Zarządzania Bezpieczeństwem Warto a może Nie?

Slides:



Advertisements
Podobne prezentacje
Juan Pablo Concari Anzuola
Advertisements

Słabe strony administracji publicznej wg Narodowej Strategii Spójności 2007
SKUTECZNOŚĆ i EFEKTYWNOŚĆ SYSTEMU

Kompleksowe zarządzanie bezpieczeństwem informacji
Czy warto wdrażać ISO w Banku Spółdzielczym
BEZPIECZEŃSTWO DANYCH W KOMPUTERZE
SYSTEM ZARZĄDZANIA JAKOŚCIĄ
ZASADY AUDITOWANIA ZARZĄDZANIE PROGRAMEM AUDITÓW
1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.
Administracja zintegrowanych systemów zarządzania
Eksploatacja zasobów informatycznych przedsiębiorstwa
Jakość systemów informacyjnych (aspekt eksploatacyjny)
RYZYKO OPERACYJNE Jak przeciwdziałać mu w praktyce?
Artur Szmigiel Paweł Zarębski Kl. III i
Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.
Jakość i niezawodność systemu informacyjnego
Adam Walicki - 30 września 2010
System ułatwiający zarządzanie Jednostką
BCMS czyli……… 1.
AKREDYTACJA LABORATORIUM Czy warto
Kompleksowe zarządzanie jakością informacji (TIQM)
Digitalizacja obiektów muzealnych
GRC.
COBIT 5 Streszczenie dla Kierownictwa
Wewnętrzny system zapewniania jakości PJWSTK - główne założenia i kierunki działań w ramach projektu „Kaizen - japońska jakość w PJWSTK” Projekt współfinansowany.
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Sieciowe Systemy Operacyjne
7-8 listopada 2007 Central European Outsourcing Forum
Justyna Gryz Jacek Losiak Michał Borsuk Adam Dargacz
Bezpieczeństwo fizyczne i techniczne systemów i sieci komputerowych
Andrzej Łęszczak Konsultant systemów zarządzania
Zmiany w wymaganiach normy ISO (w kontekście EMAS)
dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP
Przewidywany harmonogram dostosowania do zmian akredytowanej certyfikacji wg ISO 14001:2015 Barbara Zengel Warszawa, r.
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Razem tworzymy bezpieczny Internet
Bezpieczeństwo systemów informatycznych
Zasady korzystania z Internetu
Uprawnienia w Windows Server
Zarządzanie bezpieczeństwem sieci akademickiej
Przygotowali: Anna Farion Dariusz Droździel
Wdrażanie SYSTEMU Jacek WĘGLARCZYK.
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
Ergonomia procesów informacyjnych
Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ergonomia procesów informacyjnych
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Zagrożenia i ochrona systemu komputerowego
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Monitoring efektów realizacji Projektu PL0100 „Wzrost efektywności działalności Inspekcji Ochrony Środowiska, na podstawie doświadczeń norweskich” Ołtarzew:
Zintegrowany monitoring infrastruktury IT w Budimex
1 © copyright by Piotr Bigosiński DOKUMENTACJA SYSTEMU HACCP. USTANOWIENIE, PROWADZENIE I UTRZYMANIE DOKUMENTACJI. Piotr Bigosiński 1 czerwiec 2004 r.
Bezpieczeństwo informacyjne i informatyczne państwa
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Zarządzanie ryzykiem w projektach Poznań, r.
Faza 1: Faza zaprojektowania systemu monitoringu projektu: 1. Inwentaryzacja obietnic złożonych sponsorowi we wniosku - przegląd założeń projektu, opracowanie.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
COBIT 5 Streszczenie dla Kierownictwa
Prowadzący: Krzysztof Janicki, Auditor Wiodący PRS Certyfikacja
Ochrona danych osobowych a obsługa incydentu
PROGRAMY DO KONTROLI RODZICIELSKIEJ
PROGRAMY DO KONTROLI RODZICIELSKIEJ
„Bezpieczeństwo informacji w IPN.
Zapis prezentacji:

