Ergonomia procesów informacyjnych
-
Upload
patience-casey -
Category
Documents
-
view
44 -
download
1
description
Transcript of Ergonomia procesów informacyjnych
Ergonomia procesów Ergonomia procesów informacyjnychinformacyjnych
Ochrona zasobówOchrona zasobów
Ochrona zasobówOchrona zasobów
Obejmuje ochronę:Obejmuje ochronę:Systemów komputerowych,Systemów komputerowych,
Ludzi,Ludzi,
Oprogramowania,Oprogramowania,
Informacji.Informacji.
ZagrożeniaZagrożenia::
Przypadkowe,Przypadkowe,
Celowe.Celowe.
Zagrożenia zamierzoneZagrożenia zamierzonePasywnePasywne::
monitorowanie,monitorowanie, podgląd,podgląd,
AktywneAktywne:: Powielanie programów,Powielanie programów, Oszustwa,Oszustwa, Wymuszanie przerw w pracy systemu,Wymuszanie przerw w pracy systemu, Wykorzystanie sprzętu służbowego do celów Wykorzystanie sprzętu służbowego do celów
prywatnych,prywatnych, Ujawnianie i usuwanie informacji Ujawnianie i usuwanie informacji
gospodarczych.gospodarczych.
Zagrożenia losoweZagrożenia losoweZewnętrzne:Zewnętrzne:
Temperatura, wilgotność,Temperatura, wilgotność, Wyładowania atmosferyczne,Wyładowania atmosferyczne, Awarie (zasilania, klimatyzacji, wodociągowe),Awarie (zasilania, klimatyzacji, wodociągowe), KatastrofyKatastrofy Kataklizmy,Kataklizmy,
Wewnętrzne:Wewnętrzne: Błędy administratora,Błędy administratora, Defekty programowe lub sprzętowe,Defekty programowe lub sprzętowe, Błędy użytkowników,Błędy użytkowników, Zgubienie, zniszczenie danych.Zgubienie, zniszczenie danych.
ZabezpieczeniaZabezpieczenia
FizyczneFizyczne – zamykane pomieszczenia, – zamykane pomieszczenia,
szafy, przepustki, identyfikatory,szafy, przepustki, identyfikatory,
TechniczneTechniczne – urządzenia i – urządzenia i
oprogramowanie, alarmy, monitoring,oprogramowanie, alarmy, monitoring,
AdministracyjneAdministracyjne – polityka – polityka
bezpieczeństwa, analiza zagrożeń i bezpieczeństwa, analiza zagrożeń i
ryzyka, procedury bezpieczeństwa, ryzyka, procedury bezpieczeństwa,
szkolenia i uświadamianie.szkolenia i uświadamianie.
Ocena ryzykaOcena ryzyka
Identyfikacja zagrożeń,Identyfikacja zagrożeń,
Ocena prawdopodobieństwa wystąpienia strat,Ocena prawdopodobieństwa wystąpienia strat,
Ocena podatności zasobów na zagrożenia,Ocena podatności zasobów na zagrożenia,
Ocena strat i zniszczeń (potencjalnych),Ocena strat i zniszczeń (potencjalnych),
Identyfikacja działań minimalizujących ryzyko i Identyfikacja działań minimalizujących ryzyko i
potencjalne straty,potencjalne straty,
Dokumentowanie,Dokumentowanie,
Opracowanie planów działań prewencyjnych.Opracowanie planów działań prewencyjnych.
Polityka zabezpieczaniaPolityka zabezpieczania
Polityka ogólnego planu zabezpieczeń,Polityka ogólnego planu zabezpieczeń,
(Na wysokim poziomie ogólności)(Na wysokim poziomie ogólności)
Polityka struktury programu zabezpieczeń,Polityka struktury programu zabezpieczeń,
(Specyficzna dla każdej organizacji)(Specyficzna dla każdej organizacji)
Polityka zorientowana na przedsięwzięcia,Polityka zorientowana na przedsięwzięcia,
(Skoncentrowana na zadaniach bieżących organizacji)(Skoncentrowana na zadaniach bieżących organizacji)
Polityka zorientowana na systemyPolityka zorientowana na systemy
(Na poziomie ewidencji zasobów i zagrożeń).(Na poziomie ewidencji zasobów i zagrożeń).
