1 Zarządzanie bezpieczeństwem informacji wymaga jako minimum
- dostępności
- integralności
- połufności
- rozliczalności
- autentyczności
- niezawodności
- niezaprzeczalności
2 Wymagania dotyczące bezpieczeństwa powinny by określone w oparciu o:
Cele zabezpieczeń
- Realizowane przez przedmiot oceny
- Realizowane przez politykę bezpieczeństwa
�Wymagania bezpieczeństwa
- Funkcjonalne (zbiór komponentów)
- Zapewnienia bezpieczeństwa (poziomy EAL)
- Wymagania bezpieczeństwa dla otoczenia
Specyfikacja przedmiotu oceny
- Opis funkcji zabezpieczających
- Opis środków zapewnienia pewności (np. system wg ISO 9001)
3 W definicji Zdarzenia znajdują się nasętpujce pojęcia
Jest określonym wystąpieniem stanu
- systemu,
- usługi
- sieci, który wskazuje na możliwe
- przełamanie polityki bezpieczeństwa informacji,
- błąd zabezpieczenia lub
- nieznaną dotychczas sytuację, która
- może być związana z bezpieczeństwem.
4 Koło Deminga składa się z następujcych czynności
1. planowanie, czyli określenie czynności, które są niezbędne do otrzymania efektu najwyższej jakości,
2. wykonanie zgodnie ze wszystkimi punktami zamierzonego planu,
3. badanie wyników, a więc sprawdzanie, czy plan był skuteczny i co można zrobić, by ulepszyć dany proces,
4. działanie, które polega na udoskonalaniu procesu i włączeniu pomysłów do kolejnego planu.
5 System zarzdzania bezpieczeństwem informacji odnosi się do:
części całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji
UWAGA system zarządzania obejmuje strukturę organizacyjną, polityki, zaplanowane działania, zakresy odpowiedzialności, praktyki, procedury, procesy i zasoby.
6 Zabezpieczenie to:środki służące zarządzaniu ryzykiem, łącznie z politykami,procedurami, zaleceniami, praktyką lub strukturami organizacyjnymi, które mogą mieć naturę administracyjną, techniczną, zarządczą lub prawną.
7 Źródła zagrożeń to:
do sprzętu oprogramowania i danych (nieuprawniony dostęp do
zasobów systemu),
niewłaściwa administracja systemem informatycznym,
informacji) z warunków pracy,
komputerowe
zabezpieczeń (tzw hakerów),
8 Znamy następujące rodzaje audytów w bezpieczeństwie
Informacji
Rodzaje audytów informatycznych
- Audyt systemu zarządzania bezpieczeństwem informacji wg ISO
27001:2005
- Audyt bezpieczeństwa informacji wg ISO 17799
- Audyt działalności informatycznej wg COBIT
- Audyt bezpieczeństwa systemów informatycznych (ISO 13335)
- Audyt wykorzystania systemów informatycznych
- Audyty ochrony danych osobowych
- Audyty systemów finansowo-księgowych
- Audyty [legalności] oprogramowania (Microsoft)
- Testy penetracyjne i analiza podatności
- Certyfikacja oprogramowania wg ISO 15408 (Common Criteria)
-
Rodzaje audytów
1. Wewnętrzny (pierwszej strony)
2. Drugiej strony (klienta, innej zainteresowanej strony)
3. Trzeciej strony (jednostki certyfikacyjnej)
9 Rodzaje zagrożeń to:
· nieuprawniona modyfikacja informacji
· kradzież istotnych informacji: cenne i poufne informacje trafiają w
niepowołane ręce
· zniszczenie fizyczne: np. kopii bezpieczeństwa czy sprzętu
· powielenie komunikatu: np. przelewu
· podszycie się pod inną osobę
· zaprzeczenie wykonania operacji
· sabotaż zasobów: kradzież sprzętu , obciążenie sieci w celu
uniemożliwienia przesyłania danych
· niedbalstwo użytkowników
10 Obraźliwa i nielegalna treść to:
anoreksji
zbudować bombę itp.)
też handel ludźmi czy organami...)
11 Przykładowymi zagrożeniami jest
Ludzkie:
Rozmyślne: Podsłuch; Modyfikacja informacji; Włamania do systemu;
Złośliwy kod; Kradzież
Przypadkowe: Pomyłki i pominięcia; Skasowanie pliku; Nieprawidłowe skierowanie ; Wypadki fizyczne
Środowiskowe: Trzęsienie ziemi; Piorun; Powódź; Pożar
11. Przykładowymi zagrożeniami jest:
Można je podzielić na ludzkie i środowiskowe. Zagrożenia ludzkie dzielimy na rozmyślne i przypadkowe
12. Zagrożenia przypadkowe to:
1. Pomyłki i pominięcia
2. Skasowanie pliku
3. Nieprawidłowe skierowanie
13. Najgroźniejsze wycieki informacji w 2006 roku
14. Ustanowienie SZBI obejmuje :
prowadzonej działalności, organizację, lokalizację, Aktywa, technologię)
dołączając dokładny opis i uzasadnienie dla każdego wyłączenia z zakresu.
