ergonomia procesów informacyjnych

46
Ergonomia procesów Ergonomia procesów informacyjnych informacyjnych

Upload: patience-casey

Post on 30-Dec-2015

47 views

Category:

Documents


1 download

DESCRIPTION

Ergonomia procesów informacyjnych. Ochrona zasobów. Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia : Przypadkowe, Celowe. Zagrożenia zamierzone. Pasywne : monitorowanie, podgląd, Aktywne : Powielanie programów, Oszustwa, - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Ergonomia procesów informacyjnych

Ergonomia procesów Ergonomia procesów informacyjnychinformacyjnych

Page 2: Ergonomia procesów informacyjnych

Ochrona zasobówOchrona zasobów

Page 3: Ergonomia procesów informacyjnych

Ochrona zasobówOchrona zasobów

Obejmuje ochronę:Obejmuje ochronę:Systemów komputerowych,Systemów komputerowych,

Ludzi,Ludzi,

Oprogramowania,Oprogramowania,

Informacji.Informacji.

ZagrożeniaZagrożenia::

Przypadkowe,Przypadkowe,

Celowe.Celowe.

Page 4: Ergonomia procesów informacyjnych

Zagrożenia zamierzoneZagrożenia zamierzonePasywnePasywne::

monitorowanie,monitorowanie, podgląd,podgląd,

AktywneAktywne:: Powielanie programów,Powielanie programów, Oszustwa,Oszustwa, Wymuszanie przerw w pracy systemu,Wymuszanie przerw w pracy systemu, Wykorzystanie sprzętu służbowego do celów Wykorzystanie sprzętu służbowego do celów

prywatnych,prywatnych, Ujawnianie i usuwanie informacji Ujawnianie i usuwanie informacji

gospodarczych.gospodarczych.

Page 5: Ergonomia procesów informacyjnych

Zagrożenia losoweZagrożenia losoweZewnętrzne:Zewnętrzne:

Temperatura, wilgotność,Temperatura, wilgotność, Wyładowania atmosferyczne,Wyładowania atmosferyczne, Awarie (zasilania, klimatyzacji, wodociągowe),Awarie (zasilania, klimatyzacji, wodociągowe), KatastrofyKatastrofy Kataklizmy,Kataklizmy,

Wewnętrzne:Wewnętrzne: Błędy administratora,Błędy administratora, Defekty programowe lub sprzętowe,Defekty programowe lub sprzętowe, Błędy użytkowników,Błędy użytkowników, Zgubienie, zniszczenie danych.Zgubienie, zniszczenie danych.

Page 6: Ergonomia procesów informacyjnych

ZabezpieczeniaZabezpieczenia

FizyczneFizyczne – zamykane pomieszczenia, – zamykane pomieszczenia,

szafy, przepustki, identyfikatory,szafy, przepustki, identyfikatory,

TechniczneTechniczne – urządzenia i – urządzenia i

oprogramowanie, alarmy, monitoring,oprogramowanie, alarmy, monitoring,

AdministracyjneAdministracyjne – polityka – polityka

bezpieczeństwa, analiza zagrożeń i bezpieczeństwa, analiza zagrożeń i

ryzyka, procedury bezpieczeństwa, ryzyka, procedury bezpieczeństwa,

szkolenia i uświadamianie.szkolenia i uświadamianie.

Page 7: Ergonomia procesów informacyjnych

Ocena ryzykaOcena ryzyka

Identyfikacja zagrożeń,Identyfikacja zagrożeń,

Ocena prawdopodobieństwa wystąpienia strat,Ocena prawdopodobieństwa wystąpienia strat,

Ocena podatności zasobów na zagrożenia,Ocena podatności zasobów na zagrożenia,

Ocena strat i zniszczeń (potencjalnych),Ocena strat i zniszczeń (potencjalnych),

Identyfikacja działań minimalizujących ryzyko i Identyfikacja działań minimalizujących ryzyko i

potencjalne straty,potencjalne straty,

Dokumentowanie,Dokumentowanie,

Opracowanie planów działań prewencyjnych.Opracowanie planów działań prewencyjnych.