WedługWedług: : National Institute of Standards and Technology (NIST) USANational Institute of Standards and Technology (NIST) USA
Strategie zabezpieczaniaStrategie zabezpieczania
Fazy wdrażania strategiiFazy wdrażania strategii::
Zrozumienie sytuacji obecnej,Zrozumienie sytuacji obecnej,
Zdefiniowanie środowiska najbardziej Zdefiniowanie środowiska najbardziej
pożądanego,pożądanego,
Ocena rozwiązań alternatywnych, najbardziej Ocena rozwiązań alternatywnych, najbardziej
pożądanych, ocena ryzyka,pożądanych, ocena ryzyka,
Określenie najlepszej procedury postępowania,Określenie najlepszej procedury postępowania,
Rozpoczęcie wykonania planuRozpoczęcie wykonania planu..
Kategorie zabezpieczeńKategorie zabezpieczeńKategoria AKategoria A – ochrona zweryfikowana (formalna – ochrona zweryfikowana (formalna
specyfikacja projektu zabezpieczeń i formalny model specyfikacja projektu zabezpieczeń i formalny model
polityki zabezpieczeń),polityki zabezpieczeń),
Kategoria BKategoria B – ochrona narzucona (bezpieczeństwo – ochrona narzucona (bezpieczeństwo
wielopoziomowe, dostęp narzucony),wielopoziomowe, dostęp narzucony),
Kategoria CKategoria C – ochrona uznaniowa (użytkownik może – ochrona uznaniowa (użytkownik może
odebrać lub nadać komuś innemu prawa dostępu),odebrać lub nadać komuś innemu prawa dostępu),
Kategoria DKategoria D – ochrona minimalna (nie zawiera – ochrona minimalna (nie zawiera
mechanizmów zabezpieczających).mechanizmów zabezpieczających).
WedługWedług: Ministerstwo Obrony: Ministerstwo Obrony USA; raport: Kryteria oceny wiarygodności systemów USA; raport: Kryteria oceny wiarygodności systemów
komputerowych (Orange Book).komputerowych (Orange Book).
Kryteria oceny systemów Kryteria oceny systemów informatycznychinformatycznych
Poufność – ochrona przed ujawnieniem informacji,Poufność – ochrona przed ujawnieniem informacji,
Integralność – ochrona przed modyfikacją,Integralność – ochrona przed modyfikacją,
Dostępność – gwarancja uprawnionego dostępu,Dostępność – gwarancja uprawnionego dostępu,
Rozliczalność – określenie i weryfikacja Rozliczalność – określenie i weryfikacja
odpowiedzialności,odpowiedzialności,
Autentyczność – weryfikacja tożsamości,Autentyczność – weryfikacja tożsamości,
Niezawodność – gwarancja odpowiedniego Niezawodność – gwarancja odpowiedniego
zachowania się systemu.zachowania się systemu.
Cz. 1.Cz. 1.Polityka bezpieczeństwa informacjiPolityka bezpieczeństwa informacji
System Bezpieczeństwa System Bezpieczeństwa InformacjiInformacji
System bezpieczeństwa System bezpieczeństwa informacji (SBI)informacji (SBI)
Akty prawneAkty prawne
Tworzenie dokumentacji SBITworzenie dokumentacji SBI Polityka Bezpieczeństwa,Polityka Bezpieczeństwa,
Instrukcja Zarządzania Systemem,Instrukcja Zarządzania Systemem,
Inne (zalecenia, instrukcje, procedury).Inne (zalecenia, instrukcje, procedury).
Wdrożenie SBIWdrożenie SBI
Eksploatowanie i opieka nad SBIEksploatowanie i opieka nad SBI
Dlaczego wdraża się SBI?Dlaczego wdraża się SBI?
