Pola uprawne i użytki zielone we współczesnym krajobrazie rolniczym
Bezpieczeństwo informacji jako jeden z aspektów zarządzania organizacją we współczesnym...
-
Upload
tuev-rheinland-polska -
Category
Business
-
view
2.998 -
download
0
description
Transcript of Bezpieczeństwo informacji jako jeden z aspektów zarządzania organizacją we współczesnym...
| 9.04.231 Bezpieczeństwo informacji | Jacek Sadowski
TÜV Rheinland Polska Sp. z o.o. Bezpieczeństwo informacji jako jeden z aspektów zarządzania
organizacją we współczesnym świecie
Wspólnie zmieniamy świat poprzez troskę o jakość życia
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
2 9.04.23
Celem prezentacji jest pokazanie i uświadomienie jak bardzo istotnym elementem „prowadzenia biznesu” jest informacja, zarządzanie nią oraz przekazanie podstaw w zakresie wdrażania SZBI według normy ISO/IEC 27001.
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.232 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
3 9.04.23
za incydenty.aste.net.pl
Trendy dot. jakości haseł dostępu na podstawie incydentu z Hotmail
Źródło: Acunetix Blog, softpedia.com Niedawny incydent związany z wyciekiem haseł z
Hotmail stał się obiektem badań specjalistów od bezpieczeństwa informacji. Hasła zostały zamieszczone na stronie pastebin.com. Po krótkim czasie zostały usunięte, ale CTO firmy Acunetix Bogdan Calin zdążył je skopiować. Na podstawie analizy około 10 tysięcy haseł z usługi Windows Live Hotmail ustalił, że większość użytkowników wciąż stosuje słabe hasła.
Raport bezpieczeństwa przedsiębiorstw
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.233 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
4 9.04.23
za incydenty.aste.net.plDane żołnierzy US Army w P2P Źródło: arcabit.plW sieciach P2P znaleziono dokumenty z danymi
osobowymi 463 żołnierzy amerykańskich sił specjalnych z Fortu Bragg. Zawierają one nazwiska, numery telefonów, adresy oraz informacje o ich żonach i dzieciach
“O jeden & za daleko” Źródło: chip.plZa poważną lukę w bezpieczeństwie Windows
Internet Explorera, która została załatana 28 lipca przez Microsoft, odpowiadał jeden nadmiarowy znak w kodzie
Raport bezpieczeństwa przedsiębiorstw
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.234 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
5 9.04.23
za incydenty.aste.net.pl
Informacje o abonentach telewizji ‘n’ w internecie Źródło: gazeta.plNumery PESEL, a obok nich imiona, nazwiska,
adresy, telefony – na dokument zawierający szczegółowe dane kilkudziesięciu osób przez przypadek trafił w sieci jeden z internautów. Jak się okazało informacje wyciekły z serwerów telewizji “n”.
Raport bezpieczeństwa przedsiębiorstw
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.235 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
6 9.04.23
za bezpieczenstwo.onet.pl
Hasła na tacy ... sprawca znanyKaspersky Lab, producent rozwiązań do ochrony danych, zidentyfikował szkodliwy program powiązany z kradzieżą loginów i haseł tysięcy polskich internautów
Raport bezpieczeństwa przedsiębiorstw
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.236 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
7 9.04.23
Z przeprowadzonych analiz wynika, iż:
sprzątaczka (20%) ma dostęp do prawie takiej samej ilości
informacji, jak zarząd (35%)
administrator czy informatyk (75%) wie albo może wiedzieć, jeśli
zechce, prawie tyle samo, co kierownik działu (85%)
kierownik działu (85%) nie zna wszystkich informacji
zgromadzonych w dziale
Raport bezpieczeństwa przedsiębiorstw
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.237 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
8 9.04.23
Niewiele osób zdaje sobie sprawę z faktu, iż zaledwie 1/5 incydentów bezpieczeństwa w danej organizacji dotyczy działu IT.
Nie wszyscy również wiedzą, że
ponad 2/3 incydentów bezpieczeństwa
wynika z błędu ludzkiego,
popełnionego przez pracowników.
