Autorzy publikacji są absolwentami studiów podyplomowych realizowanych w Szkole Głównej Handlowej w Warszawie: Zarządzanie bezpieczeństwem informacji. Studia koncentrują się na menedżerskich zagadnieniach związanych z problematyką zarządzania bezpieczeństwem informacji. Zdecydowana większość zajęć jest prowadzona przez praktyków - ekspertów w tej dziedzinie. W ramach studiów realizowany jest także wyjazd integracyjny, podczas którego uczestnicy mają okazję budować swoją sieć kontaktów. Studia są bardzo wysoko oceniane przez absolwentów. Informacje o bieżącej edycji można znaleźć na stronie internetowej SGH dotyczącej studiów podyplomowych.
[[[separator]]]Można powiedzieć, że obecnie żyjemy w czasach rewolucji informacyjnej. W efekcie powstało społeczeństwo informacyjne, które można zdefiniować "jako syntetyczny termin określający nowe zjawiska społeczne, gospodarcze i kulturowe powstałe w drugiej połowie XX wieku w wyniku oddziaływania technik informacyjnych". Tak więc kwestia zarządzania informacją w obecnym otoczeniu biznesowym stała się jednym z fundamentów sukcesu i porażek organizacji. Tym samym informacja wymaga chronienia, dlatego tę publikację poświęcono tematyce zarządzania bezpieczeństwem informacji.
Błędem często popełnianym przez kierownictwa organizacji jest przekonanie, że licznie wdrożone zabezpieczenia teleinformatyczne nadzorowane przez komórkę organizacyjną zajmującą się dostarczaniem usług IT rozwiążą problem należytego zabezpieczenia informacji, które mogą stanowić tajemnicę. Wskazują na to nie tylko doświadczenia zawodowe, lecz także liczne badania czy też dostępna literatura.
Należy mieć na uwadze, iż rozwiązania te, choć bezdyskusyjnie istotne, stanowią jednak dopiero pewien element w całościowym procesie mającym na celu zapewnienie kompleksowej ochrony - w zarządzaniu bezpieczeństwem informacji. Poza wspomnianym już bezpieczeństwem teleinformatycznym proces ten obejmuje przede wszystkim:
- bezpieczeństwo organizacyjne - m. in. jasno określone role i odpowiedzialności osób związanych z zapewnieniem bezpieczeństwa informacji, w tym reakcją na incydenty;
- bezpieczeństwo osobowe - m. in. weryfikację kandydatów do pracy, szkolenia, podpisywanie zobowiązań, nadawanie adekwatnych uprawnień do zasobów;
- bezpieczeństwo prawne - czyli zidentyfikowanie i realizację działań mających na celu spełnienie wymagań prawnych w obszarze ochrony informacji, w szczególności ochrony danych osobowych;
- bezpieczeństwo fizyczne i środowiskowe - obejmujące przygotowanie na wystąpienie takich zagrożeń, jak np. powodzi, zalania, pożaru, włamania czy kradzieży;
- zarządzanie ciągłością działania - obejmujące opracowanie planów awaryjnych umożliwiających skuteczne zarządzanie incydentami zakłócenia ciągłości dostarczania kluczowych produktów i usług, prowadzenie działalności na minimalnym poziomie w obliczu ograniczonej dostępności zasobów czy ostatecznie - pełne odtworzenie działalności po incydencie.
Bezpieczeństwo informacji wiąże się zatem z szeregiem działań nie tylko w obszarze informatyki, lecz także prawa czy organizacji i zarządzania.
Należy ponadto zauważyć, iż proces zarządzania bezpieczeństwem informacji obejmuje wszystkie obszary działalności organizacji i tym samym - wszystkich pracowników, a w szczególności najwyższe kierownictwo. Problematyka właściwego podejścia w uświadamianiu i uwrażliwianiu pracowników na zagrożenia dotyczące ochrony informacji oraz efektywna nauka dobrych praktyk i właściwych zachowań powoduje, że bezpieczeństwo informacji dotyka również zagadnień z zakresu socjologii i psychologii.
Wreszcie, bezpieczeństwo informacji to także problemy natury ekonomicznej. Jakie bowiem będą wymierne korzyści z wdrożenia systemowego zarządzania bezpieczeństwem informacji? Czy koszty ponoszone na wdrożenie i utrzymywanie zabezpieczeń się zwrócą? Czy nie przewyższą wartości chronionych zasobów?
Obszerność zagadnień dotyczących zarządzania bezpieczeństwem informacji, a także interdyscyplinarność otaczających ich problemów zdecydowanie daleko wykracza poza typowe kompetencje działów informatyki, choć niewątpliwie zagadnienia informatyczne odgrywają tutaj szczególną rolę:
Konieczność naświetlenia wielu problemów związanych ze złożonością procesu zarządzania bezpieczeństwem informacji stała się powodem, dla którego została przygotowana niniejsza publikacja. Omówiono w niej nie tylko wiele fundamentalnych zagadnień związanych z ochroną informacji, lecz przedstawiono w niej także istotne aspekty prawne, metodyczne i praktyczne poparte interesującymi przykładami.
Na niniejszą publikację składają się wybrane i ułożone w logiczną i spójną całość fragmenty prac dyplomowych napisanych przez słuchaczy Podyplomowych Studiów Zarządzanie Bezpieczeństwem Informacji realizowanych przy Katedrze Zarządzania Innowacjami Szkoły Głównej Handlowej w Warszawie, a także fragmenty pracy magisterskiej Przemysława Sobczaka napisanej w Instytucie Informatyki Politechniki Poznańskiej.