Wymogi ustawoweWymogi ustawowe Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych,osobowych, Rozporządzenie Ministra Spraw Wewnętrznych i Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. w sprawie Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych informatyczne służące do przetwarzania danych osobowych,osobowych,
Dążenie do doskonalenia organizacjiDążenie do doskonalenia organizacji Informacje zawarte w oświadczeniu o intencjachInformacje zawarte w oświadczeniu o intencjach
Polityka BezpieczeństwaPolityka BezpieczeństwaStruktury organizacyjne SBI,Struktury organizacyjne SBI,Oszacowanie ryzyka,Oszacowanie ryzyka,Kształcenie w zakresie bezpieczeństwa Kształcenie w zakresie bezpieczeństwa informacji,informacji,Opis obszaru w którym przetwarzane są Opis obszaru w którym przetwarzane są informacje,informacje,Opis przetwarzanych informacji,Opis przetwarzanych informacji,Opis środków technicznych i Opis środków technicznych i organizacyjnych,organizacyjnych,Audyty SBI.Audyty SBI.
Ochrona danychOchrona danych
Dane osobowe:Dane osobowe:
„„Każda informacja dotycząca osoby Każda informacja dotycząca osoby fizycznej, pozwalająca na określenie jej fizycznej, pozwalająca na określenie jej tożsamości” tożsamości”
Pozostałe dane:Pozostałe dane: Dane finansowe,Dane finansowe, Dane związane z prowadzoną działalnością,Dane związane z prowadzoną działalnością, Inne dane „wewnętrzne”.Inne dane „wewnętrzne”.
Oświadczenie o intencjach - Oświadczenie o intencjach - dlaczegodlaczego
Mając na uwadze akty prawne dotyczące Mając na uwadze akty prawne dotyczące ochrony danych komputerowych,ochrony danych komputerowych,
Uwzględniając szeroko rozumiane dobro Uwzględniając szeroko rozumiane dobro klientów, powiązanych instytucji klientów, powiązanych instytucji organizacji, własnego przedsiębiorstwa i organizacji, własnego przedsiębiorstwa i pracowników,pracowników,
Dążąc do ciągłego rozwoju i usprawniania Dążąc do ciągłego rozwoju i usprawniania własnej organizacji,własnej organizacji,
Oświadczenie o intencjach – Oświadczenie o intencjach – deklarowanedeklarowane działaniadziałania
Zdąża się do zapewnienia maksymalnej, Zdąża się do zapewnienia maksymalnej, możliwej ochrony eksploatowanego możliwej ochrony eksploatowanego systemu informatycznego.systemu informatycznego.Wdrożona zostanie Polityka Wdrożona zostanie Polityka Bezpieczeństwa i jej postanowienia będą Bezpieczeństwa i jej postanowienia będą egzekwowane w maksymalnym, egzekwowane w maksymalnym, uzasadnionymuzasadnionym zakresie. zakresie.Dążyć się będzie do ciągłego podnoszenia Dążyć się będzie do ciągłego podnoszenia poziomu bezpieczeństwa danych poziomu bezpieczeństwa danych przetwarzanych w zasobach przetwarzanych w zasobach informatycznych przedsiębiorstwa.informatycznych przedsiębiorstwa.