Zarządzania Bezpieczeństwem Warto a może Nie? Zachodniopolski Uniwersytet Technologiczny Wydział Informatyki Pracownia Ochrony Informacji Zarządzania Bezpieczeństwem Warto a może Nie? dr inż. Imed El Fray

Plan prezentacji Dlaczego zarządzania bezpieczeństwem? Co to jest zarządzania bezpieczeństwem? Czy można zaufać systemowi które niby dobrze jest zarządzane? Jak można dobrze zarządzać bezpieczeństwem? Wymagania Zarządzania Bezpieczeństwa

Dlaczego Zarządzania bezpieczeństwem? Bankomat

Dlaczego Zarządzania bezpieczeństwem? Bankomat

Dlaczego Zarządzania bezpieczeństwem? Phishing (alternatywnie: carding i spoofing)

Dlaczego Zarządzania bezpieczeństwem? Najczęstsze przyczyny szkód w systemach IT (wg Datapro Research)

Dlaczego Zarządzania bezpieczeństwem? Kto jest sprawcą szkód w systemach IT (wg Datapro Research)

Dlaczego Zarządzania bezpieczeństwem? Typy przestępstw komputerowych (wg Datapro Research)

Dlaczego Zarządzania bezpieczeństwem? Główne kierunki ataków (wg CSO 2005)

Dlaczego Zarządzania bezpieczeństwem? Skąd firma dowiedziała się o ataku (wg CSO 2005)

Dlaczego Zarządzania bezpieczeństwem? Kto został poinformowany o ataku (wg CSO 2005)

Dlaczego Zarządzania bezpieczeństwem? Procent firm deklarujących wystąpienie poważnych incydentów (wg CSO 2005)

Co to jest zarządzania bezpieczeństwem? ZBSI jest procesem, który jego celem jest: określania strategii bezpieczeństwa organizacji, zidentyfikowania i klasyfikowaniu zasobów, zidentyfikowania i zanalizowaniu zagrożeń i podatności systemu, zidentyfikowania i przeanalizowaniu ryzyka, określenia odpowiednich zabezpieczeń, monitorowania procesu wdrożenia i działania zabezpieczeń, opracowania i wdrażaniu programu uświadamiania dot. bezpieczeństwa oraz wykrywaniu i reagowaniu na incydenty Wiedzieć co realnie zagraża systemowi Odpowiednio zabezpieczyć system Utrzymywanie przejęty poziom bezpieczeństwa

Czy można zaufać systemowi które niby dobrze jest zarządzane? Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ. „Nie ma pewności, że dany podatników w Urzędach Skarbowych są całkowicie bezpiecznie” –cytat Wojewódzkiego Sądu Administracyjnego w Warszawie. Poufne dane z Banku Millennium znalazły się na wysypisko. Numery kart płatniczych, dane osobowe, faktury, informacje o kontach itp. Banku Millennium wylądowało na złomowisku. Przy niskiej świadomości personelu i kierownictwo dotycząca zagrożeń i braku lojalności personelu względem własnej firmie równa zero zaufania

Jak można dobrze zarządzać bezpieczeństwem? ISMS – System Zarządzania Bezpieczeństwem Informacji Ustanowienie polityki bezp., cele, zakres stosowania, procesy i procedury odpow. zarządzaniu ryzykiem oraz zwiększające bezp. Informacji. Wdrożenie i eksploatacja polityki bezp. Zabezpieczeń, procesów i procedur Cykl opracowywania, utrzymywania i doskonalenia modelu PDCA Szacowanie oraz tam, gdzie ma zastosowane pomiar wykonania procesów w odniesieniu do polityki, cele itp.. Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo Wymagania i oczekiwania dla bezpieczeństwa informacji Zarządzanie bezpieczeństwem informacji (ISO/IEC 27001)

Wymagania Zarządzania Bezpieczeństwem (Normy ISO/IEC 27001:2005)