Page 8: Ergonomia procesów informacyjnych

Polityka zabezpieczaniaPolityka zabezpieczania

Polityka ogólnego planu zabezpieczeń,Polityka ogólnego planu zabezpieczeń,

(Na wysokim poziomie ogólności)(Na wysokim poziomie ogólności)

Polityka struktury programu zabezpieczeń,Polityka struktury programu zabezpieczeń,

(Specyficzna dla każdej organizacji)(Specyficzna dla każdej organizacji)

Polityka zorientowana na przedsięwzięcia,Polityka zorientowana na przedsięwzięcia,

(Skoncentrowana na zadaniach bieżących organizacji)(Skoncentrowana na zadaniach bieżących organizacji)

Polityka zorientowana na systemyPolityka zorientowana na systemy

(Na poziomie ewidencji zasobów i zagrożeń).(Na poziomie ewidencji zasobów i zagrożeń).

WedługWedług: : National Institute of Standards and Technology (NIST) USANational Institute of Standards and Technology (NIST) USA

Page 9: Ergonomia procesów informacyjnych

Strategie zabezpieczaniaStrategie zabezpieczania

Fazy wdrażania strategiiFazy wdrażania strategii::

Zrozumienie sytuacji obecnej,Zrozumienie sytuacji obecnej,

Zdefiniowanie środowiska najbardziej Zdefiniowanie środowiska najbardziej

pożądanego,pożądanego,

Ocena rozwiązań alternatywnych, najbardziej Ocena rozwiązań alternatywnych, najbardziej

pożądanych, ocena ryzyka,pożądanych, ocena ryzyka,

Określenie najlepszej procedury postępowania,Określenie najlepszej procedury postępowania,

Rozpoczęcie wykonania planuRozpoczęcie wykonania planu..

Page 10: Ergonomia procesów informacyjnych

Kategorie zabezpieczeńKategorie zabezpieczeńKategoria AKategoria A – ochrona zweryfikowana (formalna – ochrona zweryfikowana (formalna

specyfikacja projektu zabezpieczeń i formalny model specyfikacja projektu zabezpieczeń i formalny model

polityki zabezpieczeń),polityki zabezpieczeń),

Kategoria BKategoria B – ochrona narzucona (bezpieczeństwo – ochrona narzucona (bezpieczeństwo

wielopoziomowe, dostęp narzucony),wielopoziomowe, dostęp narzucony),

Kategoria CKategoria C – ochrona uznaniowa (użytkownik może – ochrona uznaniowa (użytkownik może

odebrać lub nadać komuś innemu prawa dostępu),odebrać lub nadać komuś innemu prawa dostępu),

Kategoria DKategoria D – ochrona minimalna (nie zawiera – ochrona minimalna (nie zawiera

mechanizmów zabezpieczających).mechanizmów zabezpieczających).

WedługWedług: Ministerstwo Obrony: Ministerstwo Obrony USA; raport: Kryteria oceny wiarygodności systemów USA; raport: Kryteria oceny wiarygodności systemów

komputerowych (Orange Book).komputerowych (Orange Book).

Page 11: Ergonomia procesów informacyjnych

Kryteria oceny systemów Kryteria oceny systemów informatycznychinformatycznych

Poufność – ochrona przed ujawnieniem informacji,Poufność – ochrona przed ujawnieniem informacji,

Integralność – ochrona przed modyfikacją,Integralność – ochrona przed modyfikacją,

Dostępność – gwarancja uprawnionego dostępu,Dostępność – gwarancja uprawnionego dostępu,

Rozliczalność – określenie i weryfikacja Rozliczalność – określenie i weryfikacja

odpowiedzialności,odpowiedzialności,

Autentyczność – weryfikacja tożsamości,Autentyczność – weryfikacja tożsamości,

Niezawodność – gwarancja odpowiedniego Niezawodność – gwarancja odpowiedniego

zachowania się systemu.zachowania się systemu.

Page 12: Ergonomia procesów informacyjnych

Cz. 1.Cz. 1.Polityka bezpieczeństwa informacjiPolityka bezpieczeństwa informacji

System Bezpieczeństwa System Bezpieczeństwa InformacjiInformacji

Page 13: Ergonomia procesów informacyjnych

System bezpieczeństwa System bezpieczeństwa informacji (SBI)informacji (SBI)

Akty prawneAkty prawne

Tworzenie dokumentacji SBITworzenie dokumentacji SBI Polityka Bezpieczeństwa,Polityka Bezpieczeństwa,

Instrukcja Zarządzania Systemem,Instrukcja Zarządzania Systemem,

Inne (zalecenia, instrukcje, procedury).Inne (zalecenia, instrukcje, procedury).

