Odpowiedzi.doc

(137 KB) Pobierz
1 Zarządzanie bezpieczeństwem informacji wymaga jako minimum

 

1 Zarządzanie bezpieczeństwem informacji wymaga jako minimum

-         dostępności

-         integralności

-         połufności

-         rozliczalności

-         autentyczności

-         niezawodności

-         niezaprzeczalności

 

   

2 Wymagania dotyczące bezpieczeństwa powinny by określone w oparciu o:                                                   

 

Cele zabezpieczeń

  - Realizowane przez przedmiot oceny

  - Realizowane przez politykę bezpieczeństwa

Wymagania bezpieczeństwa

  - Funkcjonalne (zbiór komponentów)

  - Zapewnienia bezpieczeństwa (poziomy EAL)

  - Wymagania bezpieczeństwa dla otoczenia

Specyfikacja przedmiotu oceny

  - Opis funkcji zabezpieczających

  - Opis środków zapewnienia pewności (np. system wg ISO 9001)

 

 

 

3 W definicji Zdarzenia znajdują się nasętpujce pojęcia       

 

Jest określonym wystąpieniem stanu

- systemu,

- usługi

- sieci, który wskazuje na możliwe

      - przełamanie polityki bezpieczeństwa informacji,

      - błąd zabezpieczenia lub

      - nieznaną dotychczas sytuację, która

              - może być związana z bezpieczeństwem.

 

 

 

 

4 Koło Deminga składa się z następujcych czynności            

 

1. planowanie, czyli określenie czynności, które są niezbędne do otrzymania efektu najwyższej jakości,

2. wykonanie zgodnie ze wszystkimi punktami zamierzonego planu,

3. badanie wyników, a więc sprawdzanie, czy plan był skuteczny i co można zrobić, by ulepszyć dany proces,

4. działanie, które polega na udoskonalaniu procesu i włączeniu pomysłów do kolejnego planu.

 

 

5 System zarzdzania bezpieczeństwem informacji odnosi się do: 

 

części całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji

UWAGA system zarządzania obejmuje strukturę organizacyjną, polityki, zaplanowane działania, zakresy odpowiedzialności, praktyki, procedury, procesy i zasoby.

 

6 Zabezpieczenie to:środki służące zarządzaniu ryzykiem, łącznie z politykami,procedurami, zaleceniami, praktyką lub strukturami organizacyjnymi, które mogą mieć naturę administracyjną, techniczną, zarządczą lub prawną.

 

7 Źródła zagrożeń to:

  1. brak mechanizmów lub nieskuteczne mechanizmy kontroli dostępu

do sprzętu oprogramowania i danych (nieuprawniony dostęp do

zasobów systemu),

niewłaściwa administracja systemem informatycznym,

  1. zaniedbania i błędy użytkowników,
  2. niezadowolenie pracowników (mających dostęp do istotnych

informacji) z warunków pracy,

  1. programy wirusowe, bomby logiczne, konie trojańskie, robaki

komputerowe

  1. ingerencja intruzów specjalizujących się w przełamywaniu

zabezpieczeń (tzw hakerów),

  1. możliwość podsłuchu aktywnego i pasywnego,
  2. retransmisja informacji

 

 

8 Znamy następujące rodzaje audytów w bezpieczeństwie

Informacji

Rodzaje audytów informatycznych

-         Audyt systemu zarządzania bezpieczeństwem informacji wg ISO

27001:2005

-         Audyt bezpieczeństwa informacji wg ISO 17799

-         Audyt działalności informatycznej wg COBIT

-         Audyt bezpieczeństwa systemów informatycznych (ISO 13335)

-         Audyt wykorzystania systemów informatycznych

-         Audyty ochrony danych osobowych

-         Audyty systemów finansowo-księgowych

-         Audyty [legalności] oprogramowania (Microsoft)

-         Testy penetracyjne i analiza podatności

-         Certyfikacja oprogramowania wg ISO 15408 (Common Criteria)

-          

Rodzaje audytów

1.      Wewnętrzny (pierwszej strony)

2.      Drugiej strony (klienta, innej zainteresowanej strony)

3.      Trzeciej strony (jednostki certyfikacyjnej)

 