Zarządzanie informacją (TISM)Zarządzanie informacją (TISM)
Pion administracyjny/
informatyczny
POLITYKA BEZPIECZEŃSTWA INFORMACJI
GRUPY INFORMACJI
SYSTEMY PRZETWARZANIA
GAI
AI
AS
GABI
ABI
ABS
DYREKTOR
Pion bezpieczeństwa
GABS
Struktura systemu bezpieczeństwa (TISM)Struktura systemu bezpieczeństwa (TISM)
Pion administracyjny
GAI
AI
AS
GABI
ABI
GABS
ABS
DYREKTOR
Pion bezpieczeństwa
GRUPA
INFORMACJI
SYSTEM PRZETWARZANIA
POLITYKA BEZPIECZEŃSTWA
Struktura SBI - przykładStruktura SBI - przykład
SYSTEMBEZPIECZEŃSTWA
INFORMACJI
GŁÓWNY ADMINISTRATOR
INFORMACJI(GAI)
GŁÓWNY ADMINISTRATORBEZPIECZEŃSTWA
(GABI)
ADMINISTRATORSYSTEMU
INFORMATYCZNEGO(AS)
Zakres PB (1)Zakres PB (1)
1.1. CEL I ZAKRES DOKUMENTUCEL I ZAKRES DOKUMENTU
2.2. DEFINICJA BEZPIECZEŃSTWA DEFINICJA BEZPIECZEŃSTWA INFORMACJIINFORMACJI
3.3. OŚWIADCZENIE O INTENCJACHOŚWIADCZENIE O INTENCJACH
4.4. WYJAŚNIENIE TERMINOLOGII UŻYTEJ WYJAŚNIENIE TERMINOLOGII UŻYTEJ W POLITYCE, PODSTAWOWE DEFINICJE, W POLITYCE, PODSTAWOWE DEFINICJE, ZAŁOŻENIAZAŁOŻENIA
5.5. ANALIZA RYZYKAANALIZA RYZYKA
6.6. OKREŚLENIE OGÓLNYCH I OKREŚLENIE OGÓLNYCH I SZCZEGÓLNYCH OBOWIĄZKÓW W SZCZEGÓLNYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA ODNIESIENIU DO ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJIBEZPIECZEŃSTWEM INFORMACJI
Zakres PB (2)Zakres PB (2)
7.7. OKREŚLENIE DZIAŁÓW OKREŚLENIE DZIAŁÓW ORGANIZACYJNYCH ORAZ STANOWISK ORGANIZACYJNYCH ORAZ STANOWISK ODPOWIEDZIALNYCH ZA WDRAŻANIE I ODPOWIEDZIALNYCH ZA WDRAŻANIE I PRZESTRZEGANIE ZASAD POLITYKIPRZESTRZEGANIE ZASAD POLITYKI
8.8. WYMAGANIA DOTYCZĄCE WYMAGANIA DOTYCZĄCE KSZTAŁCENIA W DZIEDZINIE KSZTAŁCENIA W DZIEDZINIE BEZPIECZEŃSTWA, ODPOWIEDZIALNE BEZPIECZEŃSTWA, ODPOWIEDZIALNE OSOBY, ZAKRES SZKOLENIAOSOBY, ZAKRES SZKOLENIA
9.9. SPOSÓB ZGŁASZANIA, SPOSÓB ZGŁASZANIA, KONSEKWENCJE I ODPOWIEDZIALNOŚĆ KONSEKWENCJE I ODPOWIEDZIALNOŚĆ NARUSZENIA POLITYKI BEZPIECZEŃSTWANARUSZENIA POLITYKI BEZPIECZEŃSTWA
10.10. ZAKRES ROZPOWSZECHNIANIA ZAKRES ROZPOWSZECHNIANIA DOKUMENTUDOKUMENTU
Zakres PB (3)Zakres PB (3)
11.11. WYKAZ BUDYNKÓW, POMIESZCZEŃ WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE.DANE OSOBOWE.
12.12. WYKAZ ZBIORÓW DANYCH WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH.PRZETWARZANIA TYCH DANYCH.
13.13. OPIS STRUKTURY ZBIORÓW DANYCH OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMINIMI
Zakres PB (4)Zakres PB (4)
14.14. OKREŚLENIE POZIOMU OKREŚLENIE POZIOMU BEZPIECZEŃSTWABEZPIECZEŃSTWA
15.15. OKREŚLENIE ŚRODKÓW OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH ROZLICZALNOŚCI PRZETWARZANYCH DANYCHDANYCH
16.16. WEWNĘTRZNY AUDYT WEWNĘTRZNY AUDYT BEZPIECZEŃSTWA DANYCH OSOBOWYCH I BEZPIECZEŃSTWA DANYCH OSOBOWYCH I SYSTEMÓW DO ICH PRZETWARZANIASYSTEMÓW DO ICH PRZETWARZANIA
Cz. 2.Cz. 2.Zarządzanie systememZarządzanie systemem
System Bezpieczeństwa System Bezpieczeństwa InformacjiInformacji
Instrukcja ZarządzaniaInstrukcja Zarządzania
Szczegółowe procedury dotyczące:Szczegółowe procedury dotyczące: Uprawnień użytkowników systemu,Uprawnień użytkowników systemu, Archiwizacji danych,Archiwizacji danych, Zabezpieczenia przed niepowołanym dostępem,Zabezpieczenia przed niepowołanym dostępem, Zabezpieczenia antywirusowe,Zabezpieczenia antywirusowe, Konserwacji systemu,Konserwacji systemu, Przechowywania nośników,Przechowywania nośników, Likwidacji zbiorów danych.Likwidacji zbiorów danych.
