| 9.04.231 Bezpieczeństwo informacji | Jacek Sadowski

TÜV Rheinland Polska Sp. z o.o. Bezpieczeństwo informacji jako jeden z aspektów zarządzania

organizacją we współczesnym świecie

Wspólnie zmieniamy świat poprzez troskę o jakość życia

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

2 9.04.23

Celem prezentacji jest pokazanie i uświadomienie jak bardzo istotnym elementem „prowadzenia biznesu” jest informacja, zarządzanie nią oraz przekazanie podstaw w zakresie wdrażania SZBI według normy ISO/IEC 27001.

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.232 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

3 9.04.23

za incydenty.aste.net.pl

Trendy dot. jakości haseł dostępu na podstawie incydentu z Hotmail

Źródło: Acunetix Blog, softpedia.com Niedawny incydent związany z wyciekiem haseł z

Hotmail stał się obiektem badań specjalistów od bezpieczeństwa informacji. Hasła zostały zamieszczone na stronie pastebin.com. Po krótkim czasie zostały usunięte, ale CTO firmy Acunetix Bogdan Calin zdążył je skopiować. Na podstawie analizy około 10 tysięcy haseł z usługi Windows Live Hotmail ustalił, że większość użytkowników wciąż stosuje słabe hasła.

Raport bezpieczeństwa przedsiębiorstw

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.233 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

4 9.04.23

za incydenty.aste.net.plDane żołnierzy US Army w P2P Źródło: arcabit.plW sieciach P2P znaleziono dokumenty z danymi

osobowymi 463 żołnierzy amerykańskich sił specjalnych z Fortu Bragg. Zawierają one nazwiska, numery telefonów, adresy oraz informacje o ich żonach i dzieciach

“O jeden & za daleko” Źródło: chip.plZa poważną lukę w bezpieczeństwie Windows

Internet Explorera, która została załatana 28 lipca przez Microsoft, odpowiadał jeden nadmiarowy znak w kodzie

Raport bezpieczeństwa przedsiębiorstw

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.234 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

5 9.04.23

za incydenty.aste.net.pl

Informacje o abonentach telewizji ‘n’ w internecie Źródło: gazeta.plNumery PESEL, a obok nich imiona, nazwiska,

adresy, telefony – na dokument zawierający szczegółowe dane kilkudziesięciu osób przez przypadek trafił w sieci jeden z internautów. Jak się okazało informacje wyciekły z serwerów telewizji “n”.

Raport bezpieczeństwa przedsiębiorstw

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.235 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

6 9.04.23

za bezpieczenstwo.onet.pl

Hasła na tacy ... sprawca znanyKaspersky Lab, producent rozwiązań do ochrony danych, zidentyfikował szkodliwy program powiązany z kradzieżą loginów i haseł tysięcy polskich internautów

Raport bezpieczeństwa przedsiębiorstw

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.236 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

7 9.04.23

Z przeprowadzonych analiz wynika, iż:

sprzątaczka (20%) ma dostęp do prawie takiej samej ilości

informacji, jak zarząd (35%)

administrator czy informatyk (75%) wie albo może wiedzieć, jeśli

zechce, prawie tyle samo, co kierownik działu (85%)  

kierownik działu (85%) nie zna wszystkich informacji

zgromadzonych w dziale

Raport bezpieczeństwa przedsiębiorstw

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.237 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

8 9.04.23

Niewiele osób zdaje sobie sprawę z faktu, iż zaledwie 1/5 incydentów bezpieczeństwa w danej organizacji dotyczy działu IT.

Nie wszyscy również wiedzą, że

ponad 2/3 incydentów bezpieczeństwa

wynika z błędu ludzkiego,

popełnionego przez pracowników.

Incydenty bezpieczństw a

IT Pracownicy Inne

Raport bezpieczeństwa przedsiębiorstw

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.238 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

9 9.04.23

Raport bezpieczeństwa przedsiębiorstw

Stan faktyczny:

W ciągu ostatnich lat 68% firm poniosło szkody na skutek utraty informacji

Ponad 45% przedsiębiorców nie zdaje sobie sprawy, że posiada wartościowe informacje, które należy chronić

Tylko 30% organizacji wdrożyło system oceny ryzyka, którego

elementem jest szacowanie ryzyka utraty informacji 60% ze zgłoszonych przypadków utraty informacji było

spowodowanych błędami użytkowników

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.239 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

10 9.04.23

Raport bezpieczeństwa przedsiębiorstw

Stan faktyczny:

Blisko 75% firm zgłaszających „poważne szkody” spowodowane utratą informacji nie posiadało żadnego planu awaryjnego

Tylko 20% firm posiada sformalizowany dokument opisujący

politykę bezpieczeństwa firmy 57% naruszeń bezpieczeństwa jest przypadkowe, 24%

złośliwe, 11% awaria sprzętu, 3% błąd w oprogramowaniu

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2310 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

11 9.04.23

Dlaczego firmy decydują się zarządzać bezpieczeństwem informacji?

