7506567171

o „ boczne wejście" do systemu, stworzone w celu „.ułatwienia" jego pielęgnacji; o publicznie dostępne informacje o używanym oprogramowaniu; o podstęp, udawanie pracownika serwisu, dostawcy; o wymuszenie, szantaż;

o przeszukanie śmieci, wyrzucanej makulatury lub nośników danych

-    Przykłady chronionych zasobów

o Sprzęt komputerowy o Infrastruktura sieciowa o Wydruki o Strategiczne dane o Kopie zapasowe

o Wersje instalacyjne oprogramowania o Dane osobowe o Dane audytu o Zdrowie pracowników o Prywatność pracowników o Zdolności produkcyjne o Wizerunek publiczny i reputacja

-    Przykłady zagrożeń

o Włamywacze komputerowi o Infekcje wirusami

o Nieuczciwi pracownicy lub personel zewnętrzny o Błędy w programach

o Kradzież nośników danych, komputerów (również w podróży służbowej) o Utrata możliwości korzystania z łączy telekomunikacyjnych o Bankructwo firmy serwisowej lub producenta sprzętu

o Choroba administratora lub kierownika projektu (jednoczesna choroba wielu osób) o Powódź

Polityka bezpieczeństwa

-    Powinna być elementem polityki biznesowej firmy.

-    Etapy realizacji:

o zaprojektowanie, o zaimplementowanie,

o zarządzanie (w tym monitorowanie i okresowe audyty bezpieczeństwa).

-    Zakres tematyczny:

o definicja celu i misji polityki bezpieczeństwa, o standardy i wytyczne których przestrzegania wymagamy, o kluczowe zadania do wykonania, o zakresy odpowiedzialności

-    Specyfikacja środków:

o ochrona fizyczna,

o polityka proceduralno-kadrowa (odpowiedzialność personalna, kto kogo zastępuje), o rozwiązania techniczne, informatyczne.

Normy i zalecenia zarządzania bezpieczeństwem

-    Stworzono wiele dokumentów poświęconych realizacji polityki bezpieczeństwa.

o Norma ISO/IECTechnical Report 13335 (ratyfikowana w naszym kraju jako PN-l-13335) obejmuje: o TR13335-1 — terminologia i modele;

o TR 13335-2 — metodyka planowania i prowadzenia analizy ryzyka, specyfikacja wymagań stanowisk pracy związanych z bezpieczeństwem systemów informatycznych; o TR 13335-3 — techniki zarządzania bezpieczeństwem:

■    zarządzanie ochroną informacji,

■    zarządzanie konfiguracją systemów IT,

■    zarządzanie zmianami;

o TR 13335-4 — metodyka doboru zabezpieczeń; o WD13335-5 — zabezpieczanie połączeń z sieciami zewnętrznymi.

-    Należałoby wymienić tu jeszcze kilkadziesiąt norm.

-    Nikt nie jest w stanie tego wszystkiego przeczytać w rozsądnym czasie.

BSK Strona 4