Wdrożenie SBIWdrożenie SBI

Eksploatowanie i opieka nad SBIEksploatowanie i opieka nad SBI

Page 14: Ergonomia procesów informacyjnych

Dlaczego wdraża się SBI?Dlaczego wdraża się SBI?

Wymogi ustawoweWymogi ustawowe Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych

osobowych,osobowych, Rozporządzenie Ministra Spraw Wewnętrznych i Rozporządzenie Ministra Spraw Wewnętrznych i

Administracji z dnia 29 kwietnia 2004 r. w sprawie Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych informatyczne służące do przetwarzania danych osobowych,osobowych,

Dążenie do doskonalenia organizacjiDążenie do doskonalenia organizacji Informacje zawarte w oświadczeniu o intencjachInformacje zawarte w oświadczeniu o intencjach

Page 15: Ergonomia procesów informacyjnych

Polityka BezpieczeństwaPolityka BezpieczeństwaStruktury organizacyjne SBI,Struktury organizacyjne SBI,Oszacowanie ryzyka,Oszacowanie ryzyka,Kształcenie w zakresie bezpieczeństwa Kształcenie w zakresie bezpieczeństwa informacji,informacji,Opis obszaru w którym przetwarzane są Opis obszaru w którym przetwarzane są informacje,informacje,Opis przetwarzanych informacji,Opis przetwarzanych informacji,Opis środków technicznych i Opis środków technicznych i organizacyjnych,organizacyjnych,Audyty SBI.Audyty SBI.

Page 16: Ergonomia procesów informacyjnych

Ochrona danychOchrona danych

Dane osobowe:Dane osobowe:

„„Każda informacja dotycząca osoby Każda informacja dotycząca osoby fizycznej, pozwalająca na określenie jej fizycznej, pozwalająca na określenie jej tożsamości” tożsamości”

Pozostałe dane:Pozostałe dane: Dane finansowe,Dane finansowe, Dane związane z prowadzoną działalnością,Dane związane z prowadzoną działalnością, Inne dane „wewnętrzne”.Inne dane „wewnętrzne”.

Page 17: Ergonomia procesów informacyjnych

Oświadczenie o intencjach - Oświadczenie o intencjach - dlaczegodlaczego

Mając na uwadze akty prawne dotyczące Mając na uwadze akty prawne dotyczące ochrony danych komputerowych,ochrony danych komputerowych,

Uwzględniając szeroko rozumiane dobro Uwzględniając szeroko rozumiane dobro klientów, powiązanych instytucji klientów, powiązanych instytucji organizacji, własnego przedsiębiorstwa i organizacji, własnego przedsiębiorstwa i pracowników,pracowników,

Dążąc do ciągłego rozwoju i usprawniania Dążąc do ciągłego rozwoju i usprawniania własnej organizacji,własnej organizacji,

Page 18: Ergonomia procesów informacyjnych

Oświadczenie o intencjach – Oświadczenie o intencjach – deklarowanedeklarowane działaniadziałania

Zdąża się do zapewnienia maksymalnej, Zdąża się do zapewnienia maksymalnej, możliwej ochrony eksploatowanego możliwej ochrony eksploatowanego systemu informatycznego.systemu informatycznego.Wdrożona zostanie Polityka Wdrożona zostanie Polityka Bezpieczeństwa i jej postanowienia będą Bezpieczeństwa i jej postanowienia będą egzekwowane w maksymalnym, egzekwowane w maksymalnym, uzasadnionymuzasadnionym zakresie. zakresie.Dążyć się będzie do ciągłego podnoszenia Dążyć się będzie do ciągłego podnoszenia poziomu bezpieczeństwa danych poziomu bezpieczeństwa danych przetwarzanych w zasobach przetwarzanych w zasobach informatycznych przedsiębiorstwa.informatycznych przedsiębiorstwa.

Page 19: Ergonomia procesów informacyjnych

Zarządzanie informacją (TISM)Zarządzanie informacją (TISM)

Pion administracyjny/

informatyczny

POLITYKA BEZPIECZEŃSTWA INFORMACJI

GRUPY INFORMACJI

SYSTEMY PRZETWARZANIA

GAI

AI

AS

GABI

ABI

ABS

DYREKTOR

Pion bezpieczeństwa

GABS

Page 20: Ergonomia procesów informacyjnych

Struktura systemu bezpieczeństwa (TISM)Struktura systemu bezpieczeństwa (TISM)