15. Monitorowanie i przegląd SZBI obejmuje
- wykonywać procedury monitorowania i przeglądu i inne zabezpieczenia
- wykonywać regularne przeglądy skuteczności SZBI
- wykonywać pomiary skuteczności zabezpieczeń (bezpieczeństwa, ryzyka w zależności odstępów czasu)
- przeprowadzać wewnętrzne audyty w zaplanowanych ostępach czasu
- w regularnych odstępach czasu wykonywać przeglądy SZBI realizowane przez kierownictwo
- rejestrować działania i zdarzenia mające wpływ na skuteczność lub wydajność realizacji SZBI
16. Utrzymanie i doskonalenie SZBI obejmuje
4-2-4
- Organizacja powinna regularnie następujące działania
- Wdrażać w SZBI zidentyfikowane udoskonalenia
- Podejmować odpowiednie działania korygujące i zapobiegawcze zgodnie z
8.2 i 8.3
o Wyciągnąć wnioski z doświadczeń w dziedzinie bezpieczeństwa zarówno innych organizacji jak i własnych
- Informować wszystkie zainteresowane strony o działaniach i udoskonaleniach na odpowiednim do okoliczności poziomie szczegółowości oraz jeżeli trzeba uzgodnić sposób dalszego postępowania
- Zapewnić się że :
o Udoskonalenia osiągają zamierzone cele
17. Dokumentacja powinna obejmować
4-3 SZBI
- Udokumentowane deklaracje polityki SZBI i cele
- Zakres SZBI
- Procedury i zabezpieczenia wspomagające SZBI
- Opis metodyki szacowania ryzyka
- Raport z procesu szacowania ryzyka
- Plan postępowania z ryzykiem
- Udokumentowane procedury potrzebne organizacji do zapewnienia:
o Skutecznego planowania
o Eksploatacji
o Sterowania procesami bezpieczeństwa informacji
o Opis pomiaru skuteczności zabezpieczeń
- Zapisy wymagane przez niniejszą normę
- Deklarację stosowania
18 . Zapisy powinny dotyczyć
4-3-2
Zapisy powinny dotyczyć realizacji procesów zgodnie z opisem zawartym w
4.2 oraz wszystkich incydentów związanych z bezpieczeństwem w odniesieniu do SZBI
- Przykłady
o Księgi gości
o Raporty audytowe
o Wypełnione formularze autoryzacji dostępu
19. Odpowiedzialność kierownictwa obejmuje
- Zaangażowanie kierownictwa
o Kierownictwo powinno zapewnić świadectwo swojego zaangażowania w ustanowienie, eksploatacje, monitorowanie, przegląd, utrzymanie doskonalenie i obsługę SZBI poprzez:
§ Ustanowienie polityki SZBI
§ Zapewnienie że cele i plany SZBI zostały ustanowione
§ Określenie ról i zakresów odpowiedzialności za bezpieczeństwo informacji
§ Informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informacji i zgodności z polityką bezpieczeństwa informacji , swojej odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia
§ Zapewnienie wystarczających zasobów do ustanowienia , wdrożenie, eksploatacji, monitorowania, przeglądów i utrzymania SZBI
§ Podejmowanie decyzji o kryteriach akceptowania ryzyka i akceptowanym poziomie ryzyka
§ Zapewnienia przeprowadzania wewnętrznych audytów SZBI
§ Przeprowadzanie przeglądów SZBI realizowanych przez kierownictwa
- Zarządzanie zasobami
o Zapewnienie zasobów
§ Organizacja powinna zapewnić i określić zasoby potrzebne dla
? Ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu utrzymania, doskonalenia SZBI
? Zapewnienie że procedury bezpieczeństwa informacji wspomagają wymagania biznesowe
? Zidentyfikowania i odniesienia się do wymagań prawnych i nadzoru oraz zobowiązań związanych z bezpieczeństwem a wynikającym z zawartych umów
? Utrzymania odpowiedniego bezpieczeństwa przez poprawne wdrożenie wszystkich zastosowanych zabezpieczeń
? Przeprowadzenia przeglądów kiedy to zachodzi tego potrzeba oraz odpowiedniego reagowania na ich wyniki
? Poprawy skuteczności SZBI tam gdzie jest to wymagane
- Szkolenie uświadamianie i kompetencje
o Organizacja powinna zapewnić że cały personel, któremu przypisano zakresy obowiązków określone w SZBI ma kompetencje do realizacji wymaganych zadań przez :
...
trzcianka