Ogólne zasady- administratorzy systemów Ogólne zasady- administratorzy systemów - odpowiedzialność- odpowiedzialność
Udostępnienie sprawnego sprzętu Udostępnienie sprawnego sprzętu komputerowego i telekomunikacyjnego wraz komputerowego i telekomunikacyjnego wraz ze sprawnymi systemami: operacyjnym, ze sprawnymi systemami: operacyjnym, użytkowym i narzędziowym;użytkowym i narzędziowym;Właściwe ustawienie parametrów systemów Właściwe ustawienie parametrów systemów operacyjnych i użytkowych;operacyjnych i użytkowych;Codzienną obsługę systemów;Codzienną obsługę systemów;Zagwarantowanie serwisu technicznego;Zagwarantowanie serwisu technicznego;Określenie zasad postępowania w przypadku Określenie zasad postępowania w przypadku konieczności wyłączenia systemu, konieczności wyłączenia systemu, spowodowanego nagłym zdarzeniem spowodowanego nagłym zdarzeniem losowym (takich jak zagrożenie bombowe, losowym (takich jak zagrożenie bombowe, pożar, powódź).pożar, powódź).
Ogólne zasady- systemyOgólne zasady- systemyGABI może wyznaczyć administratora GABI może wyznaczyć administratora bezpieczeństwa informacji (ABI);bezpieczeństwa informacji (ABI);Główny administrator informacji (GAI) może Główny administrator informacji (GAI) może wyznaczyć administratora informacji (AI) oraz wyznaczyć administratora informacji (AI) oraz wyznacza osobę zastępującą administratora wyznacza osobę zastępującą administratora informacji podczas jego nieobecności.informacji podczas jego nieobecności.Dla każdego systemu o kluczowym znaczeniu, który Dla każdego systemu o kluczowym znaczeniu, który nie przetwarza danych osobowych GABI może nie przetwarza danych osobowych GABI może wyznaczyć administratora bezpieczeństwa wyznaczyć administratora bezpieczeństwa informacji (ABI), a GAI administratora informacji (AI) informacji (ABI), a GAI administratora informacji (AI) oraz osobę zastępującą AI podczas jego oraz osobę zastępującą AI podczas jego nieobecności.nieobecności.Zakres obowiązków administratorów Zakres obowiązków administratorów bezpieczeństwa informacji (ABI) dla systemów bezpieczeństwa informacji (ABI) dla systemów przetwarzających dane osobowe opracowuje główny przetwarzających dane osobowe opracowuje główny administrator bezpieczeństwa informacji (GABI); administrator bezpieczeństwa informacji (GABI); Zakresy obowiązków administratorów informacji Zakresy obowiązków administratorów informacji (AI), jeżeli występują, opracowuje główny (AI), jeżeli występują, opracowuje główny administrator informacji (GAI);administrator informacji (GAI);
Ogólne zasady- systemy kluczoweOgólne zasady- systemy kluczowe
Prowadzi się „Prowadzi się „Dziennik pracy systemu Dziennik pracy systemu informatycznegoinformatycznego”.”.
Tworzy się „Tworzy się „Spis numerów telefonów do firm Spis numerów telefonów do firm serwisowychserwisowych”.”.
Prowadzi się „Prowadzi się „Rejestr kopii archiwalnych i Rejestr kopii archiwalnych i awaryjnychawaryjnych”.”.