Pion administracyjny

GAI

AI

AS

GABI

ABI

GABS

ABS

DYREKTOR

Pion bezpieczeństwa

GRUPA

INFORMACJI

SYSTEM PRZETWARZANIA

POLITYKA BEZPIECZEŃSTWA

Page 21: Ergonomia procesów informacyjnych

Struktura SBI - przykładStruktura SBI - przykład

SYSTEMBEZPIECZEŃSTWA

INFORMACJI

GŁÓWNY ADMINISTRATOR

INFORMACJI(GAI)

GŁÓWNY ADMINISTRATORBEZPIECZEŃSTWA

(GABI)

ADMINISTRATORSYSTEMU

INFORMATYCZNEGO(AS)

Page 22: Ergonomia procesów informacyjnych

Zakres PB (1)Zakres PB (1)

1.1. CEL I ZAKRES DOKUMENTUCEL I ZAKRES DOKUMENTU

2.2. DEFINICJA BEZPIECZEŃSTWA DEFINICJA BEZPIECZEŃSTWA INFORMACJIINFORMACJI

3.3. OŚWIADCZENIE O INTENCJACHOŚWIADCZENIE O INTENCJACH

4.4. WYJAŚNIENIE TERMINOLOGII UŻYTEJ WYJAŚNIENIE TERMINOLOGII UŻYTEJ W POLITYCE, PODSTAWOWE DEFINICJE, W POLITYCE, PODSTAWOWE DEFINICJE, ZAŁOŻENIAZAŁOŻENIA

5.5. ANALIZA RYZYKAANALIZA RYZYKA

6.6. OKREŚLENIE OGÓLNYCH I OKREŚLENIE OGÓLNYCH I SZCZEGÓLNYCH OBOWIĄZKÓW W SZCZEGÓLNYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA ODNIESIENIU DO ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJIBEZPIECZEŃSTWEM INFORMACJI

Page 23: Ergonomia procesów informacyjnych

Zakres PB (2)Zakres PB (2)

7.7. OKREŚLENIE DZIAŁÓW OKREŚLENIE DZIAŁÓW ORGANIZACYJNYCH ORAZ STANOWISK ORGANIZACYJNYCH ORAZ STANOWISK ODPOWIEDZIALNYCH ZA WDRAŻANIE I ODPOWIEDZIALNYCH ZA WDRAŻANIE I PRZESTRZEGANIE ZASAD POLITYKIPRZESTRZEGANIE ZASAD POLITYKI

8.8. WYMAGANIA DOTYCZĄCE WYMAGANIA DOTYCZĄCE KSZTAŁCENIA W DZIEDZINIE KSZTAŁCENIA W DZIEDZINIE BEZPIECZEŃSTWA, ODPOWIEDZIALNE BEZPIECZEŃSTWA, ODPOWIEDZIALNE OSOBY, ZAKRES SZKOLENIAOSOBY, ZAKRES SZKOLENIA

9.9. SPOSÓB ZGŁASZANIA, SPOSÓB ZGŁASZANIA, KONSEKWENCJE I ODPOWIEDZIALNOŚĆ KONSEKWENCJE I ODPOWIEDZIALNOŚĆ NARUSZENIA POLITYKI BEZPIECZEŃSTWANARUSZENIA POLITYKI BEZPIECZEŃSTWA

10.10. ZAKRES ROZPOWSZECHNIANIA ZAKRES ROZPOWSZECHNIANIA DOKUMENTUDOKUMENTU

Page 24: Ergonomia procesów informacyjnych

Zakres PB (3)Zakres PB (3)

11.11. WYKAZ BUDYNKÓW, POMIESZCZEŃ WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE.DANE OSOBOWE.

12.12. WYKAZ ZBIORÓW DANYCH WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH.PRZETWARZANIA TYCH DANYCH.

13.13. OPIS STRUKTURY ZBIORÓW DANYCH OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMINIMI

Page 25: Ergonomia procesów informacyjnych

Zakres PB (4)Zakres PB (4)

14.14. OKREŚLENIE POZIOMU OKREŚLENIE POZIOMU BEZPIECZEŃSTWABEZPIECZEŃSTWA

15.15. OKREŚLENIE ŚRODKÓW OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH ROZLICZALNOŚCI PRZETWARZANYCH DANYCHDANYCH

16.16. WEWNĘTRZNY AUDYT WEWNĘTRZNY AUDYT BEZPIECZEŃSTWA DANYCH OSOBOWYCH I BEZPIECZEŃSTWA DANYCH OSOBOWYCH I SYSTEMÓW DO ICH PRZETWARZANIASYSTEMÓW DO ICH PRZETWARZANIA