Plan Dlaczego Norma ISO/IEC 27001:2005 jest potrzebna Istotne zagrożenie dla bezpieczeństwa informacji Główne czynniki mające wpływ na działaniach podejmowanych przez instytucje w zakresie bezpieczeństwa informacji Świadomość szczebla kierowniczego o problematyce bezpieczeństwa Co zawiera Normy ISO/IEC 27001:2005 Proces wdrażanie wymagań Normy w firmie

Dlaczego Norma ISO 27001:2005 jest potrzebna (1/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005

Dlaczego Norma ISO 27001:2005 jest potrzebna (2/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005

Dlaczego Norma ISO 27001:2005 jest potrzebna (3/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005

Co zawiera Normy ISO/IEC 27001:2005 Wprowadzenie Zakres normy Powołania Terminy i definicje System zarządzania bezpieczeństwem informacji Odpowiedzialność kierownictwa Wewnętrzne audity ISMS Przegląd zarządzania ISMS Doskonalenie ISMS Załącznik: Cele zabezpieczeń i zabezpieczenia

Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A5. Polityka Bezpieczeństwa Informacji Wsparcia kierownictwa dla bezpieczeństwa informacji A6. Organizacja bezpieczeństwa informacji Określenie odpowiedzialności i zasad zarządzania bezpieczeństwa informacji wewnątrz organizacji Określenie ryzyka związane z dostępem stron trzecich do zasobów organizacji A7. Zarządzanie aktywami Określenie odpowiedzialności za aktywa organizacji Zidentyfikowanie, definiowanie i klasyfikowanie informacji oraz określenie właściwych dla nich poziomów ochrony

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A A.7 Zarządzanie aktywami

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 7.1.1 Następujące wytyczne i zabezpieczenia: Zewnętrzne ściany powinny mieć solidną konstrukcję i wszystkie zewnętrzne drzwi powinny być odpowiednio zabezpieczone przed nieuprawnionym dostępem (tzn. stosować mechanizmy kontroli dostępu, alarmy, zamki, itp.), Powinno być uruchomione stanowisko recepcyjne obsługiwane przez człowieka lub zapewnione inne środki kontroli fizycznego dostępu, Bariery fizyczne powinny, jeśli to jest konieczne, być rozciągnięte od właściwej podłogi do właściwego sufitu w celu zapobiegania nieuprawnionemu wejściu i zanieczyszczeniu środowiska spowodowanemu przez takie czynniki, jak pożar lub zalanie. Wszystkie drzwi pożarowe w obwodzie budynku powinny być zabezpieczone alarmem i wyposażone w zamek samozatrzaskowy.

Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A8. Bezpieczeństwo osobowe Zapewnienie bezpieczeństwa procesu rekrutacji (niekaralność, przepisanie ról itp.) Uświadomienie pracowników, wytyczenie im zakres odpowiedzialności i obowiązków (co zrobić w przypadku zagrożenie dla informacji organizacji) Zapewnienie prawidłowości procesu derekrutacji (zwrot aktywów, blokowanie praw dostępu itp.) A9. Bezpieczeństwo fizyczne i środowiskowe Zapobieganie nieautoryzowanemu wtargnięciu na terenie organizacji lub zakłóceniu jej działania Zapobieganie utracie, uszkodzeniu, kradzieży i niszczenie wyposażenia organizacji.

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A A.9 Bezpieczeństwo fizyczne i środowiskowe

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 9.2.2 Następujące wytyczne i zabezpieczenia: Przywileje powinny być przydzielane poszczególnym osobom zgodnie z zasadą konieczności użycia i zasady indywidualnego traktowania każdego przypadku, tzn. według minimalnych wymagań wynikających z przydzielonych im zadań i tylko wtedy, gdy jest to konieczne. Należy zrealizować proces autoryzacji i dokonać zapisu wszystkich przydzielanych przywilejów. Przywileje nie powinny być przyznawane przed zakończeniem procesu autoryzacji. Przywileje powinny być przyznawane użytkownikom na inne konta, niż używane w normalnej działalności biznesowej.

