Eksploatacja zasobów informatycznych przedsiębiorstwa

Slides:



Advertisements
Podobne prezentacje
Juan Pablo Concari Anzuola
Advertisements

Kompleksowe zarządzanie bezpieczeństwem informacji
Rola komputera w przetwarzaniu informacji.
Michał Sztąberek iSecure Sp. z o.o.
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Platforma A2A PA2A.
Dyrektor Departamentu Zarządzania Europejskim Funduszem Społecznym
DOKUMENTOWANIE PROCESU ZINTEGROWANEGO
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
MINISTERSTWO OBRONY NARODOWEJ POLITYKA KADROWA W SIŁACH ZBROJNYCH RP
STRATEGIA WDRAŻANIA PROJEKTU INNOWACYJNEGO TESTUJĄCEGO STRATEGIA WDRAŻANIA PROJEKTU INNOWACYJNEGO TESTUJĄCEGO l istopad 2010 rok Projekt współfinansowany.
Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach na przykładzie Wojewódzkiego Centrum Zarządzania Siecią
Jakość systemów informacyjnych (aspekt eksploatacyjny)
Aktualne zagadnienia prawne.
Formalna definicja systemu informatycznego
Bezpieczeństwo baz danych
Wykład 2 Cykl życia systemu informacyjnego
Szkolenie w zakresie ochrony danych osobowych
REJESTR DZIAŁAŃ RATOWNICZYCH
Środki bezpieczeństwa
AKREDYTACJA LABORATORIUM Czy warto
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
Kompleksowe zarządzanie jakością informacji (TIQM)
Digitalizacja obiektów muzealnych
GRC.
Wewnętrzny system zapewniania jakości PJWSTK - główne założenia i kierunki działań w ramach projektu „Kaizen - japońska jakość w PJWSTK” Projekt współfinansowany.
Microsoft Solution Framework
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
7-8 listopada 2007 Central European Outsourcing Forum
Usługi BDO - odpowiedź na realne potrzeby rynku
Kick-off meeting PROJEKT „Poprawa zdolności administracyjnych
Zarządzanie Energią i Teleinformatyka ZET 2013 Nałęczów lutego 2013 r.
dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
w projekcie PROCESY CELE KOMPETENCJE
Bezpieczeństwo systemów informatycznych
Audyt wewnętrzny jako źródło oceny kontroli zarządczej w jednostce
Przygotowali: Anna Farion Dariusz Droździel
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ergonomia procesów informacyjnych
Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ergonomia procesów informacyjnych
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Moduł e-Kontroli Grzegorz Dziurla.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
OCENA RYZYKA ZAWODOWEGO
1 © copyright by Piotr Bigosiński DOKUMENTACJA SYSTEMU HACCP. USTANOWIENIE, PROWADZENIE I UTRZYMANIE DOKUMENTACJI. Piotr Bigosiński 1 czerwiec 2004 r.
Bezpieczne korzystanie z internetu Bezpieczne korzystanie z internetu.
Kontrola zarządcza w jednostce budżetowej
Bezpieczeństwo informacyjne i informatyczne państwa
SYSTEM ZARZĄDZANIA KRYZYSOWEGO Starostwo Powiatowe w Wągrowcu
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Umowa o Partnerstwie na rzecz Rozwoju - założenia Departament Zarządzania Europejskim Funduszem Społecznym Ministerstwo Gospodarki i Pracy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Praktyczne aspekty procesu opracowywania dokumentów
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
CENTRUM KSZTAŁCENIA PODYPLOMOWEGO PIELĘGNIAREK I POŁOŹNYCH
Włącznie inspektora ochrony danych w proces zarządzania projektami
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
„Bezpieczeństwo informacji w IPN.
Zarządzanie ryzykiem - element kontroli zarządczej
Zapis prezentacji:

Eksploatacja zasobów informatycznych przedsiębiorstwa

Ochrona zasobów

Ochrona zasobów Obejmuje ochronę: Zagrożenia: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Zagrożenia zamierzone Pasywne: monitorowanie, podgląd, Aktywne: Powielanie programów, Oszustwa, Wymuszanie przerw w pracy systemu, Wykorzystanie sprzętu służbowego do celów prywatnych, Ujawnianie i usuwanie informacji gospodarczych.

Zagrożenia losowe Zewnętrzne: Temperatura, wilgotność, Wyładowania atmosferyczne, Awarie (zasilania, klimatyzacji, wodociągowe), Katastrofy Kataklizmy, Wewnętrzne: Błędy administratora, Defekty programowe lub sprzętowe, Błędy użytkowników, Zgubienie, zniszczenie danych.

Zabezpieczenia Fizyczne – zamykane pomieszczenia, szafy, przepustki, identyfikatory, Techniczne – urządzenia i oprogramowanie, alarmy, monitoring, Administracyjne – polityka bezpieczeństwa, analiza zagrożeń i ryzyka, procedury bezpieczeństwa, szkolenia i uświadamianie.

Ocena ryzyka Identyfikacja zagrożeń, Ocena prawdopodobieństwa wystąpienia strat, Ocena podatności zasobów na zagrożenia, Ocena strat i zniszczeń (potencjalnych), Identyfikacja działań minimalizujących ryzyko i potencjalne straty, Dokumentowanie, Opracowanie planów działań prewencyjnych.

Polityka zabezpieczania Polityka ogólnego planu zabezpieczeń, (Na wysokim poziomie ogólności) Polityka struktury programu zabezpieczeń, (Specyficzna dla każdej organizacji) Polityka zorientowana na przedsięwzięcia, (Skoncentrowana na zadaniach bieżących organizacji) Polityka zorientowana na systemy (Na poziomie ewidencji zasobów i zagrożeń). Według: National Institute of Standards and Technology (NIST) USA

Strategie zabezpieczania Fazy wdrażania strategii: Zrozumienie sytuacji obecnej, Zdefiniowanie środowiska najbardziej pożądanego, Ocena rozwiązań alternatywnych, najbardziej pożądanych, ocena ryzyka, Określenie najlepszej procedury postępowania, Rozpoczęcie wykonania planu.

