bezpieczeństwo informacji9

background image

Zarządzanie

bezpieczeństwem

informacji

background image

Literatura przedmiotu

A. Grzywak: Bezpieczeństwo systemów

komputerowych i telekomunikacyjnych.

Wydawnictwo SOTEL, Chorzów 1999.

B. Schneier: Kryptografia dla praktyków -
protokoły, algorytmy i programy źródłowe w
języku C. Wydawnictwa Naukowo-Techniczne,
Warszawa 2002.

J. Stokłosa (red.): Ochrona danych i
zabezpieczenia
w systemach teleinformatycznych. Wydawnictwo
Politechniki Poznańskiej, Poznań 2003.

background image

Literatura przedmiotu

Białas A.: Bezpieczeństwo informacji i usług
w nowoczesnej instytucji i firmie. WNT,
Warszawa 2007.

Łuczak J.: Systemowe zarządzanie
bezpieczeństwem informacji iso 27001.
Wydawnictwo UE w Poznaniu, Poznań 2010.

Stallings W.: Kryptografia i bezpieczeństwo
sieci komputerowych. Koncepcje i metody
bezpiecznej komunikacji. Wydawnictwo
Helion Gliwice 2012.

background image

Zarządzanie bezpieczeństwem
informacji

Zarządzanie bezpieczeństwem
informacji

Informacja

– jeden z podstawowych zasobów

organizacji, posiada wartość ekonomiczną

Ochrona informacji

– zagadnienie zarządcze

i organizacyjne, a nie tylko techniczne

Reguły ogólne

– jak każda inna dziedzina

zarządzania – cel, plany, polityki, instrumenty
kontroli i oceny, rachunek kosztów i ryzyka,
programy utrzymania dotychczasowych
wyników oraz ciągłej poprawy

background image

Dlaczego należy
zarządzać bezpieczeństwem informacji?

Konsekwencje naruszenia
poszczególnych aspektów
bezpieczeństwa informacji

Poufność

- przeciek do konkurencji,

utrata zaufania kontrahentów

Integralność

- bałagan organizacyjny,

przesyłanie nieaktualnych informacji

Dostępność

- niewłaściwe decyzje

background image

Konsekwencje utraty
bezpieczeństwa informacji

Naruszenie prawa

Utrata zaufania kontrahentów

Utrata konkurencyjności

Konkretne straty finansowe

Dlaczego należy
zarządzać bezpieczeństwem informacji?

background image

Regulacje prawne

Naruszenie prawa

Wymagania stawiane w szczególności przez
ustawy

Ustawa o ochronie informacji niejawnych

Ustawa o ochronie danych osobowych

Ustawa o ochronie baz danych

Ustawa o rachunkowości

Ustawa o prawie autorskim i prawach pokrewnych

Prawo bankowe

Prawo o publicznym obrocie papierami wartościowymi

...

background image

Standardy bezpieczeństwa

Przesłanki tworzenia standardów

Korzystanie z doświadczeń innych
organizacji

Katalogi najlepszych praktyk

Ujednolicenie na arenie międzynarodowej

Zdobywanie zaufania kontrahentów

Możliwość dokonania audytu

Certyfikacja

background image

Standardy bezpieczeństwa

Wyjaśnienie skrótów

ISO – Międzynarodowa Organizacja

Normalizacyjna

IEC – Międzynarodowy Komitet Elektrotechniczny

JTC1 – Połączony Komitet Techniczny

SC27 – Podkomitet JTC1 „Techniki

bezpieczeństwa systemów informatycznych

PKN – Polski Komitet Normalizacyjny

ISMS – (Information Security Management

System) – System Zarządzania

Bezpieczeństwem Informacji

background image

Standardy bezpieczeństwa

Oficjalne

Tworzone przez organizacje
standaryzacyjne

Międzynarodowe np. ISO, IEC

Regionalne np. CEN, ETSI, NAFTA

Krajowe np. PKN

Pozostałe

Zalecenia firm, organizacji i stowarzyszeń
branżowych, rozwiązania powszechnie
stosowane przez firmy

background image

Standardy bezpieczeństwa

Polskie Normy

Przeznaczone są do stosowania w Polsce

Stosowanie norm jest dobrowolne

Niektóre wprowadzone odrębnymi
przepisami do obowiązkowego stosowania

Od czasu przystąpienia Polski do Unii
Europejskiej tworzone przede wszystkim
na podstawie tłumaczenia
i zatwierdzania norm europejskich i
światowych

background image

Standardy bezpieczeństwa

Polskie normy w zakresie bezpieczeństwa

PN-I-02000:1998 Technika informatyczna –

Zabezpieczenia w systemach informatycznych -

Terminologia

PN -I- 13335 – 1

Technika Informatyczna –

Wytyczne do zarządzania bezpieczeństwem systemów

informatycznych – Pojęcia i modele zabezpieczeń

systemów informatycznych

PN -I- 13335 – 2

Technika Informatyczna –

Planowanie i zarządzanie bezpieczeństwem systemów

informatycznych

PN-ISO/IEC 17799:2003 Technika informatyczna –

Praktyczne zasady zarządzania bezpieczeństwem

informacji

background image

Standardy bezpieczeństwa

Przykładowe normy i standardy na

podstawie których dokonuje się audytu

bezpieczeństwa

BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem

informacji. Specyfikacja i wytyczne do stosowania”

PN-I-07799-2:2005 „Systemy zarządzania bezpieczeństwem

informacji. Specyfikacja i wytyczne do stosowania”

ISO/IEC 17799:2005 „Technika informatyczna. Praktyczne

zasady zarządzania bezpieczeństwem informacji”

ISO/IEC 27001:2005 „Technologie informacyjne. Techniki

zabezpieczeń. Systemy zarządzania bezpieczeństwem

informacji. Wymagania”

PN-I-13335-1:1999 „Technika informatyczna. Wytyczne do

zarządzania bezpieczeństwem systemów informatycznych.