9 Rodzaje zagrożeń to:

·         nieuprawniona modyfikacja informacji

·         kradzież istotnych informacji: cenne i poufne informacje trafiają w

niepowołane ręce

·         zniszczenie fizyczne: np. kopii bezpieczeństwa czy sprzętu

·         powielenie komunikatu: np. przelewu

·         podszycie się pod inną osobę

·         zaprzeczenie wykonania operacji

·         sabotaż zasobów: kradzież sprzętu , obciążenie sieci w celu

uniemożliwienia przesyłania danych

·         niedbalstwo użytkowników

 

 

10 Obraźliwa i nielegalna treść to:

  • Pornografia & pedofilia
  • Promowanie brutalności, terroryzmu, rasizmu a nawet

anoreksji

  • Edukacja anarchistyczna (jak zaatakować strony,

zbudować bombę itp.)

  • Nielegalne transakcje (pasterstwo, broń, narkotyki, ale

też handel ludźmi czy organami...)

 

11 Przykładowymi zagrożeniami jest

Ludzkie:

Rozmyślne: Podsłuch; Modyfikacja informacji; Włamania do systemu;

Złośliwy kod; Kradzież

Przypadkowe: Pomyłki i pominięcia; Skasowanie pliku; Nieprawidłowe skierowanie ; Wypadki fizyczne

Środowiskowe: Trzęsienie ziemi; Piorun; Powódź; Pożar

 

11. Przykładowymi zagrożeniami jest:

  1. Utrata informacji
  2. Kradzież informacji
  3. Modyfikacja informacji
  4. Zniszczenie zasobów i informacji

Można je podzielić na ludzkie i środowiskowe. Zagrożenia ludzkie dzielimy na rozmyślne i przypadkowe

 

12. Zagrożenia przypadkowe to:

      1.   Pomyłki i pominięcia

      2.   Skasowanie pliku

      3.   Nieprawidłowe skierowanie

  1. Wypadki fizyczne

 

13. Najgroźniejsze wycieki informacji w 2006 roku

  1. Gratis Internet Company zgromadziła poprzez Internet dane osobowe 7 milionów Amerykanów, a następnie odsprzedała je osobom trzecim
  2. Wyciek danych osobowych weteranów i żołnierzy amerykańskiej armmi, maj
  3. Jeden z podwykonawców Teras Guaranteed zgubił laptop z danymi osobowymi klientów firmy, maj
  4. Skradziono laptop pracownika Nationowide Building Society zawierający dane osobowe 11 milionów członków stowarzyszenia, sierpień
  5. Z biura Affiliated Komputer Services skradziono przenośny komputer zawierający dane osobowe pracowników firmy, pażdziernik

 

 

14. Ustanowienie SZBI obejmuje :

  1. Organizacja powinna zdefiniować zakres i granice SZBI uwzględniając charakterystykę(

      prowadzonej działalności, organizację, lokalizację, Aktywa, technologię)

            dołączając dokładny opis i uzasadnienie dla każdego wyłączenia z zakresu.

  1. Zdefiniować politykę SZBI uwzględniając charakterystykę prowadzonej działalności
  2. Zdefiniować podejście do szacowania ryzyka w organizacji (wskazać metodę szacowania ryzyka, opracować kryteria akceptacji ryzyk)
  3. Określić ryzyko
  4. Analizować i oceniać ryzyko
  5. Zdefiniować i określić warianty postępowania z ryzykiem
  6. Wybrać cele stosowania zabezpieczenia

 

15. Monitorowanie i przegląd SZBI obejmuje

 

-         wykonywać procedury monitorowania i przeglądu i inne zabezpieczenia

-         wykonywać regularne przeglądy skuteczności SZBI

-         wykonywać pomiary skuteczności zabezpieczeń (bezpieczeństwa, ryzyka w zależności odstępów czasu)

-         przeprowadzać wewnętrzne audyty w zaplanowanych ostępach czasu

-         w regularnych odstępach czasu wykonywać przeglądy SZBI realizowane przez kierownictwo

-         rejestrować działania i zdarzenia mające wpływ na skuteczność lub wydajność realizacji SZBI

 

