Ergonomia procesów informacyjnych

Slides:



Advertisements
Podobne prezentacje
Juan Pablo Concari Anzuola
Advertisements

Kompleksowe zarządzanie bezpieczeństwem informacji
Rola komputera w przetwarzaniu informacji.
Krajowy System Informatyczny (KSI) – rola KSI w kontekście działań kontrolnych i procesu informowania o nieprawidłowościach,
Norma modelowa ISO 9001.
PROCES - baza systemu Jacek Węglarczyk.
SYSTEMY ZARZĄDZANIA - GENEZA
DOKUMENTOWANIE PROCESU ZINTEGROWANEGO
ZASADY AUDITOWANIA ZARZĄDZANIE PROGRAMEM AUDITÓW
Administracja zintegrowanych systemów zarządzania
Eksploatacja zasobów informatycznych przedsiębiorstwa
Jakość systemów informacyjnych (aspekt eksploatacyjny)
RYZYKO OPERACYJNE Jak przeciwdziałać mu w praktyce?
Bezpieczeństwo baz danych
Wykład 2 Cykl życia systemu informacyjnego
Szkolenie w zakresie ochrony danych osobowych
Środki bezpieczeństwa
Adam Walicki - 30 września 2010
BCMS czyli……… 1.
AKREDYTACJA LABORATORIUM Czy warto
Digitalizacja obiektów muzealnych
Politechnika Łódzka Instytut Chemicznej Technologii Żywności
GRC.
Wewnętrzny system zapewniania jakości PJWSTK - główne założenia i kierunki działań w ramach projektu „Kaizen - japońska jakość w PJWSTK” Projekt współfinansowany.
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
7-8 listopada 2007 Central European Outsourcing Forum
JAK SKUTECZNIE WDROŻYĆ SYSTEM ZARZĄDZANIA JAKOŚCIĄ
Usługi BDO - odpowiedź na realne potrzeby rynku
Justyna Gryz Jacek Losiak Michał Borsuk Adam Dargacz
Andrzej Łęszczak Konsultant systemów zarządzania
Zmiany w wymaganiach normy ISO (w kontekście EMAS)
dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Systemy zarządzania bezpieczeństwem i higieną pracy.
w projekcie PROCESY CELE KOMPETENCJE
Bezpieczeństwo systemów informatycznych
Zarządzanie zagrożeniami
Audyt wewnętrzny jako źródło oceny kontroli zarządczej w jednostce
Przygotowali: Anna Farion Dariusz Droździel
Eksploatacja zasobów informatycznych przedsiębiorstwa.
KOMPANIA WĘGLOWA S.A..
HARMONOGRAM WDRAŻANIA APLIKACJI MUNSOL W GMINIE KRAPKOWICE
Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ergonomia procesów informacyjnych
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Moduł e-Kontroli Grzegorz Dziurla.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
OCENA RYZYKA ZAWODOWEGO
Monitoring efektów realizacji Projektu PL0100 „Wzrost efektywności działalności Inspekcji Ochrony Środowiska, na podstawie doświadczeń norweskich” Ołtarzew:
1 © copyright by Piotr Bigosiński DOKUMENTACJA SYSTEMU HACCP. USTANOWIENIE, PROWADZENIE I UTRZYMANIE DOKUMENTACJI. Piotr Bigosiński 1 czerwiec 2004 r.
Kontrola zarządcza w jednostce budżetowej
Bezpieczeństwo informacyjne i informatyczne państwa
SYSTEM ZARZĄDZANIA KRYZYSOWEGO Starostwo Powiatowe w Wągrowcu
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Metoda weryfikacji zakresu wdrożenia standardu ISO w przedsiębiorstwach Prowadzący: Krzysztof Janicki, Auditor Wiodący PRS Certyfikacja Termin i.
Faza 1: Faza zaprojektowania systemu monitoringu projektu: 1. Inwentaryzacja obietnic złożonych sponsorowi we wniosku - przegląd założeń projektu, opracowanie.
GROUP Systemy zarządzania wg norm ISO w placówkach medycznych – skuteczne narzędzie zarządzania Prof. dr hab. Marek Bugdol – Auditor Wiodący IMQ Dorota.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Mgr inż. Rafał WIELGUS Praktyczne zasady zabezpieczania informacji na zgodność z PN ISO/IEC na przykładzie systemu operacyjnego Windows 7.
DOSTOSOWANIE GOSPODARSTWA ROLNEGO DO MINIMALNYCH WYMOGÓW WZAJEMNEJ
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
CENTRUM KSZTAŁCENIA PODYPLOMOWEGO PIELĘGNIAREK I POŁOŹNYCH
ISO 9001:2008 SYSTEM ZARZĄDZANIA JAKOŚCIĄ w SP ZOZ WSPR w BIAŁYMSTOKU.
Przetwarzanie danych osobowych - dokumentacja
Ochrona danych osobowych w placówce oświatowej
Zapis prezentacji:

Ergonomia procesów informacyjnych

Ochrona zasobów

Ochrona zasobów Obejmuje ochronę: Zagrożenia: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Zagrożenia zamierzone Pasywne: monitorowanie, podgląd, Aktywne: Powielanie programów, Oszustwa, Wymuszanie przerw w pracy systemu, Wykorzystanie sprzętu służbowego do celów prywatnych, Ujawnianie i usuwanie informacji gospodarczych.

Zagrożenia losowe Zewnętrzne: Temperatura, wilgotność, Wyładowania atmosferyczne, Awarie (zasilania, klimatyzacji, wodociągowe), Katastrofy Kataklizmy, Wewnętrzne: Błędy administratora, Defekty programowe lub sprzętowe, Błędy użytkowników, Zgubienie, zniszczenie danych.

Zabezpieczenia Fizyczne – zamykane pomieszczenia, szafy, przepustki, identyfikatory, Techniczne – urządzenia i oprogramowanie, alarmy, monitoring, Administracyjne – polityka bezpieczeństwa, analiza zagrożeń i ryzyka, procedury bezpieczeństwa, szkolenia i uświadamianie.

Ocena ryzyka Identyfikacja zagrożeń, Ocena prawdopodobieństwa wystąpienia strat, Ocena podatności zasobów na zagrożenia, Ocena strat i zniszczeń (potencjalnych), Identyfikacja działań minimalizujących ryzyko i potencjalne straty, Dokumentowanie, Opracowanie planów działań prewencyjnych.

Polityka zabezpieczania Polityka ogólnego planu zabezpieczeń, (Na wysokim poziomie ogólności) Polityka struktury programu zabezpieczeń, (Specyficzna dla każdej organizacji) Polityka zorientowana na przedsięwzięcia, (Skoncentrowana na zadaniach bieżących organizacji) Polityka zorientowana na systemy (Na poziomie ewidencji zasobów i zagrożeń). Według: National Institute of Standards and Technology (NIST) USA

Strategie zabezpieczania Fazy wdrażania strategii: Zrozumienie sytuacji obecnej, Zdefiniowanie środowiska najbardziej pożądanego, Ocena rozwiązań alternatywnych, najbardziej pożądanych, ocena ryzyka, Określenie najlepszej procedury postępowania, Rozpoczęcie wykonania planu.

Kategorie zabezpieczeń Kategoria A – ochrona zweryfikowana (formalna specyfikacja projektu zabezpieczeń i formalny model polityki zabezpieczeń), Kategoria B – ochrona narzucona (bezpieczeństwo wielopoziomowe, dostęp narzucony), Kategoria C – ochrona uznaniowa (użytkownik może odebrać lub nadać komuś innemu prawa dostępu), Kategoria D – ochrona minimalna (nie zawiera mechanizmów zabezpieczających). Według: Ministerstwo Obrony USA; raport: Kryteria oceny wiarygodności systemów komputerowych (Orange Book).

Kryteria oceny systemów informatycznych Poufność – ochrona przed ujawnieniem informacji, Integralność – ochrona przed modyfikacją, Dostępność – gwarancja uprawnionego dostępu, Rozliczalność – określenie i weryfikacja odpowiedzialności, Autentyczność – weryfikacja tożsamości, Niezawodność – gwarancja odpowiedniego zachowania się systemu.