Pojęcia i modele bezpieczeństwa systemów informatycznych”

background image

Standardy bezpieczeństwa

Przykładowe normy i standardy na

podstawie których dokonuje się audytu

bezpieczeństwa

ISO/IEC/TR 13335-2:2003 „Planowanie i zarządzanie

bezpieczeństwem systemów informatycznych”

ISO/IEC/TR 13335-3:2003 „Techniki zarządzania

bezpieczeństwem systemów informatycznych”

ISO/IEC/TR 13335-4:2000 „Wybór zabezpieczeń”

ISO/IEC/WD 13335-5:2001 „Zabezpieczenie dla

połączeń z sieciami zewnętrznymi”

ISO/IEC 15408-1 „Technologie informacyjne. Techniki

zabezpieczeń. Kryteria oceny bezpieczeństwa

informacji. Wprowadzenie i model podstawowy”

background image

Standardy bezpieczeństwa

Przykładowe normy i standardy na

podstawie których dokonuje się audytu

bezpieczeństwa

ISO/IEC 15408-2 „Technologie informacyjne. Techniki

zabezpieczeń. Kryteria oceny bezpieczeństwa informacji.

Wymagania bezpieczeństwa funkcjonalnego”

ISO/IEC 15408-3 „Technologie informacyjne. Techniki

zabezpieczeń. Kryteria oceny bezpieczeństwa informacji.

Wymagania zapewnienia bezpieczeństwa”

PN-ISO/IEC 9798-3:2002 „Technika informatyczna.

Techniki zabezpieczeń. Uwierzytelnianie podmiotów. Część

3: Mechanizmy stosujące techniki podpisu cyfrowego”

PN-EN 60950:2002 „Bezpieczeństwo urządzeń techniki

informatycznej”

PN-EN 60950-1:2005 „Urządzenia techniki informatycznej.

Bezpieczeństwo. Część 1: Wymagania podstawowe”

background image

Standardy bezpieczeństwa

Przykładowe normy i standardy na podstawie których

dokonuje się audytu bezpieczeństwa

PN-EN 60950-21:2005 „Urządzenia techniki

informatycznej. Bezpieczeństwo. Część 21: Zdalne

zasilanie”

PN-92/T-20001.02 „Systemy przetwarzania informacji.

Współdziałanie systemów otwartych (OSI). Podstawowy

model odniesienia. Architektura zabezpieczeń”

PN-ISO/IEC 13888-1:1999 „Technika informatyczna.

Techniki zabezpieczeń. Niezaprzeczalność. Model

ogólny”

PN-ISO/IEC 13888-1:1999 „Technika informatyczna.

Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy

wykorzystujące techniki symetryczne”

PN-ISO/IEC 13888-1:1999 „Technika informatyczna.

Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy

wykorzystujące techniki asymetryczne”

background image

Standardy bezpieczeństwa

Przykładowe normy i standardy na podstawie których

dokonuje się audytu bezpieczeństwa

PN-ISO/IEC 10118-2:1996 „Technika informatyczna.

Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu

wykorzystujące n-bitowy algorytm szyfrowania blokowego”

PN-ISO/IEC 10118-3:1999 „Technika informatyczna.

Techniki zabezpieczeń. Funkcje skrótu. Dedykowane funkcje

skrótu”

PN-ISO/IEC 10118-4:2001 „Technika informatyczna.

Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu

wykorzystujące arytmetykę modularną”

PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia

w systemach informatycznych. Terminologia”

PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania

systemów zarządzania jakością i/lub zarządzania

środowiskowego”

background image

Standardy bezpieczeństwa

Przykładowe normy i standardy na podstawie których

dokonuje się audytu bezpieczeństwa

BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem

informacji. Specyfikacja i wytyczne do stosowania”

PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia

w systemach informatycznych. Terminologia”

PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania

systemów zarządzania jakością i/lub zarządzania

środowiskowego”

BS 15000:2002 „Wymagania do zarządzania usługami IT”

PD 3000 Complete Kit „Przewodnik zarządzania

bezpieczeństwem informacji”

PAS 56 „Zarządzanie ciągłością działania”

COBIT „Control Objectives for Information and Related

Technologies”

background image

Standardy bezpieczeństwa

Raport techniczny ISO/IEC TR 13335

Standardy BS 7799

ISO/IEC 17799

PN – ISO/IEC 17799

PN – I – 07799-2

Rodzina norm ISO/IEC 2700x

background image

Standardy bezpieczeństwa

Współpraca ISO oraz IEC w ramach
Połączonego Komitetu Technicznego
JTC1

Podkomitet SC 27 – technologia i metodyka
zabezpieczeń

background image

Raport techniczny ISO/IEC TR
13335

Guidelines for the Management of IT
Security (GMITS)

składa się z pięciu części

pierwsza część – od 1999r. - polska norma
PN-I 13335-1

druga część – od 2003r. - polska norma
PN-I 13335-2

przeznaczony dla działów informatyki

dotyczy zagadnień technicznych,
a nie rozwiązań organizacyjnych

background image

Raport techniczny ISO/IEC TR
13335

ISO/IEC/TR 13335-1 / PN-I-13335-1:

Wytyczne do zarządzania
bezpieczeństwem systemów
informatycznych:

terminologia, związki między pojęciami

podstawowe modele

background image

Raport techniczny ISO/IEC TR
13335

Relacje w modelu bezpieczeństwa

ZAGROŻENIA

ZABEZPIECZENIA

WYMAGANIA

RYZYKO

PODATNOŚCI

ZASOBY

WARTOŚCI

wykorzystują

niwelują

realizowane są przez

cechują

posiadają

zwiększają

analizowane wskazuje

zwiększają

zwiększają

background image

Raport techniczny ISO/IEC TR
13335

ISO/IEC/TR 13335-2 / PN-I-13335-
2:

Planowanie i zarządzanie
bezpieczeństwem systemów IT

różne podejścia do prowadzenia analizy
ryzyka

plany zabezpieczeń

znaczenie szkoleń i działań
uświadamiających

stanowiska pracy w instytucji związane z
bezpieczeństwem

background image

Raport techniczny ISO/IEC TR
13335

ISO/IEC/TR 13335-3:

Techniki zarządzania bezpieczeństwem
systemów informatycznych:

formułowanie trójpoziomowej polityki
bezpieczeństwa

rozwinięcie problematyki analizy ryzyka

rozwinięcie problematyki implementacji
planu zabezpieczeń

reagowanie na incydenty

background image

Raport techniczny ISO/IEC TR
13335

ISO/IEC/TR 13335-4:

Wybór zabezpieczeń:

klasyfikacja i charakterystyka różnych form
zabezpieczeń

dobór zabezpieczeń ze względu na rodzaj
zagrożenia
i rodzaj systemu

background image

Raport techniczny ISO/IEC TR
13335

ISO/IEC/WD 13335-5:

Zabezpieczenie dla połączeń z sieciami
zewnętrznymi:

dobór zabezpieczeń stosowanych do ochrony
styku systemu
z siecią zewnętrzną

background image

Standardy BS 7799

Brytyjski standard opracowany przez
BSI
(British Standards Institution) w 1998r.

W składzie zespołu weszło wielu
przedstawicieli brytyjskich organizacji
oraz firm konsultingowych
i przemysłowych

background image

Standardy BS 7799

Dokument – 2 części:

BS 7799-1:1999 - kodeks praktyki, katalog
zagadnień, jakie należy realizować dla potrzeb
bezpieczeństwa informacji (Code of practice
for Information Security Management)

BS 7799-2:1999 - specyfikacja dla systemów
zarządzania bezpieczeństwem informacji (ISMS
- Information Security Management System)

background image

Standardy BS 7799

BS 7799-1 → ISO/IEC 17799 → PN –

ISO/IEC 17799

BS 7799-2 → PN – I-

07799-2

background image

Standardy BS 7799

BS 7799-1:1999

Katalog zabezpieczeń - 127 punktów kontroli
bezpieczeństwa informacji

Zabezpieczenia podzielone na 10 rozdziałów -
zakresów

Dotyczy wszystkich form informacji

Uwzględnia najnowsze sposoby prowadzenia
działalności

Użytkownicy mogą wybrać najwłaściwsze
zabezpieczenia ze względu na specyfikę
prowadzonej działalności

Dobór na podstawie analizy ryzyka

background image

Standardy BS 7799

BS 7799-1 – 10 zakresów:

01. Polityka bezpieczeństwa
02. Organizacja bezpieczeństwa
03. Klasyfikacja i kontrola aktywów
04. Bezpieczeństwo osobowe
05. Bezpieczeństwo fizyczne i środowiskowe
06. Zarządzanie systemami i sieciami
07. Kontrola dostępu do systemu
08. Rozwój i utrzymanie systemu
09. Zarządzanie ciągłością działania
10. Zgodność

background image

Standardy BS 7799

BS 7799-1 – 10 zakresów:

Polityka bezpieczeństwa

Polityka bezpieczeństwa informacji

Organizacja bezpieczeństwa

Infrastruktura bezpieczeństwa informacji

Bezpieczeństwo dostępu osób trzecich

Zlecanie przetwarzania na zewnątrz

background image

Standardy BS 7799

BS 7799-1 – 10 zakresów:

Klasyfikacja i kontrola aktywów

Rozliczalność aktywów

Klasyfikacja informacji

Bezpieczeństwo osobowe

Bezpieczeństwo przy określaniu zakresów

obowiązków

i zarządzaniu zasobami ludzkimi

Szkolenie użytkowników

Reagowanie na naruszanie bezpieczeństwa

i niewłaściwe funkcjonowanie systemu

background image

Standardy BS 7799

BS 7799-1 – 10 zakresów:

Bezpieczeństwo fizyczne i
środowiskowe

Obszary bezpieczne

Zabezpieczanie sprzętu

Ogólne zabezpieczenia

background image

Standardy BS 7799

BS 7799-1 – 10 zakresów:

Zarządzanie systemami i sieciami
(bezpieczeństwo operacyjne)

Procedury eksploatacji i zakresy
odpowiedzialności

Planowanie i odbiór systemu

Ochrona przed złośliwym oprogramowaniem

Procedury wewnętrzne

Zarządzanie sieciami

Postępowanie z nośnikami i ich bezpieczeństwo

Wymiana danych i oprogramowania

background image

Standardy BS 7799

BS 7799-1 – 10 zakresów:

Kontrola dostępu do systemu

Potrzeby biznesowe związane z dostępem do
systemu

Zarządzanie dostępem użytkowników

Zakres odpowiedzialności użytkowników

Kontrola dostępu do sieci

Kontrola dostępu do systemów operacyjnych

Kontrola dostępu do aplikacji

Monitorowanie dostępu do systemu i jego użycia

Komputery przenośne i praca na odległość

background image

Standardy BS 7799

BS 7799-1 – 10 zakresów:

Rozwój i utrzymanie systemu

Wymagania bezpieczeństwa systemów

Bezpieczeństwo systemów aplikacji

Zabezpieczenia kryptograficzne

Bezpieczeństwo plików systemowych

Bezpieczeństwo w procesach rozwojowych i
obsługi informatycznej

background image

Standardy BS 7799

BS 7799-1 – 10 zakresów:

Zarządzanie ciągłością działania

Aspekty zarządzania ciągłością działania

Zgodność

Zgodność z przepisami prawa

Przeglądy polityki bezpieczeństwa i zgodności
technicznej

Rozważania dotyczące audytu systemu

background image

Standardy BS 7799

BS 7799-1

luty 2000r. zgłoszony do organizacji ISO, jako
podstawa ustanowienia międzynarodowego
standardu zarządzania bezpieczeństwem
informacji

sierpień 2000r. - po uproszczonym procesie
legalizacji nadany został mu numer ISO/IEC
17799:2000

rozpoczęcie prac wkrótce po przyjęciu ISO/IEC
17799

czerwiec 2005r. – publikacja ISO/IEC 17799 2.
wydanie

background image

Standardy BS 7799

Zmiany w ISO/IEC 17799 2.
wydanie

ok. 5000 zmian merytorycznych w
porównaniu
z 1. wydaniem

bardziej logiczna struktura dokumentu

uwzględnienie zmian technologicznych

wyeliminowanie błędów i pominięć

background image

Standardy BS 7799

BS 7799-2:1999

Wytyczne, w jaki sposób zaprojektować,
wdrożyć i poddać certyfikacji system
zarządzania bezpieczeństwem informacji

6 etapów budowy systemów zarządzania
bezpieczeństwem informacji (ISMS)

background image

Standardy BS 7799

BS 7799-2:1999 – etapy budowy
ISMS

1.