Page 26: Ergonomia procesów informacyjnych

Cz. 2.Cz. 2.Zarządzanie systememZarządzanie systemem

System Bezpieczeństwa System Bezpieczeństwa InformacjiInformacji

Page 27: Ergonomia procesów informacyjnych

Instrukcja ZarządzaniaInstrukcja Zarządzania

Szczegółowe procedury dotyczące:Szczegółowe procedury dotyczące: Uprawnień użytkowników systemu,Uprawnień użytkowników systemu, Archiwizacji danych,Archiwizacji danych, Zabezpieczenia przed niepowołanym dostępem,Zabezpieczenia przed niepowołanym dostępem, Zabezpieczenia antywirusowe,Zabezpieczenia antywirusowe, Konserwacji systemu,Konserwacji systemu, Przechowywania nośników,Przechowywania nośników, Likwidacji zbiorów danych.Likwidacji zbiorów danych.

Page 28: Ergonomia procesów informacyjnych

Ogólne zasady- administratorzy systemów Ogólne zasady- administratorzy systemów - odpowiedzialność- odpowiedzialność

Udostępnienie sprawnego sprzętu Udostępnienie sprawnego sprzętu komputerowego i telekomunikacyjnego wraz komputerowego i telekomunikacyjnego wraz ze sprawnymi systemami: operacyjnym, ze sprawnymi systemami: operacyjnym, użytkowym i narzędziowym;użytkowym i narzędziowym;Właściwe ustawienie parametrów systemów Właściwe ustawienie parametrów systemów operacyjnych i użytkowych;operacyjnych i użytkowych;Codzienną obsługę systemów;Codzienną obsługę systemów;Zagwarantowanie serwisu technicznego;Zagwarantowanie serwisu technicznego;Określenie zasad postępowania w przypadku Określenie zasad postępowania w przypadku konieczności wyłączenia systemu, konieczności wyłączenia systemu, spowodowanego nagłym zdarzeniem spowodowanego nagłym zdarzeniem losowym (takich jak zagrożenie bombowe, losowym (takich jak zagrożenie bombowe, pożar, powódź).pożar, powódź).

Page 29: Ergonomia procesów informacyjnych

Ogólne zasady- systemyOgólne zasady- systemyGABI może wyznaczyć administratora GABI może wyznaczyć administratora bezpieczeństwa informacji (ABI);bezpieczeństwa informacji (ABI);Główny administrator informacji (GAI) może Główny administrator informacji (GAI) może wyznaczyć administratora informacji (AI) oraz wyznaczyć administratora informacji (AI) oraz wyznacza osobę zastępującą administratora wyznacza osobę zastępującą administratora informacji podczas jego nieobecności.informacji podczas jego nieobecności.Dla każdego systemu o kluczowym znaczeniu, który Dla każdego systemu o kluczowym znaczeniu, który nie przetwarza danych osobowych GABI może nie przetwarza danych osobowych GABI może wyznaczyć administratora bezpieczeństwa wyznaczyć administratora bezpieczeństwa informacji (ABI), a GAI administratora informacji (AI) informacji (ABI), a GAI administratora informacji (AI) oraz osobę zastępującą AI podczas jego oraz osobę zastępującą AI podczas jego nieobecności.nieobecności.Zakres obowiązków administratorów Zakres obowiązków administratorów bezpieczeństwa informacji (ABI) dla systemów bezpieczeństwa informacji (ABI) dla systemów przetwarzających dane osobowe opracowuje główny przetwarzających dane osobowe opracowuje główny administrator bezpieczeństwa informacji (GABI); administrator bezpieczeństwa informacji (GABI); Zakresy obowiązków administratorów informacji Zakresy obowiązków administratorów informacji (AI), jeżeli występują, opracowuje główny (AI), jeżeli występują, opracowuje główny administrator informacji (GAI);administrator informacji (GAI);

Page 30: Ergonomia procesów informacyjnych

Ogólne zasady- systemy kluczoweOgólne zasady- systemy kluczowe

Prowadzi się „Prowadzi się „Dziennik pracy systemu Dziennik pracy systemu informatycznegoinformatycznego”.”.

Tworzy się „Tworzy się „Spis numerów telefonów do firm Spis numerów telefonów do firm serwisowychserwisowych”.”.