Cz. 1. Polityka bezpieczeństwa informacji System Bezpieczeństwa Informacji Cz. 1. Polityka bezpieczeństwa informacji

System bezpieczeństwa informacji (SBI) Akty prawne Tworzenie dokumentacji SBI Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem, Inne (zalecenia, instrukcje, procedury). Wdrożenie SBI Eksploatowanie i opieka nad SBI

Dlaczego wdraża się SBI? Wymogi ustawowe Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dążenie do doskonalenia organizacji Informacje zawarte w oświadczeniu o intencjach

Polityka Bezpieczeństwa Struktury organizacyjne SBI, Oszacowanie ryzyka, Kształcenie w zakresie bezpieczeństwa informacji, Opis obszaru w którym przetwarzane są informacje, Opis przetwarzanych informacji, Opis środków technicznych i organizacyjnych, Audyty SBI.

Ochrona danych Dane osobowe: „Każda informacja dotycząca osoby fizycznej, pozwalająca na określenie jej tożsamości” Pozostałe dane: Dane finansowe, Dane związane z prowadzoną działalnością, Inne dane „wewnętrzne”.

Oświadczenie o intencjach - dlaczego Mając na uwadze akty prawne dotyczące ochrony danych komputerowych, Uwzględniając szeroko rozumiane dobro klientów, powiązanych instytucji organizacji, własnego przedsiębiorstwa i pracowników, Dążąc do ciągłego rozwoju i usprawniania własnej organizacji,

Oświadczenie o intencjach – deklarowane działania Zdąża się do zapewnienia maksymalnej, możliwej ochrony eksploatowanego systemu informatycznego. Wdrożona zostanie Polityka Bezpieczeństwa i jej postanowienia będą egzekwowane w maksymalnym, uzasadnionym zakresie. Dążyć się będzie do ciągłego podnoszenia poziomu bezpieczeństwa danych przetwarzanych w zasobach informatycznych przedsiębiorstwa.

Zarządzanie informacją (TISM) Pion administracyjny/ informatyczny POLITYKA BEZPIECZEŃSTWA INFORMACJI GRUPY INFORMACJI SYSTEMY PRZETWARZANIA GAI AI AS GABI ABI ABS DYREKTOR Pion bezpieczeństwa GABS

Struktura systemu bezpieczeństwa (TISM) Pion administracyjny GAI AI AS GABI ABI GABS ABS DYREKTOR Pion bezpieczeństwa GRUPA INFORMACJI SYSTEM PRZETWARZANIA POLITYKA BEZPIECZEŃSTWA

Struktura SBI - przykład

Zakres PB (1) 1. CEL I ZAKRES DOKUMENTU 2. DEFINICJA BEZPIECZEŃSTWA INFORMACJI 3. OŚWIADCZENIE O INTENCJACH 4. WYJAŚNIENIE TERMINOLOGII UŻYTEJ W POLITYCE, PODSTAWOWE DEFINICJE, ZAŁOŻENIA 5. ANALIZA RYZYKA 6. OKREŚLENIE OGÓLNYCH I SZCZEGÓLNYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Zakres PB (2) 7. OKREŚLENIE DZIAŁÓW ORGANIZACYJNYCH ORAZ STANOWISK ODPOWIEDZIALNYCH ZA WDRAŻANIE I PRZESTRZEGANIE ZASAD POLITYKI 8. WYMAGANIA DOTYCZĄCE KSZTAŁCENIA W DZIEDZINIE BEZPIECZEŃSTWA, ODPOWIEDZIALNE OSOBY, ZAKRES SZKOLENIA 9. SPOSÓB ZGŁASZANIA, KONSEKWENCJE I ODPOWIEDZIALNOŚĆ NARUSZENIA POLITYKI BEZPIECZEŃSTWA 10. ZAKRES ROZPOWSZECHNIANIA DOKUMENTU

Zakres PB (3) 11. WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE. 12. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH. 13. OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI

Zakres PB (4) 14. OKREŚLENIE POZIOMU BEZPIECZEŃSTWA 15. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH 16. WEWNĘTRZNY AUDYT BEZPIECZEŃSTWA DANYCH OSOBOWYCH I SYSTEMÓW DO ICH PRZETWARZANIA

Cz. 2. Zarządzanie systemem System Bezpieczeństwa Informacji Cz. 2. Zarządzanie systemem

Instrukcja Zarządzania Szczegółowe procedury dotyczące: Uprawnień użytkowników systemu, Archiwizacji danych, Zabezpieczenia przed niepowołanym dostępem, Zabezpieczenia antywirusowe, Konserwacji systemu, Przechowywania nośników, Likwidacji zbiorów danych.

Ogólne zasady- administratorzy systemów - odpowiedzialność Udostępnienie sprawnego sprzętu komputerowego i telekomunikacyjnego wraz ze sprawnymi systemami: operacyjnym, użytkowym i narzędziowym; Właściwe ustawienie parametrów systemów operacyjnych i użytkowych; Codzienną obsługę systemów; Zagwarantowanie serwisu technicznego; Określenie zasad postępowania w przypadku konieczności wyłączenia systemu, spowodowanego nagłym zdarzeniem losowym (takich jak zagrożenie bombowe, pożar, powódź).

Ogólne zasady- systemy GABI może wyznaczyć administratora bezpieczeństwa informacji (ABI); Główny administrator informacji (GAI) może wyznaczyć administratora informacji (AI) oraz wyznacza osobę zastępującą administratora informacji podczas jego nieobecności. Dla każdego systemu o kluczowym znaczeniu, który nie przetwarza danych osobowych GABI może wyznaczyć administratora bezpieczeństwa informacji (ABI), a GAI administratora informacji (AI) oraz osobę zastępującą AI podczas jego nieobecności. Zakres obowiązków administratorów bezpieczeństwa informacji (ABI) dla systemów przetwarzających dane osobowe opracowuje główny administrator bezpieczeństwa informacji (GABI); Zakresy obowiązków administratorów informacji (AI), jeżeli występują, opracowuje główny administrator informacji (GAI);

Ogólne zasady- systemy kluczowe Prowadzi się „Dziennik pracy systemu informatycznego”. Tworzy się „Spis numerów telefonów do firm serwisowych”. Prowadzi się „Rejestr kopii archiwalnych i awaryjnych”. AS systemu przechowuje dokumentację techniczną sprzętu oraz oprogramowania wchodzącego w skład systemu. AS w przypadku poważnych problemów z przetwarzaniem danych w systemie ma obowiązek powiadomić o tym fakcie: GABI oraz ABI. Dla każdego systemu o kluczowym znaczeniu prowadzona jest ewidencja użytkowników. hghjghjg

Instrukcja zarządzania - Zakres Cz.1. CEL I ZAKRES DOKUMENTU WYJAŚNIENIE UŻYTEJ TERMINOLOGII OGÓLNE ZASADY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM ORAZ WSKAZANIE OSOBY ODPOWIEDZIALNEJ ZA TE CZYNNOŚCI PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMU

Instrukcja zarządzania - Zakres Cz.2. METODA I CZĘSTOTLIWOŚĆ TWORZENIA KOPII DANYCH ORAZ KOPII SYSTEMU INFORMATYCZNEGO ZABEZPIECZENIE SYSTEMU INFORMATYCZNEGO PRZED DOSTĘPEM OSÓB NIEUPRAWNIONYCH POSTĘPOWANIE W PRZYPADKU AWARII ORAZ NARUSZENIA OCHRONY DANYCH PRZEGLĄD, KONSERWACJA I NAPRAWA SYSTEMU OCHRONA SYSTEMU INFORMATYCZNEGO PRZED WIRUSAMI KOMPUTEROWYMI