Określenie polityki bezpieczeństwa

2.

Określenie zakresu objętego systemem ISMS

3.

Przeprowadzenie oceny ryzyka

4.

Zarządzanie ryzykiem

5.

Wybór celów zabezpieczeń i punktów
kontrolnych

6.

Deklaracja stosowania

background image

Standardy BS 7799

BS 7799-2:2002

2002r. – nowe wydanie normy BS 7799-2

Starsza wersja utraciła ważność

Normę znacznie rozszerzono

Zapewniono zgodność z normami zarządzania
jakością EN ISO 9001 i środowiskiem EN ISO
14001

Precyzyjna definicja ISMS

background image

Standardy BS 7799

BS 7799-2:2002

System zarządzania bezpieczeństwem
informacji:

część całościowego systemu zarządzania
instytucji, oparta na podejściu wynikającym z
ryzyka biznesowego i odnosząca się do
ustanowienia, wdrażania, monitorowania,
utrzymywania oraz doskonalenia bezpieczeństwa
informacji

background image

Standardy BS 7799

Jasne przesłanki doboru
zabezpieczeń:

Decyzje o zastosowaniu zabezpieczeń
muszą być podejmowane na podstawie
analizy ryzyka

Cel nadrzędny – ciągłość działania instytucji

Zabezpieczenia muszą odpowiadać
specyfice organizacji

background image

Standardy BS 7799

System powinien sam się
naprawiać:

Zdolność do wykrywania błędów

Eliminowanie błędów

Modyfikacja systemu - udoskonalanie

Odpowiednie procedury

background image

Standardy BS 7799

BS 7799-2:2002

Schemat zarządzania:

PDCA

PLAN – DO – CHECK – ACT

PLANUJ – WYKONAJ – SPRAWDZAJ – DZIAŁAJ

background image

Standardy BS 7799

BS 7799-2:2002 - PN – I- 07799-2

Planuj:
„Ustanowienie polityki bezpieczeństwa,
cele, zakres stosowania, procesy i
procedury odpowiadające zarządzaniu
ryzykiem oraz zwiększające
bezpieczeństwo informacji, tak aby
uzyskać wyniki zgodne z ogólnymi
zasadami i celami instytucji”

background image

Standardy BS 7799

BS 7799-2:2002 - PN – I- 07799-2

Wykonuj:
„Wdrożenie i eksploatacja polityki
bezpieczeństwa, zabezpieczeń, procesów i
procedur”

background image

Standardy BS 7799

BS 7799-2:2002 - PN – I- 07799-2

Sprawdzaj:
„Szacowanie oraz tam, gdzie ma
zastosowanie, pomiar wykonania
procesów w odniesieniu do polityki
bezpieczeństwa, cele i praktyczne
doświadczenia oraz przekazywanie
kierownictwu wyników przeglądu”

background image

Standardy BS 7799

BS 7799-2:2002 - PN – I- 07799-2

Działaj:
„Podejmowanie działań korygujących i
prewencyjnych w oparciu o wyniki
przeglądu realizowanego przez
kierownictwo, tak aby osiągnąć stałe
doskonalenie ISMS”

background image

Standardy BS 7799

BS 7799-2:2002 - PN – I- 07799-2

Planuj

Zakres ISMS

Polityka ISMS

Podejście do oceny ryzyka

Identyfikacja ryzyka

Oszacowanie ryzyka

Postępowanie z ryzykiem

Wybór celów i punktów kontroli

Deklaracja stosowania

Aprobata kierownictwa

background image

Standardy BS 7799

Zakres ISMS

Wdrażanie systemu należy rozpocząć się od
zdefiniowania zakresu jakiego system
będzie dotyczyć

Czy ma on obejmować całą organizację?

Jakich obszarów logicznych i fizycznych ma
dotyczyć ?

background image

Standardy BS 7799

Polityka ISMS

Ogólny dokument (a nie książka)

Wymagania biznesowe i prawne danej
organizacji

Kryteria szacowania ryzyka

Struktura organizacyjna

Musi zostać zaakceptowany przez
kierownictwo

background image

Standardy BS 7799

Ryzyko

Zdefiniowanie procesu analizy ryzyka

Wyznaczenie kryteriów akceptowania
ryzyka

Przeprowadzenie analizy ryzyka

Nie narzucono konkretnej metody analizy

Proces musi być opisany

Proces musi być powtarzalny

background image

Standardy BS 7799

Analiza ryzyka

Określenie aktywów

inwentaryzacja informacji, wyposażenia,
oprogramowania, usług

Zidentyfikowanie zagrożeń

np. atak hakerów, kradzież tożsamości, podsłuch, etc.

Zidentyfikowanie podatności

np. brak kopii zapasowych, nieprzeszkolony personel,
etc.