Incydenty bezpieczństw a
IT Pracownicy Inne
Raport bezpieczeństwa przedsiębiorstw
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.238 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
9 9.04.23
Raport bezpieczeństwa przedsiębiorstw
Stan faktyczny:
W ciągu ostatnich lat 68% firm poniosło szkody na skutek utraty informacji
Ponad 45% przedsiębiorców nie zdaje sobie sprawy, że posiada wartościowe informacje, które należy chronić
Tylko 30% organizacji wdrożyło system oceny ryzyka, którego
elementem jest szacowanie ryzyka utraty informacji 60% ze zgłoszonych przypadków utraty informacji było
spowodowanych błędami użytkowników
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.239 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
10 9.04.23
Raport bezpieczeństwa przedsiębiorstw
Stan faktyczny:
Blisko 75% firm zgłaszających „poważne szkody” spowodowane utratą informacji nie posiadało żadnego planu awaryjnego
Tylko 20% firm posiada sformalizowany dokument opisujący
politykę bezpieczeństwa firmy 57% naruszeń bezpieczeństwa jest przypadkowe, 24%
złośliwe, 11% awaria sprzętu, 3% błąd w oprogramowaniu
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2310 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
11 9.04.23
Dlaczego firmy decydują się zarządzać bezpieczeństwem informacji?
Standaryzacja pracy w sytuacjach awaryjnych Usprawnienie zarządzaniem informacją Zmniejszenie ryzyka biznesowego Wzmocnienie wiarygodności Rozwinięcie e-biznesu
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2311 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
12 9.04.23
Pojęcie informacji
„Informacja jest aktywem, który, podobnie jak inne ważne aktywa biznesowe, ma dla instytucji wartość i dlatego należy ją odpowiednio chronić”
Aktywa informacyjne – bazy danych, pliki danych, dokumentacja
systemu, podręczniki użytkowania, materiały szkoleniowe
Dokumenty papierowe – umowy, wytyczne, dokumentacja organizacji
Oprogramowanie – systemy operacyjne, aplikacje
Aktywa fizyczne – sprzęt komputerowy, nieruchomości, nośniki
Ludzie – personel, klienci, dostawcy
Usługi – przetwarzania, transmisji, projektowania
Wizerunek firmy
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2312 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
13 9.04.23
Bezpieczeństwo informacji
Zachowanie:
poufności
Integralności
dostępności informacji
Dodatkowo możemy rozpatrzyć także:
autentyczność
rozliczalność
niezaprzeczalność
niezawodność
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2313 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
14 9.04.23
Etapy wdrożenia:
1. Identyfikacja aktywów
2. Wycena aktywów
3. Identyfikacja wymagań związanych z bezpieczeństwem informacji t.j. zagrożeń podatności, wymagań prawnych, kontraktowych i własnych
4. Oszacowanie wagi wymagań związanych z bezpieczeństwem informacji
5. Obliczenie ryzyk
6. Identyfikacja i ocena opcji postępowania z ryzykiem
7. Zastosowanie zabezpieczeń w celu redukcji ryzyk do poziomu akceptowalnego.
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2314 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
15 9.04.23
SZBI może obejmować:
wszystkie systemy informacyjne organizacji, niektóre systemy informacyjne organizacji, określony system informacyjny organizacji.
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2315 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
16 9.04.23
Najlepsze praktyki ISO/IEC 27001
Załącznik A
A.5 Polityka bezpieczeństwa
A.6 Organizacja bezpieczeństwa
A.7 Zarządzanie aktywami
A.8 Bezpieczeństwo zasobów ludzkich
A.9 Bezpieczeństwo fizyczne i środowiskowe
A.10 Zarządzanie systemami i sieciami
A.11 Kontrola dostępu
A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych
A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji
A.14 Zarządzanie ciągłością działania
A.15 Zgodność
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2316 Bezpieczeństwo informacji | Jacek Sadowski
|
System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001
17 9.04.23
Znaczenie dla organizacji
certyfikat zgodności jako wyróżnik rynkowy ochrona majątku firmy zapobieganie stratom przewidywanie zagrożeń większa świadomość pracowników identyfikacja nieprawidłowości niezależny nadzór sprawowany przez jednostki zewnętrzne pewność, że wymogi prawne są stosowane w organizacji zwiększenie wiarygodności współpracy z firmami zagranicznymi zapewnienie, że firma wykonuje produkty najwyższej jakości certyfikacja pomaga zapewnić i wykazać zaangażowanie pracowników na wszystkich szczeblach organizacji jasno określone odpowiedzialności przewaga marketingowa nad konkurencją lepsza komunikacja wewnętrzna i zewnętrzna zrozumienie procesów zachodzących w organizacji wzbudzenie zaufania u klientów zapobieganie błędom
Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2317 Bezpieczeństwo informacji | Jacek Sadowski
| 9.04.2318
Zapraszamy do współpracy!
TÜV Rheinland Polska Sp. z o.o.
ul. 17 Stycznia 56
02-146 Warszawa
www.tuv.pl
Dział Sprzedaży
tel. 32 271 64 89
fax. 32 271 64 88
e-mail: [email protected]
Systemy zarządzania dla branży energetycznej | Marek KoźmikBezpieczeństwo informacji | Jacek Sadowski