AS systemu przechowuje dokumentację techniczną AS systemu przechowuje dokumentację techniczną sprzętu oraz oprogramowania wchodzącego w skład sprzętu oraz oprogramowania wchodzącego w skład systemu.systemu.
AS w przypadku poważnych problemów z AS w przypadku poważnych problemów z przetwarzaniem danych w systemie ma obowiązek przetwarzaniem danych w systemie ma obowiązek powiadomić o tym fakcie: GABI oraz ABI.powiadomić o tym fakcie: GABI oraz ABI.
Dla każdego systemu o kluczowym znaczeniu Dla każdego systemu o kluczowym znaczeniu prowadzona jest ewidencja użytkowników.prowadzona jest ewidencja użytkowników.
Instrukcja zarządzania - Zakres Instrukcja zarządzania - Zakres Cz.1.Cz.1.
CEL I ZAKRES DOKUMENTUCEL I ZAKRES DOKUMENTUWYJAŚNIENIE UŻYTEJ TERMINOLOGIIWYJAŚNIENIE UŻYTEJ TERMINOLOGIIOGÓLNE ZASADY ZARZĄDZANIA OGÓLNE ZASADY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYMSYSTEMEM INFORMATYCZNYMPROCEDURY NADAWANIA UPRAWNIEŃ DO PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM ORAZ SYSTEMIE INFORMATYCZNYM ORAZ WSKAZANIE OSOBY ODPOWIEDZIALNEJ ZA WSKAZANIE OSOBY ODPOWIEDZIALNEJ ZA TE CZYNNOŚCITE CZYNNOŚCIPROCEDURY ROZPOCZĘCIA, ZAWIESZENIA PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMUDLA UŻYTKOWNIKÓW SYSTEMU
Instrukcja zarządzania - Zakres Instrukcja zarządzania - Zakres Cz.2.Cz.2.
METODA I CZĘSTOTLIWOŚĆ TWORZENIA METODA I CZĘSTOTLIWOŚĆ TWORZENIA KOPII DANYCH ORAZ KOPII SYSTEMU KOPII DANYCH ORAZ KOPII SYSTEMU INFORMATYCZNEGOINFORMATYCZNEGOZABEZPIECZENIE SYSTEMU ZABEZPIECZENIE SYSTEMU INFORMATYCZNEGO PRZED DOSTĘPEM INFORMATYCZNEGO PRZED DOSTĘPEM OSÓB NIEUPRAWNIONYCHOSÓB NIEUPRAWNIONYCHPOSTĘPOWANIE W PRZYPADKU AWARII POSTĘPOWANIE W PRZYPADKU AWARII ORAZ NARUSZENIA OCHRONY DANYCHORAZ NARUSZENIA OCHRONY DANYCHPRZEGLĄD, KONSERWACJA I NAPRAWA PRZEGLĄD, KONSERWACJA I NAPRAWA SYSTEMUSYSTEMUOCHRONA SYSTEMU INFORMATYCZNEGO OCHRONA SYSTEMU INFORMATYCZNEGO PRZED WIRUSAMI KOMPUTEROWYMIPRZED WIRUSAMI KOMPUTEROWYMI
Instrukcja zarządzania - Zakres Instrukcja zarządzania - Zakres Cz.3.Cz.3.