Określenie skutków wykorzystania podatności
przez zagrożenia

background image

Standardy BS 7799

Postępowanie z ryzykiem

Na podstawie analizy podejmuje się decyzję
co z robić z każdym ze zidentyfikowanych
ryzyk

Możliwości:

zastosowanie zabezpieczeń

przeniesienie ryzyka np. na ubezpieczyciela

unikanie ryzyka

zaakceptowanie ryzyka

Podstawowy cel: ciągłość działania
organizacji

background image

Standardy BS 7799

Wybór celów i punktów kontroli

wybór wymagań według których należy
zbudować system zarządzania
bezpieczeństwem informacji

background image

Standardy BS 7799

Deklaracja stosowania

uzasadnienie wyboru wymagań

sposób implementacji każdego wymagania

dokumentowanie

background image

Standardy BS 7799

Akceptacja kierownictwa

kończy etap ustanawiania systemu
zarządzania bezpieczeństwem informacji

zaangażowanie kierownictwa ważne z
punktu widzenia normy – poświęcono mu
cały rozdział 5

background image

Standardy BS 7799

BS 7799-2:2002

Wykonaj

Plan postępowania z ryzykiem

Implementacja planu postępowania z ryzykiem

Implementacja wymagań

Szkolenia i uświadamianie

Zarządzanie działaniami

Zarządzanie zasobami

Zarządzanie incydentami

background image

Standardy BS 7799

BS 7799-2:2002

Sprawdzaj

Prowadzenie monitoringu

Przeglądy efektywności ISMS

Przeglądy ryzyka szczątkowego i akceptowanego

Wewnętrzne audyty ISMS

Przeglądy ISMS przez zarząd

Rejestracja istotnych działań i zdarzeń

background image

Standardy BS 7799

BS 7799-2:2002

Działaj

Implementacja udoskonaleń

Działania korygujące, wyciąganie wniosków,
wymiana doświadczeń

Informowanie o podejmowanych działaniach,
uzgadnianie

Weryfikacja udoskonaleń

background image

Rodzina norm ISO/IEC 2700x

ISO 27000 - słownictwo i terminologia

ISO 27001 - odpowiednik BS 7799 - 2,
specyfikacja systemów zarządzania
bezpieczeństwem informacji

ISO 27002 – ma zastąpić ISO
17799:2005
w kwietniu 2007r., praktyczne zasady
zarządzania bezpieczeństwem, zestawia
zabezpieczenia
i najlepsze praktyki

background image

Rodzina norm ISO IEC 2700x

ISO 27003 – wytyczne dla
implementacji.

ISO 27004 – zarządzanie
bezpieczeństwem informacji -
wskaźniki i pomiary – nowe
uregulowanie

ISO 27005 - zarządzanie ryzykiem
bezpieczeństwa informacji –
opublikowana w grudniu 2005

background image

Rodzina norm ISO/IEC 2700x

ISO/IEC 27001:

opublikowany 15 października 2005r.

zastępuje BS 7799 – 2:2002

nadal oparty na modelu PDCA

duży nacisk na zarządzanie ryzykiem
(obowiązkowe)

ciągły proces doskonalenia systemu

podstawy audytu zewnętrznego i
certyfikacji

background image

Rodzina norm ISO/IEC 2700x

ISO/IEC 27001 a ISO/IEC 17799
(aneks)

Systemy bezpieczeństwa informacji

ISO/IEC 17799 – wytyczne

ISO/IEC 27001 – wymagania, służy do
certyfikacji

background image

ISO 27001

Norma przygotowana dla potrzeb
dostarczenia modelu dla
ustanowienia, wdrażania, stosowania,
monitorowania, przeglądania,
utrzymywania i doskonalenia

Systemu Zarządzania

Bezpieczeństwem Informacji

background image

ISO 27001

Norma może być wykorzystana w
celu oceny zgodności przez:

komórki wewnętrzne

organizacje zewnętrzne

background image

ISO 27001

Norma przyjmuje

podejście procesowe

dla:

Ustanawiania

Wdrażania

Monitorowania

Doskonalenia

Systemu Zarządzania Bezpieczeństwem

Informacji

background image

ISO 27001

Podejście procesowe do SZBI
dotyka:

Zrozumienia potrzeby ustanowienia
polityki i celów

Stosowanych zabezpieczeń

Monitorowania wydajności i
efektywności

Stałego doskonalenia

background image

ISO 27001

Podejście procesowe do SZBI

Wymóg vs. oczekiwanie

Wymóg

: naruszenie bezpieczeństwa nie

może przysporzyć szkód finansowych

Oczekiwanie

: w przypadku wystąpienia

poważnego incydentu, będzie można
stosować odpowiednie procedury celem
minimalizacji skutków

background image

ISO 27001

Podejście procesowe do SZBI

Planuj

– ustanowienie polityki bezpieczeństwa,

celów, zakresów stosowania procesów i procedur

odpowiednich dla zarządzania ryzykiem

Wykonuj

– wdrożenie polityki bezpieczeństwa

Sprawdzaj

– szacowanie oraz pomiar wykonania

procesów w odniesieniu do polityki

bezpieczeństwa

Działaj

– podejmowanie działań korygujących

i prewencyjnych na podstawie wyników audytów

wewnętrznych i innych źródeł

background image

ISO 27001 – terminy i definicje

Aktywa

Wszystko co posiada wartość dla
organizacji

background image

ISO 27001 – terminy i definicje

Dostępność

Zapewnienie, że informacja jest dostępna
przez upoważnioną jednostkę

Poufność

Zapewnienie, że informacja jest dostępna
tylko dla upoważnionych do tego jednostek

Integralność

Zapewnienie ochrony kompletności
informacji

background image

ISO 27001 – terminy i definicje

Bezpieczeństwo informacji

Zachowanie poufności, integralności i dostępności
informacji oraz innych właściwości

Zdarzenie związane z bezpieczeństwem
informacji

Wystąpienie pewnego stanu systemu (usługi,
sieci) wskazujące na prawdopodobne naruszenie
polityki bezpieczeństwa lub awarie zabezpieczeń,
lub też wcześniej nie znanej sytuacji, mogącej być
istotną ze względów bezpieczeństwa

background image

ISO 27001 – terminy i definicje

Incydent związany z bezpieczeństwem
informacji

Pojedyncze (lub nie) niespodziewane wydarzenie,
które może zagrażać realizacji działań oraz stanowić
zagrożenie dla bezpieczeństwa informacji