Standaryzacja pracy w sytuacjach awaryjnych Usprawnienie zarządzaniem informacją Zmniejszenie ryzyka biznesowego Wzmocnienie wiarygodności Rozwinięcie e-biznesu

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2311 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

12 9.04.23

Pojęcie informacji

„Informacja jest aktywem, który, podobnie jak inne ważne aktywa biznesowe, ma dla instytucji wartość i dlatego należy ją odpowiednio chronić”

Aktywa informacyjne – bazy danych, pliki danych, dokumentacja

systemu, podręczniki użytkowania, materiały szkoleniowe

Dokumenty papierowe – umowy, wytyczne, dokumentacja organizacji

Oprogramowanie – systemy operacyjne, aplikacje

Aktywa fizyczne – sprzęt komputerowy, nieruchomości, nośniki

Ludzie – personel, klienci, dostawcy

Usługi – przetwarzania, transmisji, projektowania

Wizerunek firmy

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2312 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

13 9.04.23

Bezpieczeństwo informacji

Zachowanie:

poufności

Integralności

dostępności informacji

Dodatkowo możemy rozpatrzyć także:

autentyczność

rozliczalność

niezaprzeczalność

niezawodność

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2313 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

14 9.04.23

Etapy wdrożenia:

1. Identyfikacja aktywów

2. Wycena aktywów

3. Identyfikacja wymagań związanych z bezpieczeństwem informacji t.j. zagrożeń podatności, wymagań prawnych, kontraktowych i własnych

4. Oszacowanie wagi wymagań związanych z bezpieczeństwem informacji

5. Obliczenie ryzyk

6. Identyfikacja i ocena opcji postępowania z ryzykiem

7. Zastosowanie zabezpieczeń w celu redukcji ryzyk do poziomu akceptowalnego.

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2314 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

15 9.04.23

SZBI może obejmować:

wszystkie systemy informacyjne organizacji, niektóre systemy informacyjne organizacji, określony system informacyjny organizacji.

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2315 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

16 9.04.23

Najlepsze praktyki ISO/IEC 27001

Załącznik A

A.5 Polityka bezpieczeństwa

A.6 Organizacja bezpieczeństwa

A.7 Zarządzanie aktywami

A.8 Bezpieczeństwo zasobów ludzkich

A.9 Bezpieczeństwo fizyczne i środowiskowe

A.10 Zarządzanie systemami i sieciami

A.11 Kontrola dostępu

A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych

A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji

A.14 Zarządzanie ciągłością działania

A.15 Zgodność

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2316 Bezpieczeństwo informacji | Jacek Sadowski

|

System zarządzania bezpieczeństwem informacjiwg ISO/IEC 27001

17 9.04.23

Znaczenie dla organizacji

certyfikat zgodności jako wyróżnik rynkowy ochrona majątku firmy zapobieganie stratom przewidywanie zagrożeń większa świadomość pracowników identyfikacja nieprawidłowości niezależny nadzór sprawowany przez jednostki zewnętrzne pewność, że wymogi prawne są stosowane w organizacji zwiększenie wiarygodności współpracy z firmami zagranicznymi zapewnienie, że firma wykonuje produkty najwyższej jakości certyfikacja pomaga zapewnić i wykazać zaangażowanie pracowników na wszystkich szczeblach organizacji jasno określone odpowiedzialności przewaga marketingowa nad konkurencją lepsza komunikacja wewnętrzna i zewnętrzna zrozumienie procesów zachodzących w organizacji wzbudzenie zaufania u klientów zapobieganie błędom

Systemy zarządzania dla branży energetycznej | Marek Koźmik9.04.2317 Bezpieczeństwo informacji | Jacek Sadowski

| 9.04.2318

Zapraszamy do współpracy!

TÜV Rheinland Polska Sp. z o.o.

ul. 17 Stycznia 56

02-146 Warszawa

www.tuv.pl

Dział Sprzedaży

tel. 32 271 64 89

fax. 32 271 64 88

e-mail: post@pl.tuv.com

Systemy zarządzania dla branży energetycznej | Marek KoźmikBezpieczeństwo informacji | Jacek Sadowski