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 9.3.1 Użytkownicy którym przyznano im Hasło są zobowiązani: Utrzymywać hasła w tajemnicy, unikać zapisywania je na papierze i niezwłocznie zmieniać je w przypadkach, gdy cokolwiek mogłoby wskazywać na możliwość włamania do systemu lub ujawnienia je, Wybierać hasła o minimalnej długości sześciu znaków, które: są łatwe do zapamiętania, nie są oparte na prostych skojarzeniach, nie zawierają ciągu jednakowych znaków (musi być kombinacja liczb, znaków itp.). Zmieniać hasła w regularnych odstępach czasu lub po wykonaniu określonej liczby rejestrowania się w systemie (unikać powtarzania haseł), Zmieniać hasła tymczasowe podczas pierwszego zarejestrowania się w systemie, Nie udostępniać swoich haseł innym użytkownikom (tzn. nie dać się nabrać na sztuczki socjotechniki).

Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A10. Zarządzanie systemami i sieciami Zapewnienie bezpieczeństwa urządzeń przetwarzających informacje, Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie, Minimalizacje ryzyka wystąpienia awarii systemu, Zapewnienie integralności oprogramowania i informacji, Zapewnienie integralności i dostępności kopii informacji i zabezpieczenie miejsc ich przetwarzania, Zapewnienie bezpieczeństwa informacji w sieci, Zapewnienie możliwości wykrycia nieuprawnionego przeglądania, przetwarzania i kopiowania informacji.

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A

10.3.3 Podpisy cyfrowe zapewniają ochronę autentyczności i Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 10.3.3 Podpisy cyfrowe zapewniają ochronę autentyczności i integralności dokumentów elektronicznych. Podpis można zrealizować: przy użyciu techniki kryptograficznej opartej na związanej jednoznacznie ze sobą parze kluczy, z których jeden jest używany do tworzenia podpisu (klucz prywatny), a drugi do sprawdzania podpisu (klucz publiczny), ochrona integralności klucza publicznego można zapewnić dzięki certyfikaty klucza publicznego, używając podpisów cyfrowych, należy uwzględniać wszelkie regulacje prawne określające warunki, które muszą być spełnione, aby podpis cyfrowy był prawnie wiążący (nabywać w odpowiednim centrum certyfikacyjnym certyfikat uprawniające do użycie klucze np.. Certum, verysign itp.).

Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A11. Kontrola dostępu do systemu Określenie polityki kontroli dostępu do informacji i do systemów informacyjnych, Zapobieganiu nieuprawnionemu dostępowi do informacji i do systemów informacyjnych (w tym systemy i usługi sieciowe, systemy operacyjne, aplikacje biznesowe itp.), jak również ich zniszczeniu, modyfikacji oraz kradzieży, Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej.

Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A12. Pozyskanie, rozwój i utrzymanie systemów Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach, Zapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii, Zapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem, Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji.

Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A13. Zarządzanie incydentami bezpieczeństwa Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podejście na czas stosownych działań, Zapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa.

Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A14. Zarządzanie ciągłością działania Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności A15. Zgodność z prawem Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą organizacji, Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji, Zapewnienie audyty systemów

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A

Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 12.1.2 Działania zgodnie z prawem wymaga wprowadzenie następujących zabezpieczeń: szerzenie wiedzy o przestrzeganiu praw autorskich i polityki pozyskiwania oprogramowania oraz wprowadzenie sankcji dyscyplinarnych za ich naruszanie, prowadzenie odpowiednich rejestrów aktywów, przechowywanie dowodów własności licencji, oryginalnych dysków, podręczników, itp., zastosowanie środków kontroli przekroczenia maksymalnej dozwolonej liczby użytkowników, przeprowadzanie kontroli sprawdzających, czy zainstalowano tylko legalne i licencjonowane oprogramowanie, prowadzenie polityki niszczenia lub przekazywania oprogramowania, używanie odpowiednich narzędzi audytu.

Proces wdrażanie wymagań Normy w organizacji Wdrożenie i certyfikacji systemu Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Minimalizacji Ryzyka Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Minimalizacji Ryzyka Certyfikacja systemu