System zarządzania bezpieczeństwem
informacji

To część całościowego systemu zarządzania
odnosząca się do ustanawiania, … i udoskonalania
bezpieczeństwa informacji

background image

ISO 27001 – terminy i definicje

Ryzyko

Prawdopodobieństwo tego, że określone
zagrożenie wykorzysta słabość zasobu
(grupy zasobów) w celu spowodowania
strat

background image

ISO 27001 – terminy i definicje

Analiza ryzyka

Określenie źródeł ryzyka

Szacowanie ryzyka

Określenie wielkości ryzyka

Ocena ryzyka

Wyznaczanie wagi ryzyka

Postępowanie z ryzykiem

Wdrożenie środków modyfikujących ryzyko

background image

ISO 27001 – terminy i definicje

Deklaracja stosowania

Dokument, w którym opisano cele
stosowania zabezpieczeń oraz
zabezpieczenia, które mają zastosowanie
w SZBI danej organizacji

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.5. Polityka bezpieczeństwa

Dokument polityki bezpieczeństwa
informacji

Przegląd informacji polityki bezpieczeństw

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.6. Organizacja bezpieczeństwa
informacji

Zaangażowanie kierownictwa w
bezpieczeństwo informacji

Koordynacja bezpieczeństwa informacji

Przypisywanie obowiązków związanych z
bezpieczeństwem informacji

Proces uwierzytelniania urządzeń służących do
przetwarzania informacji

Umowy o poufności

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.6. Organizacja bezpieczeństwa informacji

Kontakty z władzami

Kontakty z grupami zainteresowania

Niezależny przegląd bezpieczeństwa informacji

Identyfikacja ryzyka wynikającego z dostępu osób
trzecich

Kwestia bezpieczeństwa podczas kontaktów z
klientami

Kwestia bezpieczeństwa w umowach z osobami
trzecimi

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.7. Zarządzanie aktywami

Inwentaryzacja aktywów

Własność aktywów

Możliwe do zaakceptowania korzystanie z
aktywów

Wytyczne do klasyfikacji informacji

Oznaczanie i postępowanie z informacją

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.8. Bezpieczeństwo osobowe

Przed zatrudnieniem

Role i odpowiedzialności

Sprawdzanie podczas naboru

Zasady i warunki zatrudnienia

Podczas zatrudnienia

Odpowiedzialność kierownictwa

Świadomość, edukacja i szkolenia dotyczące
bezpieczeństwa informacji

Postępowanie dyscyplinarne

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.8. Bezpieczeństwo osobowe

Po zakończeniu (zmianie) zatrudnienia

Odpowiedzialność związane z zakończeniem
zatrudnienia

Zwrot aktywów

Odebranie praw dostępu

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.9. Bezpieczeństwo fizyczne i
środowiskowe

Granice bezpieczeństwa fizycznego

Fizyczne zabezpieczenie wejścia

Zabezpieczenie biur, pomieszczeń i urządzeń

Ochrona przed zagrożeniami zewnętrznymi
środowiskowymi

Praca w obszarach bezpiecznych

Publiczny dostęp – obszary dostaw i załadunku

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.9. Bezpieczeństwo fizyczne i
środowiskowe

Rozmieszczenie sprzętu i jego ochrona

Podtrzymywanie zasilania

Bezpieczeństwo okablowania

Utrzymanie sprzętu

Zabezpieczenie sprzętu poza siedzibą

Bezpieczne usuwanie lub ponowne użycie sprzętu

Wynoszenie mienia

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.10. Zarządzanie komunikacją

Dokumentowanie procedur stosowania

Zarządzanie zmianami

Podział obowiązków

Rozdział urządzeń testujących i operacyjnych

Usługi dostawcy

Monitorowanie i przegląd usług świadczonych

przez strony 3

Zarządzanie zmianami w usługach świadczonych

przez s. 3

Zarządzanie wydajnością

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.10. Zarządzanie komunikacją

Akceptacja systemu

Ochrona przed szkodliwym oprogramowaniem

Ochrona przed mobilnym oprogramowaniem

Archiwizacja informacji

Zabezpieczenie sieci

Bezpieczeństwo usług sieciowych

Zarządzanie wymiennymi nośnikami

komputerowymi

Niszczenie nośników

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.10. Zarządzanie komunikacją

Procedury postępowania z informacją

Bezpieczeństwo dokumentacji systemu

Polityka i procedury wymiany informacji

Umowy dotyczące wymiany

Transport nośników fizycznych

Przesyłanie poczty elektronicznej

Systemy informacji dotyczące biznesu

Handel elektroniczny

Transakcje on-line

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.10. Zarządzanie komunikacją

Informacje dostępne publicznie

Rejestry audytów

Korzystanie z systemu monitoringu

Ochrona informacji zawartych w rejestrach

Rejestry administratora i operatora

Rejestry błędów

Synchronizacja zegarów

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.11. Kontrola dostępu

Polityka kontroli dostępu

Rejestracja użytkowników

Zarządzanie przywilejami

Zarządzanie hasłami

Przegląd praw dostępu

Używanie haseł

Pozostawienie sprzętu użytkownika bez opieki

Polityka czystego biurka i czystego ekranu

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.11. Kontrola dostępu

Polityka korzystania z usług sieciowych

Uwierzytelnianie użytkowników przy
połączeniach zewn.

Identyfikacja sprzętu w sieci

Ochrona zdalnych portów diagnostycznych

Rozdzielanie sieci

Kontrola połączeń sieciowych

Kontrola dróg połączeń w sieciach

Bezpieczne procedury rejestracji

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.11. Kontrola dostępu

Identyfikacja i potwierdzenie tożsamości klienta

System zarządzania hasłami

Użycie systemowych programów narzędziowych

Upłynięcie czasu sesji

Ograniczenie czasu trwania połączenia

Ograniczenie dostępu do informacji

Izolowanie systemów wrażliwych

Komputery przenośne i komunikacja oraz praca
na odległość

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych

Analiza i specyfikacja wymagań
bezpieczeństwa

Potwierdzenie ważności danych wejściowych

Kontrola wewnętrznego przetwarzania

Integralność wiadomości

Walidacja danych wyjściowych

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych

Polityka używania zabezpieczeń
kryptograficznych

Zarządzanie kluczami

Kontrola oprogramowania operacyjnego

Ochrona systemowych danych testowych

Kontrola dostępu do kodu źródłowego programu

Procedury kontroli zmian

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych

Techniczny przegląd aplikacji po zmianach w
OS

Ograniczenia dotyczące zmian w pakietach
oprogramowania

Przeciek informacji

Prace rozwojowe nad oprogramowaniem
powierzone firmie zewnętrznej

Kontrola podatności technicznych

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.13. Zarządzanie wydarzeniami

Raportowanie wydarzeń związanych z
bezpieczeństwem informacji (kiedy, komu ?)