SPOSÓB I CZAS PRZECHOWYWANIA SPOSÓB I CZAS PRZECHOWYWANIA NOŚNIKÓW INFORMACJINOŚNIKÓW INFORMACJILIKWIDACJA ZBIORÓW DANYCHLIKWIDACJA ZBIORÓW DANYCHPOSTĘPOWANIE W WYPADKU KLĘSKI POSTĘPOWANIE W WYPADKU KLĘSKI ŻYWIOŁOWEJ LUB KATASTROFY ŻYWIOŁOWEJ LUB KATASTROFY SPOWODOWANEJ SIŁĄ WYŻSZĄSPOWODOWANEJ SIŁĄ WYŻSZĄWYMAGANIA DOTYCZĄCE SPRZĘTU I WYMAGANIA DOTYCZĄCE SPRZĘTU I OPROGRAMOWANIA ORAZ OPROGRAMOWANIA ORAZ PRZESYŁANIA DANYCHPRZESYŁANIA DANYCHPOSTANOWIENIA KOŃCOWEPOSTANOWIENIA KOŃCOWE
Zalecenia techniczno-Zalecenia techniczno-organizacyjneorganizacyjne
Wdrożenie SBIWdrożenie SBI Zasady wdrożenia SBI,Zasady wdrożenia SBI, Ramowy harmonogram,Ramowy harmonogram,
Zalecenia organizacyjneZalecenia organizacyjne Prowadzenie dokumentacji,Prowadzenie dokumentacji, Instruktaże, szkolenia,Instruktaże, szkolenia, Organizacja danych na serwerach,Organizacja danych na serwerach,
Zalecenia techniczneZalecenia techniczne Archiwizacja danych,Archiwizacja danych, Serwer – oprogramowanie, sprzęt.Serwer – oprogramowanie, sprzęt.
Norma PN-ISO/IEC 27001:2007Norma PN-ISO/IEC 27001:2007
Bezpieczeństwo InformacjiBezpieczeństwo Informacji
Norma PN-ISO/IEC 27001Norma PN-ISO/IEC 27001
Jest tłumaczeniem (bez zmian) angielskiej Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC wersji normy międzynarodowej ISO/IEC 2700127001
Zastępuje normę PN-I-07799-2:2005Zastępuje normę PN-I-07799-2:2005
Obejmuje:Obejmuje: Technika informatycznaTechnika informatyczna Techniki bezpieczeństwaTechniki bezpieczeństwa Systemy zarządzania bezpieczeństwem Systemy zarządzania bezpieczeństwem
informacjiinformacji
Podejście procesowePodejście procesowe
PodejściePodejście: Plan-Do-Check-Act (PDCA) : Plan-Do-Check-Act (PDCA)
Planuj – Wykonuj – Sprawdzaj – Działaj:Planuj – Wykonuj – Sprawdzaj – Działaj:PlanujPlanuj – stworzenie SZBI – stworzenie SZBIWykonujWykonuj – wdrożenie i eksploatacja SZBI – wdrożenie i eksploatacja SZBISprawdzajSprawdzaj – monitorowanie i przegląd – monitorowanie i przegląd
SZBISZBIDziałajDziałaj – utrzymanie i doskonalenie SZBI – utrzymanie i doskonalenie SZBI
Zgodność z innymi systemamiZgodność z innymi systemami
Dostosowana do ISO 9001:2000 i ISO Dostosowana do ISO 9001:2000 i ISO 14001:200414001:2004
Wspieranie spójnego wdrażania z innymi Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzanianormami dotyczącymi zarządzania
Norma 27001 została tak zaprojektowana, Norma 27001 została tak zaprojektowana, aby umożliwić organizacji dopasowanie aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi lub zintegrowanie swojego SZBI z innymi systemamisystemami
Zawartość normyZawartość normy
Terminy i definicjeTerminy i definicjeSystem zarządzania bezpieczeństwem System zarządzania bezpieczeństwem informacji (SZBI)informacji (SZBI)Odpowiedzialność kierownictwaOdpowiedzialność kierownictwaWewnętrzne audyty SZBIWewnętrzne audyty SZBIPrzeglądy SZBI (realizowane przez Przeglądy SZBI (realizowane przez kierownictwo)kierownictwo)Doskonalenie SZBIDoskonalenie SZBIZałączniki Załączniki
SZBISZBI
Ustanowienie SZBIUstanowienie SZBI
Wdrożenie i eksploatacja SZBIWdrożenie i eksploatacja SZBI
Monitorowanie i przegląd SZBIMonitorowanie i przegląd SZBI
Utrzymanie i doskonalenie SZBIUtrzymanie i doskonalenie SZBI
Wymagania dotyczące dokumentacjiWymagania dotyczące dokumentacji Jakie dokumentyJakie dokumenty Nadzór nad dokumentamiNadzór nad dokumentami Nadzór nad zapisamiNadzór nad zapisami
Odpowiedzialność kierownictwaOdpowiedzialność kierownictwa