Prowadzi się „Prowadzi się „Rejestr kopii archiwalnych i Rejestr kopii archiwalnych i awaryjnychawaryjnych”.”.

AS systemu przechowuje dokumentację techniczną AS systemu przechowuje dokumentację techniczną sprzętu oraz oprogramowania wchodzącego w skład sprzętu oraz oprogramowania wchodzącego w skład systemu.systemu.

AS w przypadku poważnych problemów z AS w przypadku poważnych problemów z przetwarzaniem danych w systemie ma obowiązek przetwarzaniem danych w systemie ma obowiązek powiadomić o tym fakcie: GABI oraz ABI.powiadomić o tym fakcie: GABI oraz ABI.

Dla każdego systemu o kluczowym znaczeniu Dla każdego systemu o kluczowym znaczeniu prowadzona jest ewidencja użytkowników.prowadzona jest ewidencja użytkowników.

Page 31: Ergonomia procesów informacyjnych

Instrukcja zarządzania - Zakres Instrukcja zarządzania - Zakres Cz.1.Cz.1.

CEL I ZAKRES DOKUMENTUCEL I ZAKRES DOKUMENTUWYJAŚNIENIE UŻYTEJ TERMINOLOGIIWYJAŚNIENIE UŻYTEJ TERMINOLOGIIOGÓLNE ZASADY ZARZĄDZANIA OGÓLNE ZASADY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYMSYSTEMEM INFORMATYCZNYMPROCEDURY NADAWANIA UPRAWNIEŃ DO PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM ORAZ SYSTEMIE INFORMATYCZNYM ORAZ WSKAZANIE OSOBY ODPOWIEDZIALNEJ ZA WSKAZANIE OSOBY ODPOWIEDZIALNEJ ZA TE CZYNNOŚCITE CZYNNOŚCIPROCEDURY ROZPOCZĘCIA, ZAWIESZENIA PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMUDLA UŻYTKOWNIKÓW SYSTEMU

Page 32: Ergonomia procesów informacyjnych

Instrukcja zarządzania - Zakres Instrukcja zarządzania - Zakres Cz.2.Cz.2.

METODA I CZĘSTOTLIWOŚĆ TWORZENIA METODA I CZĘSTOTLIWOŚĆ TWORZENIA KOPII DANYCH ORAZ KOPII SYSTEMU KOPII DANYCH ORAZ KOPII SYSTEMU INFORMATYCZNEGOINFORMATYCZNEGOZABEZPIECZENIE SYSTEMU ZABEZPIECZENIE SYSTEMU INFORMATYCZNEGO PRZED DOSTĘPEM INFORMATYCZNEGO PRZED DOSTĘPEM OSÓB NIEUPRAWNIONYCHOSÓB NIEUPRAWNIONYCHPOSTĘPOWANIE W PRZYPADKU AWARII POSTĘPOWANIE W PRZYPADKU AWARII ORAZ NARUSZENIA OCHRONY DANYCHORAZ NARUSZENIA OCHRONY DANYCHPRZEGLĄD, KONSERWACJA I NAPRAWA PRZEGLĄD, KONSERWACJA I NAPRAWA SYSTEMUSYSTEMUOCHRONA SYSTEMU INFORMATYCZNEGO OCHRONA SYSTEMU INFORMATYCZNEGO PRZED WIRUSAMI KOMPUTEROWYMIPRZED WIRUSAMI KOMPUTEROWYMI

Page 33: Ergonomia procesów informacyjnych

Instrukcja zarządzania - Zakres Instrukcja zarządzania - Zakres Cz.3.Cz.3.

SPOSÓB I CZAS PRZECHOWYWANIA SPOSÓB I CZAS PRZECHOWYWANIA NOŚNIKÓW INFORMACJINOŚNIKÓW INFORMACJILIKWIDACJA ZBIORÓW DANYCHLIKWIDACJA ZBIORÓW DANYCHPOSTĘPOWANIE W WYPADKU KLĘSKI POSTĘPOWANIE W WYPADKU KLĘSKI ŻYWIOŁOWEJ LUB KATASTROFY ŻYWIOŁOWEJ LUB KATASTROFY SPOWODOWANEJ SIŁĄ WYŻSZĄSPOWODOWANEJ SIŁĄ WYŻSZĄWYMAGANIA DOTYCZĄCE SPRZĘTU I WYMAGANIA DOTYCZĄCE SPRZĘTU I OPROGRAMOWANIA ORAZ OPROGRAMOWANIA ORAZ PRZESYŁANIA DANYCHPRZESYŁANIA DANYCHPOSTANOWIENIA KOŃCOWEPOSTANOWIENIA KOŃCOWE