Raportowanie słabych punktów
(kontrahenci)

Zakres odpowiedzialności (kierownictwa)

Nauka z incydentów związanych z
bezpieczeństwem

Gromadzenie dowodów

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.14. Zarządzanie ciągłością działania

Proces BCM

Ciągłość działania a szacowanie ryzyka (BIA)

Tworzenie planów ciągłości działania

Struktura planowania ciągłości działania
(zgodność)

Ocena planów ciągłości działania

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.15. Zgodność z przepisami prawa

Określenie odpowiednich przepisów prawa

Prawo do własności intelektualnej

Zabezpieczanie zapisów organizacji

Ochrona danych osobowych

Zapobieganie nadużywaniu urządzeń
przetwarzających informacje

background image

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia

A.15. Zgodność z przepisami prawa

Regulacje dotyczące zabezpieczeń
kryptograficznych

Zgodność z politykami bezpieczeństwa

Sprawdzanie zgodności technicznej

Zabezpieczenie audytu systemu (stabilność
SO)

Ochrona narzędzi audytu systemu (dostęp)

background image

Dyskusja

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Ustanowienie SZBI

Wdrożenie i stosowanie SZBI

Monitorowanie i przegląd SZBI

Utrzymanie i doskonalenie SZBI

Dokumentacja SZBI

Nadzór nad dokumentami i zapisami

background image

System zarządzania
bezpieczeństwem informacji (Do)

Odpowiedzialność kierownictwa

Zaangażowanie kierownictwa

Zarządzanie zasobami

Zapewnienie zasobów

Szkolenie, uświadamianie i kompetencje

background image

System zarządzania
bezpieczeństwem informacji
(Check)

Wewnętrzne audyty SZBI

Przegląd zarządu SZBI

background image

System zarządzania
bezpieczeństwem informacji (Act)

Doskonalenie SZBI

Działania korygujące

Działania prewencyjne

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Ustanowienie SZBI

Ustalić zakres i granice SZBI

Określić podejście do oceny ryzyka

Wskazać metodę oceny ryzyka

Wyznaczyć kryteria akceptowania
ryzyka

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Ustanowienie SZBI (cd.)

Określić ryzyka

Aktywa i ich właściciele

Zagrożenia dla aktywów

Podatności

Skutki (w przypadku utraty CIA)

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Ustanowienie SZBI (cd.)

Analiza i ocena ryzyka

Ocenić szkody biznesowe

Ocenić realne prawdopodobieństwa
naruszenia bezpieczeństwa

Ocenić poziomy ryzyk

Stwierdzić czy ryzyko jest akceptowalne

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Ustanowienie SZBI (cd.)

Analiza i ocena ryzyka

Zidentyfikować warianty postępowania z
ryzykiem

Zastosowanie zabezpieczeń

Zaakceptowanie ryzyk w sposób świadomy

Unikanie ryzyk

Transfer ryzyka

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Ustanowienie SZBI (cd.)

Wybrać cele stosowania
zabezpieczeń oraz zabezpieczenia

Wybór z zał. A normy ISO 27001

Nie jest to katalog zamknięty

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Ustanowienie SZBI (cd.)

Uzyskać zgodę kierownictwa na ryzyka

Uzyskać poparcie do wdrażania SZBI

Przygotować deklarację stosowania

Cele stosowania zabezpieczeń i zabezpieczenia
do wdrożenia i już wdrożonych

Wyłączenia z listy z zał. A wraz z wyjaśnieniem

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Wdrożenie i stosowanie SZBI

Sformułować plan postępowania z
ryzykiem

Wdrożyć plan postępowania z ryzykiem
w celu osiągnięcia zidentyfikowanych
celów stosowania zabezpieczeń

Wdrożyć zabezpieczenia

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Wdrożenie i stosowanie SZBI

Zdefiniować pomiary efektywności
zabezpieczeń do oceny skuteczności
zabezpieczeń

Wdrożyć programy uświadamiania i szkolenia

Zarządzanie stosowaniem SZBI

Zarządzanie zasobami SZBI

Wdrażać procedury wykrywania i reakcji na
incydenty

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Monitorowanie i przegląd SZBI

Monitorować zabezpieczenia, aby

Wykrywać błędy

Identyfikować naruszenia
bezpieczeństwa

Oceniać czy działania podjęte w celu
usunięcia problemu były skuteczne

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Monitorowanie i przegląd SZBI

Wykonywać regularne przeglądy
skuteczności SZBI biorąc pod uwagę
informacje zwrotne

Mierzyć skuteczność zabezpieczeń

Dokonywać przeglądów oceny ryzyka

Uwzględniać zmiany w organizacji, technologii,
celach biznesowych, procesach, zagrożeniach,
zabezpieczeniach, prawie

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Monitorowanie i przegląd SZBI

Przeprowadzać audyty wewnętrzne ()

Przeprowadzać przeglądy realizowane przez
kierownictwo

Uaktualniać plany dotyczące bezpieczeństwa
uwzględniając wyniki przeglądów

Rejestrować zdarzenia mogące mieć wpływ na
SZBI

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Ustanowienie i zarządzanie SZBI