Zaangażowanie kierownictwaZaangażowanie kierownictwa Kierownictwo powinno okazać swoje Kierownictwo powinno okazać swoje
zaangażowanie (w: U W E M P U D)zaangażowanie (w: U W E M P U D)
Zarządzanie zasobamiZarządzanie zasobami Zapewnienie zasobów – organizacja powinna Zapewnienie zasobów – organizacja powinna
zapewnić potrzebne zasobyzapewnić potrzebne zasoby Szkolenie, uświadamianie i kompetencje – Szkolenie, uświadamianie i kompetencje –
organizacja powinna zapewnić, że cały organizacja powinna zapewnić, że cały personel, któremu przypisano personel, któremu przypisano odpowiedzialności w SZBI ma kompetencje odpowiedzialności w SZBI ma kompetencje do realizacji zadańdo realizacji zadań
Wewnętrzne audyty SZBIWewnętrzne audyty SZBI
Organizacja powinna przeprowadzać Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w wewnętrzne audyty SZBI w zaplanowanych odstępach czasuzaplanowanych odstępach czasu
Wymagania i odpowiedzialność za Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów planowanie i przeprowadzanie audytów powinny być udokumentowane w powinny być udokumentowane w procedurzeprocedurze
Kierownictwo odpowiada za brak opóźnień Kierownictwo odpowiada za brak opóźnień w eliminacji odstępstw i ich przyczynw eliminacji odstępstw i ich przyczyn
Przeglądy SZBI (kierowonictwo)Przeglądy SZBI (kierowonictwo)
Kierownictwo powinno przeprowadzać Kierownictwo powinno przeprowadzać przeglądy SZBI w a zaplanowanych przeglądy SZBI w a zaplanowanych odstępach czasuodstępach czasu
Nie rzadziej niż raz w rokuNie rzadziej niż raz w roku
Przegląd powinien zawierać ocenę Przegląd powinien zawierać ocenę możliwości doskonalenia SZBI i potrzeby możliwości doskonalenia SZBI i potrzeby zmianzmian
Wyniki powinny być udokumentowane a Wyniki powinny być udokumentowane a zapisy przechowywanezapisy przechowywane
Doskonalenie SZBIDoskonalenie SZBI
Ciągłe doskonalenieCiągłe doskonalenie Organizacja powinna w sposób ciągły Organizacja powinna w sposób ciągły
poprawiać skuteczność SZBIpoprawiać skuteczność SZBI
Działania korygująceDziałania korygujące W celu przeciwdziałania niezgodnością W celu przeciwdziałania niezgodnością
organizacja powinna podejmować w celu organizacja powinna podejmować w celu wyeliminowania ich przyczynwyeliminowania ich przyczyn
Działania zapobiegawczeDziałania zapobiegawcze Organizacja powinna podejmować działania Organizacja powinna podejmować działania
zapobiegawcze zapobiegawcze
Załącznik AZałącznik A
Załącznik A - normatywny; Załącznik A - normatywny;
Cele stosowania zabezpieczeń i Cele stosowania zabezpieczeń i zabezpieczeniazabezpieczenia Lista celów i zabezpieczeń podana w tym Lista celów i zabezpieczeń podana w tym
załączniku nie wyczerpuje wszystkich załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna możliwości i organizacja może/powinna rozważyć zastosowanie innychrozważyć zastosowanie innych
Załączniki B i CZałączniki B i C
Załącznik B - informacyjny Załącznik B - informacyjny
Zasady OECD i Norma Międzynarodowa Zasady OECD i Norma Międzynarodowa Wytyczne OECD dotyczące bezpieczeństwa Wytyczne OECD dotyczące bezpieczeństwa
systemów informacyjnych i siecisystemów informacyjnych i sieci((OECD-OECD- Organization for Economic Co-operation and Organization for Economic Co-operation and
Development)Development)
Załącznik C - informacyjny Załącznik C - informacyjny Opisuje powiązania z normamiOpisuje powiązania z normami
ISO 9001:2000ISO 9001:2000
ISO 14001:2004ISO 14001:2004