Page 34: Ergonomia procesów informacyjnych

Zalecenia techniczno-Zalecenia techniczno-organizacyjneorganizacyjne

Wdrożenie SBIWdrożenie SBI Zasady wdrożenia SBI,Zasady wdrożenia SBI, Ramowy harmonogram,Ramowy harmonogram,

Zalecenia organizacyjneZalecenia organizacyjne Prowadzenie dokumentacji,Prowadzenie dokumentacji, Instruktaże, szkolenia,Instruktaże, szkolenia, Organizacja danych na serwerach,Organizacja danych na serwerach,

Zalecenia techniczneZalecenia techniczne Archiwizacja danych,Archiwizacja danych, Serwer – oprogramowanie, sprzęt.Serwer – oprogramowanie, sprzęt.

Page 35: Ergonomia procesów informacyjnych

Norma PN-ISO/IEC 27001:2007Norma PN-ISO/IEC 27001:2007

Bezpieczeństwo InformacjiBezpieczeństwo Informacji

Page 36: Ergonomia procesów informacyjnych

Norma PN-ISO/IEC 27001Norma PN-ISO/IEC 27001

Jest tłumaczeniem (bez zmian) angielskiej Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC wersji normy międzynarodowej ISO/IEC 2700127001

Zastępuje normę PN-I-07799-2:2005Zastępuje normę PN-I-07799-2:2005

Obejmuje:Obejmuje: Technika informatycznaTechnika informatyczna Techniki bezpieczeństwaTechniki bezpieczeństwa Systemy zarządzania bezpieczeństwem Systemy zarządzania bezpieczeństwem

informacjiinformacji

Page 37: Ergonomia procesów informacyjnych

Podejście procesowePodejście procesowe

PodejściePodejście: Plan-Do-Check-Act (PDCA) : Plan-Do-Check-Act (PDCA)

Planuj – Wykonuj – Sprawdzaj – Działaj:Planuj – Wykonuj – Sprawdzaj – Działaj:PlanujPlanuj – stworzenie SZBI – stworzenie SZBIWykonujWykonuj – wdrożenie i eksploatacja SZBI – wdrożenie i eksploatacja SZBISprawdzajSprawdzaj – monitorowanie i przegląd – monitorowanie i przegląd

SZBISZBIDziałajDziałaj – utrzymanie i doskonalenie SZBI – utrzymanie i doskonalenie SZBI

Page 38: Ergonomia procesów informacyjnych

Zgodność z innymi systemamiZgodność z innymi systemami

Dostosowana do ISO 9001:2000 i ISO Dostosowana do ISO 9001:2000 i ISO 14001:200414001:2004

Wspieranie spójnego wdrażania z innymi Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzanianormami dotyczącymi zarządzania

Norma 27001 została tak zaprojektowana, Norma 27001 została tak zaprojektowana, aby umożliwić organizacji dopasowanie aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi lub zintegrowanie swojego SZBI z innymi systemamisystemami

Page 39: Ergonomia procesów informacyjnych

Zawartość normyZawartość normy

Terminy i definicjeTerminy i definicjeSystem zarządzania bezpieczeństwem System zarządzania bezpieczeństwem informacji (SZBI)informacji (SZBI)Odpowiedzialność kierownictwaOdpowiedzialność kierownictwaWewnętrzne audyty SZBIWewnętrzne audyty SZBIPrzeglądy SZBI (realizowane przez Przeglądy SZBI (realizowane przez kierownictwo)kierownictwo)Doskonalenie SZBIDoskonalenie SZBIZałączniki Załączniki

Page 40: Ergonomia procesów informacyjnych

SZBISZBI

Ustanowienie SZBIUstanowienie SZBI

Wdrożenie i eksploatacja SZBIWdrożenie i eksploatacja SZBI

Monitorowanie i przegląd SZBIMonitorowanie i przegląd SZBI

Utrzymanie i doskonalenie SZBIUtrzymanie i doskonalenie SZBI

Wymagania dotyczące dokumentacjiWymagania dotyczące dokumentacji Jakie dokumentyJakie dokumenty Nadzór nad dokumentamiNadzór nad dokumentami Nadzór nad zapisamiNadzór nad zapisami

