lub własnych określeń) z tab. 2 Miara ryzyka Z tab. 2 Ranking zagrożeń (wg najwyższych wartości obliczonego ryzyka) a b c d e 1   2 3 4 5

Opracowanie planu postępowania z ryzykiem Tabela oceny wg wartości punktowej: Unikanie: > 16 pktów Redukowanie: 8 - 15 pktów Przeniesienie: 5 - 7 pktów Zachowanie: poniżej 4 Tabela nr 4 Plan postępowania z ryzykiem lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Wartość szacowania ryzyka (przeniesienie z tab. 2) Warianty postępowania z ryzykiem (wpisać wynik) Czy postępowanie satysfakcjonujące? T- dalej; Nie - powrót do tab. 2 Czy odpowiedzialny za proces szacowania ryzyka potwierdza akceptację? T- dalej; Nie - powrót do tab. 2 R -Redukowanie; Z - Zachowanie; U - Unikanie; P - Przeniesienie a b c d h i 1   2 3 4 5

Harmonogram realizacji postępowania z ryzykiem Tabela nr 5 Realizacja planu postępowania z ryzykiem lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Warianty postępowania z ryzykiem z tab. 4 Podjęte działania postępowania z ryzykiem (opisać) Niezbędne aktywa (środki) postępowania z ryzkiem (opis) Planowany termin realizacji Odpowiedzialny Kontrola wykonania Ocena efektywności wykonania a b c d e f g h i 1   2 3 4 5