Instrukcja zarządzania - Zakres Cz.3. SPOSÓB I CZAS PRZECHOWYWANIA NOŚNIKÓW INFORMACJI LIKWIDACJA ZBIORÓW DANYCH POSTĘPOWANIE W WYPADKU KLĘSKI ŻYWIOŁOWEJ LUB KATASTROFY SPOWODOWANEJ SIŁĄ WYŻSZĄ WYMAGANIA DOTYCZĄCE SPRZĘTU I OPROGRAMOWANIA ORAZ PRZESYŁANIA DANYCH POSTANOWIENIA KOŃCOWE

Zalecenia techniczno-organizacyjne Wdrożenie SBI Zasady wdrożenia SBI, Ramowy harmonogram, Zalecenia organizacyjne Prowadzenie dokumentacji, Instruktaże, szkolenia, Organizacja danych na serwerach, Zalecenia techniczne Archiwizacja danych, Serwer – oprogramowanie, sprzęt.

Bezpieczeństwo Informacji Norma PN-ISO/IEC 27001:2007

Norma PN-ISO/IEC 27001 Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC 27001 Zastępuje normę PN-I-07799-2:2005 Obejmuje: Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji

Podejście procesowe Podejście: Plan-Do-Check-Act (PDCA) Planuj – Wykonuj – Sprawdzaj – Działaj: Planuj – stworzenie SZBI Wykonuj – wdrożenie i eksploatacja SZBI Sprawdzaj – monitorowanie i przegląd SZBI Działaj – utrzymanie i doskonalenie SZBI

Zgodność z innymi systemami Dostosowana do ISO 9001:2000 i ISO 14001:2004 Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzania Norma 27001 została tak zaprojektowana, aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi systemami

Zawartość normy Terminy i definicje System zarządzania bezpieczeństwem informacji (SZBI) Odpowiedzialność kierownictwa Wewnętrzne audyty SZBI Przeglądy SZBI (realizowane przez kierownictwo) Doskonalenie SZBI Załączniki

SZBI Ustanowienie SZBI Wdrożenie i eksploatacja SZBI Monitorowanie i przegląd SZBI Utrzymanie i doskonalenie SZBI Wymagania dotyczące dokumentacji Jakie dokumenty Nadzór nad dokumentami Nadzór nad zapisami

Odpowiedzialność kierownictwa Zaangażowanie kierownictwa Kierownictwo powinno okazać swoje zaangażowanie (w: U W E M P U D) Zarządzanie zasobami Zapewnienie zasobów – organizacja powinna zapewnić potrzebne zasoby Szkolenie, uświadamianie i kompetencje – organizacja powinna zapewnić, że cały personel, któremu przypisano odpowiedzialności w SZBI ma kompetencje do realizacji zadań

Wewnętrzne audyty SZBI Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów powinny być udokumentowane w procedurze Kierownictwo odpowiada za brak opóźnień w eliminacji odstępstw i ich przyczyn

Przeglądy SZBI (kierowonictwo) Kierownictwo powinno przeprowadzać przeglądy SZBI w a zaplanowanych odstępach czasu Nie rzadziej niż raz w roku Przegląd powinien zawierać ocenę możliwości doskonalenia SZBI i potrzeby zmian Wyniki powinny być udokumentowane a zapisy przechowywane

Doskonalenie SZBI Ciągłe doskonalenie Działania korygujące Organizacja powinna w sposób ciągły poprawiać skuteczność SZBI Działania korygujące W celu przeciwdziałania niezgodnością organizacja powinna podejmować w celu wyeliminowania ich przyczyn Działania zapobiegawcze Organizacja powinna podejmować działania zapobiegawcze

Załącznik A Załącznik A - normatywny; Cele stosowania zabezpieczeń i zabezpieczenia Lista celów i zabezpieczeń podana w tym załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna rozważyć zastosowanie innych

(OECD- Organization for Economic Co-operation and Development) Załączniki B i C Załącznik B - informacyjny Zasady OECD i Norma Międzynarodowa Wytyczne OECD dotyczące bezpieczeństwa systemów informacyjnych i sieci (OECD- Organization for Economic Co-operation and Development) Załącznik C - informacyjny Opisuje powiązania z normami ISO 9001:2000 ISO 14001:2004