Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałWawrzyniec Kaczmarkiewicz Został zmieniony 10 lat temu
1
Założenia do ćwiczeń seria 1 do wykładów
Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik
2
Opis działalności firmy (JO)
JO. z siedzibą w mieście o dużym znaczeniu gospodarczym dla kraju, działa na rynku od 1992 roku. Początek jej działalności to usługi integracyjne w zakresie teleinformatyki oraz przygotowywanie na indywidualne zamówienia Klientów (dużych firm korporacyjnych) specjalistycznego oprogramowania zarządzającego dla kadr, finansów oraz projektami. Od 2002 roku firma zainwestowała w usługi hostingowe i kolokacji. JO. stał się operatorem telekomunikacyjnym obsługującym przede wszystkim klientów biznesowych oraz administrację państwową. Serwerownie znajdują się w na terenie siedziby firmy, ale JO. zainwestowała w budowę i wyposażenie nowych serwerowni ukierunkowanych wyłącznie pod klientów biznesowych, z lokalizacją w dwóch dużych miastach w Polsce. Firma korzysta z infrastruktury czołowych operatorów, ale także posiada i swoje zasoby telekomunikacyjne. JO. sprzedaje swoje usługi na terenie całego kraju. Na kluczowych rynkach firma działa przez swoich partnerów, podpisując z nimi umowy na wyłączność na danym obszarze. W Polsce sprzedaż K prowadzą mobilni handlowcy podlegające bezpośrednio Departamentowi Sprzedaży (DS). W roku obecnym firma podpisała kontrakt na dostarczenie dla resortu obronny narodowej MON, urządzeń kryptograficznych do wynajmowanej serwerowni.
3
Lokalizacja JO (firmy)
Firma zlokalizowana jest blisko centrum miasta. Na terenie firmy znajduje się VII piętrowy gł. budynek biurowy, budynek kolokacji, budynek magazynu, serwerownia nr 3 oraz stacja trafo. Kancelaria tajna wraz z pomieszczeniem do przetwarzania informacji niejawnych w systemach TI znajduje się w zabezpieczonej strefie, na IV piętrze. Teren jest ogrodzony płotem o konstrukcji betonowo-stalowej z lat 80-stych ubiegłego wieku. Teren jest chroniony przez 4 pracowników agencji ochrony w trybie 24H. Na teren można wjechać oraz wejść od strony zachodniej oraz północnej poprzez chronione i nadzorowane bramy ze szlabanami oraz chronione przez pracowników agencji ochrony. Od strony zachodniej obok płotu znajduje centrum handlowe wraz z zapleczem parkingowym Od strony wschodniej teren firmy otacza zalesiony przy ogrodzeniu park miejski będący miejscem spotkań młodzieży z pobliskiej szkoły zawodowej Przez park płynie rzeka, która już kilka razy zalewała teren parku i okoliczna drogę. Około 200m od ogrodzenia od strony południowej zlokalizowana jest stacja benzynowa. Poprzez ulicę od strony północnej firma sąsiaduje z Ratuszem miejskim, w którym ma siedzibę także biuro poselskie lidera partii rządzącej. W odległości ok. 2 km na zachód zlokalizowane są nowoczesne biura i apartamenty W dalszej części znajduje się jednostka straży pożarnej oraz stacja kolejowa.
5
Infrastruktura techniczna firmy (JO)
Firma inwestuje w rozwój nowoczesnej infrastruktury technicznej. Budynek główny oraz serwerownie wyposażone są nowoczesną technologię automatyki obiektowej sterującej parametrami środowiska, w tym klimatyzacja, wilgotnością i temperatura niezbędną do pracy ludzi i urządzeń IT. Wszystkie obiekty firmy podłączone są do sieci LAN. Firma posiada komunikacyjne wyjścia światłowodowe do transmisji w sieci WAN. Na stanie firmy znajduje się własna, jak i dzierżawiona oraz klientów (w serwerowniach) nowoczesna infrastruktura IT, w tym szafy, serwery, routery, urządzenia do transmisji itd.. Każdy pracownik ma dostęp do sieci LAN poprzez stacje komputerowe a pracownicy w terenie oraz handlowcy dodatkowo wyposażeni są w laptopy oraz mobilne urządzenia komunikacyjne umożliwiające pracę zdalną. Teren i obiekty firmy chronione są systemami alarmowymi, wejścia do pomieszczeń oraz stref wrażliwych nadzorowane są systemem kontroli dostępu oraz nadzorowane systemem telewizji dozorowej CCTV. Dodatkowo serwerownie chronione są systemem automatycznego gaszenia gazem obojętnym.
6
Zabezpieczenie elektroniczne strefy bezpieczeństwa – kancelarii tajnej
7
Objaśnienie symboli
8
Ćwiczenie nr 1. Inwentaryzacja zasobów informacyjnych, klasyfikacja, określenie zagrożeń, podatności
9
Polecenia do wykonania w ćwiczeniu nr 1:
Dokonaj inwentaryzacji zasobów (aktywów) lub grupy zasobów informacji niejawnych , wskaż ich właścicieli oraz lokalizację. Wskaż główne procesy biznesowe firmy oraz przydziel do nich niezbędne zasoby, pamiętając, że jeden zasób może uczestniczyć w kilku procesach. Oceń ważność procesów i zasobów w nich użytych jako: Niska (Bez większego na skutki) =1 Średnia (Normalne, nie zbyt odczuwalne skutki) = 2 Wysoka (Wrażliwe dla procesu ze względu na skutki) = 3 B. wysoka (Krytyczne dla procesu ze względu na katastrofalne skutki) - 4 Wskaż procesy oraz zasoby krytyczne i wrażliwe dla funkcjonowania firmy. Analiza każdego zagrożenia powinna być oceniana w ujęciu poufności, integralności i dostępności . Wszystkie analizy przeprowadź stosując zintegrowane tabele analityczne, pozwalające odczytać kolejne fazy zależności.