Page 41: Ergonomia procesów informacyjnych

Odpowiedzialność kierownictwaOdpowiedzialność kierownictwa

Zaangażowanie kierownictwaZaangażowanie kierownictwa Kierownictwo powinno okazać swoje Kierownictwo powinno okazać swoje

zaangażowanie (w: U W E M P U D)zaangażowanie (w: U W E M P U D)

Zarządzanie zasobamiZarządzanie zasobami Zapewnienie zasobów – organizacja powinna Zapewnienie zasobów – organizacja powinna

zapewnić potrzebne zasobyzapewnić potrzebne zasoby Szkolenie, uświadamianie i kompetencje – Szkolenie, uświadamianie i kompetencje –

organizacja powinna zapewnić, że cały organizacja powinna zapewnić, że cały personel, któremu przypisano personel, któremu przypisano odpowiedzialności w SZBI ma kompetencje odpowiedzialności w SZBI ma kompetencje do realizacji zadańdo realizacji zadań

Page 42: Ergonomia procesów informacyjnych

Wewnętrzne audyty SZBIWewnętrzne audyty SZBI

Organizacja powinna przeprowadzać Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w wewnętrzne audyty SZBI w zaplanowanych odstępach czasuzaplanowanych odstępach czasu

Wymagania i odpowiedzialność za Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów planowanie i przeprowadzanie audytów powinny być udokumentowane w powinny być udokumentowane w procedurzeprocedurze

Kierownictwo odpowiada za brak opóźnień Kierownictwo odpowiada za brak opóźnień w eliminacji odstępstw i ich przyczynw eliminacji odstępstw i ich przyczyn

Page 43: Ergonomia procesów informacyjnych

Przeglądy SZBI (kierowonictwo)Przeglądy SZBI (kierowonictwo)

Kierownictwo powinno przeprowadzać Kierownictwo powinno przeprowadzać przeglądy SZBI w a zaplanowanych przeglądy SZBI w a zaplanowanych odstępach czasuodstępach czasu

Nie rzadziej niż raz w rokuNie rzadziej niż raz w roku

Przegląd powinien zawierać ocenę Przegląd powinien zawierać ocenę możliwości doskonalenia SZBI i potrzeby możliwości doskonalenia SZBI i potrzeby zmianzmian

Wyniki powinny być udokumentowane a Wyniki powinny być udokumentowane a zapisy przechowywanezapisy przechowywane

Page 44: Ergonomia procesów informacyjnych

Doskonalenie SZBIDoskonalenie SZBI

Ciągłe doskonalenieCiągłe doskonalenie Organizacja powinna w sposób ciągły Organizacja powinna w sposób ciągły

poprawiać skuteczność SZBIpoprawiać skuteczność SZBI

Działania korygująceDziałania korygujące W celu przeciwdziałania niezgodnością W celu przeciwdziałania niezgodnością

organizacja powinna podejmować w celu organizacja powinna podejmować w celu wyeliminowania ich przyczynwyeliminowania ich przyczyn

Działania zapobiegawczeDziałania zapobiegawcze Organizacja powinna podejmować działania Organizacja powinna podejmować działania

zapobiegawcze zapobiegawcze

Page 45: Ergonomia procesów informacyjnych

Załącznik AZałącznik A

Załącznik A - normatywny; Załącznik A - normatywny;

Cele stosowania zabezpieczeń i Cele stosowania zabezpieczeń i zabezpieczeniazabezpieczenia Lista celów i zabezpieczeń podana w tym Lista celów i zabezpieczeń podana w tym

załączniku nie wyczerpuje wszystkich załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna możliwości i organizacja może/powinna rozważyć zastosowanie innychrozważyć zastosowanie innych

Page 46: Ergonomia procesów informacyjnych

Załączniki B i CZałączniki B i C

Załącznik B - informacyjny Załącznik B - informacyjny

Zasady OECD i Norma Międzynarodowa Zasady OECD i Norma Międzynarodowa Wytyczne OECD dotyczące bezpieczeństwa Wytyczne OECD dotyczące bezpieczeństwa

systemów informacyjnych i siecisystemów informacyjnych i sieci((OECD-OECD- Organization for Economic Co-operation and Organization for Economic Co-operation and

Development)Development)

Załącznik C - informacyjny Załącznik C - informacyjny Opisuje powiązania z normamiOpisuje powiązania z normami

ISO 9001:2000ISO 9001:2000

ISO 14001:2004ISO 14001:2004