Utrzymanie i doskonalenie SZBI

Wdrażać zidentyfikowane udoskonalenia

Podejmować działania
prewencyjne/korekcyjne

Informować o wynikach działań

Zapewniać, że udoskonalenia spełniają
stawiane cele

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Dokumentacja SZBI

Nadzór nad dokumentami i zapisami

Dokumentacja powinna zawierać

Deklaracje polityki i celów SZBI

Zakres SZBI

Procedury służące realizacji SZBI

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Dokumentacja SZBI

Nadzór nad dokumentami i zapisami

Dokumentacja powinna zawierać

Opis metodyki oceny ryzyka

Raport oceny ryzyka

Plan postępowania z ryzykiem

Udokumentowane procedury potrzebne do
zapewnienia efektywnego planowania i
stosowania SZBI

Zapisy wymagane przez normę i deklarację
stosowania

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Dokumentacja SZBI

Nadzór nad dokumentami i zapisami

Nadzór nad dokumentami

Dokumenty powinny być chronione i
nadzorowane

Procedury udokumentowane:

aktualizacji, zapewnienia czytelności dokumentów,

dostępności, zapewnienia najnowszych wersji

zapewnienia, że rozpowszechnianie dokumentów
jest kontrolowane

background image

System zarządzania
bezpieczeństwem informacji (Plan)

Dokumentacja SZBI

Nadzór nad dokumentami i zapisami

Nadzór nad zapisami

Ustanowienie oraz utrzymanie
odpowiednich zapisów

Zapewnienie ochrony, nadzoru zapisów

Zapewnienie czytelności zapisów

Zapisy dot. procesów i incydentów

background image

System zarządzania
bezpieczeństwem informacji (Do)

Odpowiedzialność kierownictwa

Zaangażowanie kierownictwa

Ustanowienie polityki bezpieczeństwa

Zapewnienie, że cele bezpieczeństwa
zostały ustanowione

Określenie ról i zakresów
odpowiedzialności

background image

System zarządzania
bezpieczeństwem informacji (Do)

Odpowiedzialność kierownictwa

Zaangażowanie kierownictwa

Informowanie organizacji o znaczeniu spełnienia
celów bezpieczeństwa informacji i skutkach
prawnych

Zapewnienie wystarczających zasobów dla SZBI

Decydowanie o kryteriach akceptowalności ryzyk

Przeprowadzanie audytów wewnętrznych
i przeglądów zarządu

background image

System zarządzania
bezpieczeństwem informacji (Do)

Odpowiedzialność kierownictwa

Zapewnienie zasobów

Zapewnić zasoby niezbędne do stosowania,
przeglądu, utrzymania i doskonalenia SZBI

Zapewnić zasoby potrzebne do utrzymania
odpowiedniego bezpieczeństwa

Zapewnić zasoby niezbędne do spełnienia
wymagań natury prawnej

background image

System zarządzania
bezpieczeństwem informacji (Do)

Odpowiedzialność kierownictwa

Szkolenie, uświadamianie i kompetencje

Zapewnienie, że cały personel w SZBI
ma stosowne kompetencje

Zdefiniowanie koniecznych kompetencji

Szkolenia i ocenę skuteczności szkoleń

Prowadzenie zapisów dot. edukacji,
szkoleń, umiejętności, doświadczenia,
kwalifikacji

background image

System zarządzania
bezpieczeństwem informacji
(Check)

Wewnętrzne audyty SZBI

Przeglądy SZBI mają na celu określenie
czy cele stosowania zabezpieczeń,
zabezpieczenia, procesy i procedury są
zgodne z normą, prawem

Powinny być realizowane w oczekiwany
sposób

O czasie, o właściwym zakresie, wskazywać
czynności poaudytowe

background image

System zarządzania
bezpieczeństwem informacji
(Check)

Przegląd zarządu SZBI

Przeglądy zarządzania w zaplanowanych
odstępach czasu w celu zapewnienia jego
poprawności, odpowiedzialności i
skuteczności

Dane wejściowe: wyniki audytów, informacje
zwrotne, podatności i zagrożenia, rezultaty
pomiarów skuteczności, działań poprzeglądowych,
zaleceń

Dane wyjściowe: aktualizacja planu postępowania z
ryzykiem, modyfikacja procedur dot.
Bezpieczeństwa i inne

background image

System zarządzania
bezpieczeństwem informacji (Act)

Doskonalenie SZBI

Działania korygujące

Eliminacja przyczyny niezgodności
związanych
z wdrożeniem i stosowaniem SZBI

Identyfikacja niezgodności

Stwierdzenie przyczyny niezgodności

Oceny potrzeby działań

Wskazanie działań, ich udokumentowanie (zapisy)

Przegląd podjętych działań

background image

System zarządzania
bezpieczeństwem informacji (Act)

Doskonalenie SZBI

Działania prewencyjne

Wskazanie działań podejmowanych w celu
ochrony przed potencjalnymi
niezgodnościami
z wymaganiami SZBI

Identyfikacja potencjalnych niezgodności i przyczyn

Ocena potrzeby działań

Wskazanie działań, ich udokumentowanie (zapisy)

Przegląd podjętych działań prewencyjnych


Document Outline


Wyszukiwarka

Podobne podstrony:
Normy i standardy z zakresu bezpieczenstwa informacyjnego i teleinformatycznego
polityka bezpieczeństwa informacji
Audyt bezpieczenstwa informacji w praktyce
Bezpieczeństwo informacyjne w zarządzaniu firmą artykuł
Cw ZBI 2011 lato, SEMESTR VIII, Zarzadzanie bezpiecz. informacji
Ochrona danych osobowych a bezpieczeństwo informacji, Studia, Ochrona własności intelektualnej
14. Podstawowe aspekty bezpieczeństwa informacji (12.01.09), PODSTAWOWE ASPEKTY BEZPIECZEŃSTWA INFOR
KANCELARIA BEZPIECZEŃSTWO INFORMACJI logo czarno-biale
Bezpieczeństwo informacyjno techniczne temat 3
Bezpieczenstwo informacji zagrozenia
4 Systemy zarządzania bezpieczeństwem informacji
KANCELARIA BEZPIECZEŃSTWO INFORMACJI logo czarno biale

więcej podobnych podstron