10
Inwentaryzacja aktywów niezbędnych w procesie przetwarzania IN w JO
Tabela nr 1 Inwentaryzacja aktywów niezbędnych w procesie przetwarzania IN w JO Lp. Wyszczególnienie aktywu Lokalizacja aktywu/właściciel Atrybut informacji Skala ważności aktywu (wartości) w procesie Zagrożenia podstawowe wg opisu wypełniającego Przyczyny podatności (słabości aktywa) I Aktywa podstawowe- podać nazwę niska = 1 średnia = 2 wysoka (aktywo wrażliwe) = 3 b.wysoka (aktywo krytyczne) = 4 a b c d e f g h i 1 Procesy i działania biznesowe w ochronie IN 1.1 poufność integralność dostępność 2 Informacje 2.1 II Aktywa wspierające Sprzęt Oprogramowanie 2.4 Aplikacje biznesowe 2.4.1 3 Sieć 3.1 4 Personel 4.1 5 Siedziba 5.1 Lokalizacja 5.1.1 6 Organizacja 6.1
11
Ćwiczenie nr 2. zagrożenia i ich ocena (określenie zagrożeń, pomiar ryzyka)
12
Polecenia do wykonania w ćwiczeniu nr 2:
Proszę wykonać szacowanie ryzyka na podstawie danych opracowanych w ćwiczeniu nr 1. Przyjąć metodykę szacowania ryzyka – klasyfikację prawdopodobieństwa wystąpienia zagrożenia, skutku i ryzyka; Określić wartość następstw zmaterializowania się zagrożeń wg tabeli od 0 (b.niskie) do 4 (b.wysokie); Prawdopodobieństwo urzeczywistnienia się zagrożenia (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4); Dokonać pomiaru poziomu ryzyka, określając prawdopodobieństwo wystąpienia zagrożenia x nastepstw Na podstawie analizy ryzyka proszę wskazać krytyczne i wrażliwe procesy.
13
Określenie poziomów ryzyka
Tabele oceny Wartość następstw: Prawdopodobieństwo wystąpienia zagrożenia: Bardzo niskie - 0 Niskie -1 Średnie -2 Wysokie -3 Bardzo wysokie - 4 lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Opis zagrożenia (rodzaje zagrożeń wg znormalizowanej tabeli w zakładce typy zagrożeń lub własnych określeń) Atrybut informacji Wartość następstw biznesowych (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4) Prawdopodobieństwo urzeczywistnienia się zagrożenia( Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4) Miara ryzyka e x f wg atrybutu Wartość średnia poziomu ryzyka dla danej pozycji a b c d e f g h 1 poufność integralność dostępność 2 3 4 5
14
Ćwiczenie nr 3. plan postępowania z ryzykiem
15
Polecenia do wykonania w ćwiczeniu nr 3:
Na podstawie danych opracowanych w ćwiczeniu nr 2 proszę przygotować plan postępowania z ryzykiem, uwzględniający m.in.: Określić ranking zagrożeń dla określonych aktywów (zasobów) wg najwyższej wartości Koncepcję postępowania z ryzykiem na podstawie dokonanego pomiaru ryzyka. Opisać planowane zadania Przydzielić zasoby i odpowiedzialności Przygotować harmonogram realizacji oraz zasady kontroli przebiegu.
16
Określenie rankingu zagrożeń
Tabela nr 3 Analiza zagrożeń i szacowanie ryzyka - ranking zagrożeń lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Miara ryzyka (uśredniona z tab.2 poz .h) Ranking zagrożeń (wg najwyższych wartości obliczonego ryzyka) a b d e 1 2 3 4 5
17
Opracowanie planu postępowania z ryzykiem
Tabela oceny wg wartości punktowej: Unikanie: > 16 pktów Redukowanie: pktów Przeniesienie: 5 - 7 pktów Zachowanie: poniżej 4 Tabela nr 4 Plan postępowania z ryzykiem lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Wartość szacowania ryzyka (przeniesienie z tab. 2) Warianty postępowania z ryzykiem (wpisać wynik) Czy postępowanie satysfakcjonujące? T- dalej; Nie - powrót do tab. 2 Czy odpowiedzialny za proces szacowania ryzyka potwierdza akceptację? T- dalej; Nie - powrót do tab. 2 R -Redukowanie; Z - Zachowanie; U - Unikanie; P - Przeniesienie a b c d e f 1 2 3 4 5
18
Harmonogram realizacji postępowania z ryzykiem
Tabela nr 5 Realizacja planu postępowania z ryzykiem lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Warianty postępowania z ryzykiem z tab. 4 Podjęte działania postępowania z ryzykiem (opisać) Niezbędne aktywa (środki) postępowania z ryzkiem (opis) Planowany termin realizacji Odpowiedzialny Kontrola wykonania Ocena efektywności wykonania a b c d e f g h i 1 2 3 4 5
19
Praktyczne Wykonanie ćwiczenia
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.