16. Utrzymanie i doskonalenie SZBI obejmuje

 

4-2-4

 

- Organizacja powinna regularnie następujące działania

 

- Wdrażać w SZBI zidentyfikowane udoskonalenia

 

- Podejmować odpowiednie działania korygujące i zapobiegawcze zgodnie z

8.2 i 8.3

 

o Wyciągnąć wnioski z doświadczeń w dziedzinie bezpieczeństwa zarówno innych organizacji jak i własnych

 

- Informować wszystkie zainteresowane strony o działaniach i udoskonaleniach na odpowiednim do okoliczności poziomie szczegółowości oraz jeżeli trzeba uzgodnić sposób dalszego postępowania

 

- Zapewnić się że :

 

o Udoskonalenia osiągają zamierzone cele

 

17. Dokumentacja powinna obejmować

 

4-3 SZBI

 

- Udokumentowane deklaracje polityki SZBI i cele

 

- Zakres SZBI

 

- Procedury i zabezpieczenia wspomagające SZBI

 

- Opis metodyki szacowania ryzyka

 

- Raport z procesu szacowania ryzyka

 

- Plan postępowania z ryzykiem

 

- Udokumentowane procedury potrzebne organizacji do zapewnienia:

 

o Skutecznego planowania

 

o Eksploatacji

 

o Sterowania procesami bezpieczeństwa informacji

 

o Opis pomiaru skuteczności zabezpieczeń

 

- Zapisy wymagane przez niniejszą normę

 

- Deklarację stosowania

 

18 . Zapisy powinny dotyczyć

 

4-3-2

 

Zapisy powinny dotyczyć realizacji procesów zgodnie z opisem zawartym w

4.2 oraz wszystkich incydentów związanych z bezpieczeństwem w odniesieniu do SZBI

 

- Przykłady

 

o Księgi gości

 

o Raporty audytowe

 

o Wypełnione formularze autoryzacji dostępu

 

19. Odpowiedzialność kierownictwa obejmuje

 

- Zaangażowanie kierownictwa

 

o Kierownictwo powinno zapewnić świadectwo swojego zaangażowania w ustanowienie, eksploatacje, monitorowanie, przegląd, utrzymanie doskonalenie i obsługę SZBI poprzez:

 

§ Ustanowienie polityki SZBI

 

§ Zapewnienie że cele i plany SZBI zostały ustanowione

 

§ Określenie ról i zakresów odpowiedzialności za bezpieczeństwo informacji

 

§ Informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informacji i zgodności z polityką bezpieczeństwa informacji , swojej odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia

 

§ Zapewnienie wystarczających zasobów do ustanowienia , wdrożenie, eksploatacji, monitorowania, przeglądów i utrzymania SZBI

 

§ Podejmowanie decyzji o kryteriach akceptowania ryzyka i akceptowanym poziomie ryzyka

 

§ Zapewnienia przeprowadzania wewnętrznych audytów SZBI

 

§ Przeprowadzanie przeglądów SZBI realizowanych przez kierownictwa

 

- Zarządzanie zasobami

 

o Zapewnienie zasobów

 

§ Organizacja powinna zapewnić i określić zasoby potrzebne dla

 

? Ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu utrzymania, doskonalenia SZBI

 

? Zapewnienie że procedury bezpieczeństwa informacji wspomagają wymagania biznesowe

 

? Zidentyfikowania i odniesienia się do wymagań prawnych i nadzoru oraz zobowiązań związanych z bezpieczeństwem a wynikającym z zawartych umów

 

? Utrzymania odpowiedniego bezpieczeństwa przez poprawne wdrożenie wszystkich zastosowanych zabezpieczeń

 

? Przeprowadzenia przeglądów kiedy to zachodzi tego potrzeba oraz odpowiedniego reagowania na ich wyniki

 

? Poprawy skuteczności SZBI tam gdzie jest to wymagane

 

- Szkolenie uświadamianie i kompetencje

 

o Organizacja powinna zapewnić że cały personel, któremu przypisano zakresy obowiązków określone w SZBI ma kompetencje do realizacji wymaganych zadań przez :

 

...

Zgłoś jeśli naruszono regulamin