2210689412

o^ios

Bezpieczeństwo informacyjne

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Przedstawiony pakiet usług ma za cel wspomaganie systemu zarządzania bezpieczeństwem informacyjnym, obejmującego strukturę zarządzania bezpieczeństwem IT oraz mechanizmy zapewnienia bezpieczeństwa, zarówno prawne, organizacyjne jak i oferowane przez rozwiązania techniczne.

>    Podstawą podejmowanych działań jest identyfikacja procesów wykorzystujących usługi informatyczne oraz zasobów informacyjnych, wykonana pod kątem odnalezienia procesów i zasobów krytycznych, z punktu widzenia głównych atrybutów bezpieczeństwa informacyjnego - poufności, integralności i dostępności. Celem identyfikacji jest wydzielenie określonych typów procesów i zasobów, dla których można następnie stworzyć wzorcowe szablony polityki bezpieczeństwa.

>    Dalsze prace obejmują szczegółową identyfikację wymagań bezpieczeństwa

dla procesów i zasobów. Niektóre wymagania bezpieczeństwa mogą być zdefiniowane w rozmaitych dokumentach wewnętrznych przedsiębiorstwa, od rozporządzeń normatywnych wydanych przez Zarząd, poprzez przepisy wynikające z wymogów ustawowych, aż po dokumentację projektową systemów informatycznych. Zgromadzenie wszystkich wymagań bezpieczeństwa i przedstawienie ich w jednolitym formacie, stanowi punkt wyjścia do ich systematyzacji i weryfikacji oraz do opracowania polityk bezpieczeństwa dla poszczególnych systemów informatycznych.

>    Inwentaryzacja systemów informatycznych stanowi podstawę do opracowania szczegółowych wytycznych, umożliwiających spełnienie wymagań bezpieczeństwa. Inwentaryzacja wykonywana jest na szczegółowym poziomie technicznym, w sposób automatyczny, przy pomocy narzędzi informatycznych. Celem inwentaryzacji jest, z jednej strony, dokładne poznanie środowiska systemów wykorzystywanych w przedsiębiorstwie, z drugiej zaś strony przyporządkowanie konkretnych urządzeń, oprogramowania i elementów infrastruktury, zidentyfikowanym wcześniej procesom i zasobom.

>    Analiza ryzyka stanowi kluczowy składnik prac, pozwalający na ustalenie, na jakie niebezpieczeństwa i w jakim zakresie narażone są zasoby i procesy informatyczne. W zależności od rangi analizowanych systemów, można przeprowadzić szczegółową analizę architektury i konfiguracji badanych systemów lub analizę podstawową (baseline), opierającą się na gotowych katalogach zagrożeń.

> Wyniki analizy ryzyka oraz wytyczne bezpieczeństwa służą do opracowania rozwiązań, w postaci koncepcji, projektów i wdrożeń środków prawnych, organizacyjnych i technicznych, umożliwiających obniżenie ryzyka do poziomu ocenianego jako wystarczająco niski, w świetle opracowanych wcześniej wymagań bezpieczeństwa. W tym celu wykorzystywane są w zależności od potrzeb standardy generyczne (ISO/IEC 17799, IT BPM itp.), jak również standardy i zalecenia bezpieczeństwa odnoszące się do konkretnych produktów i technologii.

[1/7]

Maciej Kaniewski (c)