Kategorie zabezpieczeń Kategoria A – ochrona zweryfikowana (formalna specyfikacja projektu zabezpieczeń i formalny model polityki zabezpieczeń), Kategoria B – ochrona narzucona (bezpieczeństwo wielopoziomowe, dostęp narzucony), Kategoria C – ochrona uznaniowa (użytkownik może odebrać lub nadać komuś innemu prawa dostępu), Kategoria D – ochrona minimalna (nie zawiera mechanizmów zabezpieczających). Według: Ministerstwo Obrony USA; raport: Kryteria oceny wiarygodności systemów komputerowych (Orange Book).

Kryteria oceny systemów informatycznych Poufność – ochrona przed ujawnieniem informacji, Integralność – ochrona przed modyfikacją, Dostępność – gwarancja uprawnionego dostępu, Rozliczalność – określenie i weryfikacja odpowiedzialności, Autentyczność – weryfikacja tożsamości, Niezawodność – gwarancja odpowiedniego zachowania się systemu.

Cz. 1. Polityka bezpieczeństwa informacji System Bezpieczeństwa Informacji Cz. 1. Polityka bezpieczeństwa informacji

System bezpieczeństwa informacji (SBI) Akty prawne Tworzenie dokumentacji SBI Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem, Inne (zalecenia, instrukcje, procedury). Wdrożenie SBI Eksploatowanie i opieka nad SBI

Dlaczego wdraża się SBI? Wymogi ustawowe Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dążenie do doskonalenia organizacji Informacje zawarte w oświadczeniu o intencjach

Polityka Bezpieczeństwa Struktury organizacyjne SBI, Oszacowanie ryzyka, Kształcenie w zakresie bezpieczeństwa informacji, Opis obszaru w którym przetwarzane są informacje, Opis przetwarzanych informacji, Opis środków technicznych i organizacyjnych, Audyty SBI.

Ochrona danych Dane osobowe: „Każda informacja dotycząca osoby fizycznej, pozwalająca na określenie jej tożsamości” Pozostałe dane: Dane finansowe, Dane związane z prowadzoną działalnością, Inne dane „wewnętrzne”.

Oświadczenie o intencjach - dlaczego Mając na uwadze akty prawne dotyczące ochrony danych komputerowych, Uwzględniając szeroko rozumiane dobro klientów, powiązanych instytucji organizacji, własnego przedsiębiorstwa i pracowników, Dążąc do ciągłego rozwoju i usprawniania własnej organizacji,

Oświadczenie o intencjach – deklarowane działania Zdąża się do zapewnienia maksymalnej, możliwej ochrony eksploatowanego systemu informatycznego. Wdrożona zostanie Polityka Bezpieczeństwa i jej postanowienia będą egzekwowane w maksymalnym, uzasadnionym zakresie. Dążyć się będzie do ciągłego podnoszenia poziomu bezpieczeństwa danych przetwarzanych w zasobach informatycznych przedsiębiorstwa.

Zarządzanie informacją (TISM) Pion administracyjny/ informatyczny POLITYKA BEZPIECZEŃSTWA INFORMACJI GRUPY INFORMACJI SYSTEMY PRZETWARZANIA GAI AI AS GABI ABI ABS DYREKTOR Pion bezpieczeństwa GABS

Struktura systemu bezpieczeństwa (TISM) Pion administracyjny GAI AI AS GABI ABI GABS ABS DYREKTOR Pion bezpieczeństwa GRUPA INFORMACJI SYSTEM PRZETWARZANIA POLITYKA BEZPIECZEŃSTWA

Struktura SBI - przykład

Zakres PB (1) 1. CEL I ZAKRES DOKUMENTU 2. DEFINICJA BEZPIECZEŃSTWA INFORMACJI 3. OŚWIADCZENIE O INTENCJACH 4. WYJAŚNIENIE TERMINOLOGII UŻYTEJ W POLITYCE, PODSTAWOWE DEFINICJE, ZAŁOŻENIA 5. ANALIZA RYZYKA 6. OKREŚLENIE OGÓLNYCH I SZCZEGÓLNYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Zakres PB (2) 7. OKREŚLENIE DZIAŁÓW ORGANIZACYJNYCH ORAZ STANOWISK ODPOWIEDZIALNYCH ZA WDRAŻANIE I PRZESTRZEGANIE ZASAD POLITYKI 8. WYMAGANIA DOTYCZĄCE KSZTAŁCENIA W DZIEDZINIE BEZPIECZEŃSTWA, ODPOWIEDZIALNE OSOBY, ZAKRES SZKOLENIA 9. SPOSÓB ZGŁASZANIA, KONSEKWENCJE I ODPOWIEDZIALNOŚĆ NARUSZENIA POLITYKI BEZPIECZEŃSTWA 10. ZAKRES ROZPOWSZECHNIANIA DOKUMENTU

Zakres PB (3) 11. WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE. 12. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH. 13. OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI

Zakres PB (4) 14. OKREŚLENIE POZIOMU BEZPIECZEŃSTWA 15. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH 16. WEWNĘTRZNY AUDYT BEZPIECZEŃSTWA DANYCH OSOBOWYCH I SYSTEMÓW DO ICH PRZETWARZANIA

Zwrotny adres: Polityka prywatności Zwrotny adres
О projekcie: SlidePlayer Regulamin

© 2024 SlidePlayer.pl Inc. All rights reserved.