[[[separator]]]Wstęp
1. Podstawowe problemy zarządzania bezpieczeństwem informacji
Paweł Prusiński
1.1. Informacje jako strategiczne aktywa przedsiębiorstw
1.1.1. Definicja informacji
1.1.2. Znaczenie informacji
1.1.3. Wartość informacji
1.1.4. Informacja jako ważny zasób dla przedsiębiorstwa
1.1.5. Znaczenie informacji w zarządzaniu przedsiębiorstwem
Dorota Książek
1.2. Bezpieczeństwo informacji jako element strategii firmy
1.2.1. Miejsce polityki bezpieczeństwa informacji w kulturze organizacji
1.2.2. Poziom świadomości kierownictwa
1.2.3. Poziom świadomości pracowników
Magdalena Pieniak
1.3. Zagrożenia dla bezpieczeństwa informacji
1.3.1. Zagrożenia wewnętrzne i rola czynnika ludzkiego
1.3.2. Czynniki zewnętrzne
Hanna Aniszewska
1.4. Wpływ czynnika ludzkiego na bezpieczeństwo informacji
Adam Marczyński
1.5. Socjotechnika a bezpieczeństwo informacji
2. Prawne i normatywne aspekty bezpieczeństwa informacji
2.1. Wybrane regulacje prawne dotyczące bezpieczeństwa informacji
Piotr Mazurek
2.1.1. Ustawa o przeciwdziałaniu nieuczciwej konkurencji
Paweł Prusiński
2.1.2. Ustawa o ochronie informacji niejawnych
2.1.3. Ustawa o ochronie danych osobowych
Agnieszka Panewczyńska
2.1.4. Kodeks Pracy
Przemysław Sobczak
2.2. Norma PN-ISO/IEC 27001:2007
2.2.1. Historia norm w obszarze zarządzania bezpieczeństwem informacji
2.2.2. Podstawowa terminologia
2.2.3. Przegląd i interpretacja wymagań normy PN-ISO/IEC 27001:2007
Mateusz Rudnik
2.2.4. Korzyści a koszty zapewniania bezpieczeństwa informacji - norma ISO 27001
Sebastian Leśniak
2.3. Regulacje prawne z zakresu zarządzania bezpieczeństwem informacji a cykl życia projektu informatycznego
2.3.1. Zarządzanie projektami informatycznymi
2.3.2. Uwzględnienie aktów prawnych z zakresu ochrony danych osobowych
2.3.3. Produkty projektowe dostarczane na podstawie wytycznych aktów prawnych z zakresu ochrony danych osobowych
2.3.4. Dokumenty regulujące kwestie bezpieczeństwa danych osobowych
2.3.5. Środki bezpieczeństwa teleinformatycznego
2.3.6. Lista kontrolna projektu
3. Praktyka zarządzania bezpieczeństwem informacji
Łukasz Kaliś
3.1. Praktyczne zalecenia w zarządzaniu bezpieczeństwem informacji
3.1.1. Bezpieczeństwo organizacyjne
3.1.2. Bezpieczeństwo fizyczne
3.1.3. Bezpieczeństwo teleinformatyczne
3.1.4. Pozostałe aspekty bezpieczeństwa informacji
Agnieszka Adamiak
3.2. Podstawy zarządzania ciągłością działania w przedsiębiorstwie
3.2.1. Cykl życiowy zarządzania ciągłością działania - BCM
3.2.2. Zarządzanie programem ciągłości działania
3.2.3. Zrozumienie organizacji
3.2.4. Opracowanie strategii ciągłości działania
3.2.5. Opracowanie i wdrożenie programu zarządzania ciągłością działania
3.2.6. Testowanie, utrzymanie i audyt programu zarządzania ciągłością działania
3.2.7. Świadomość BCM w organizacji
Przemysław Sobczak
3.3. Projektowanie Systemu Zarządzania Bezpieczeństwem Informacji
3.3.1. Podejścia do projektowania SZBI
3.3.2. Ustanowienie SZBI
3.3.3. Wdrożenie i eksploatacja
3.3.4. Monitorowanie i przegląd
3.3.5. Doskonalenie i utrzymanie SZBI
3.3.6. Certyfikacja
Hanna Aniszewska
3.4. Rola czynnika ludzkiego w uwierzytelnianiu hasłami w organizacji
3.4.1. Zarządzanie hasłami w organizacji
3.4.2. Firmowe standardy zarządzania hasłami
3.4.3. Polityka haseł jako część Polityki Bezpieczeństwa organizacji
3.4.4. Narzędzia do zarządzania hasłami w organizacji
Izabella Wołłejko-Chwastowicz
3.5. Wpływ porażek projektów IT na bezpieczeństwo
3.5.1. Wpływ na bezpieczeństwo teleinformatyczne
3.5.2. Wpływ na bezpieczeństwo informacji
Marcin Kuzia
3.6. Botnet - źródło zagrożeń w internecie
3.6.1. Jak stworzyć botnet
3.6.2. Jak rozprzestrzenić botnet
3.6.3. Modele zarządzania botnetem
3.6.4. Jak działa botnet
3.6.5. Jak wykorzystać botnet i jak na nim zarobić
3.6.6. Jak przeciwdziałać botnetom
Piotr Berliński
3.7. Wyzwania związane z przetwarzaniem w chmurze
3.7.1. Co to jest przetwarzanie w chmurze?
3.7.2. Infrastruktura
3.7.3. Bezpieczeństwo danych
Paweł Mański
3.7.4. Analiza SWOT zarządzania w chmurze
3.7.5. Czynniki zewnętrzne mające wpływ na przetwarzanie w chmurze
4. Przykłady działań w obszarze zarządzania bezpieczeństwem informacji
Piotr Mazurek
4.1. Realizacja szacowania ryzyka w przykładowym przedsiębiorstwie
4.1.1. Inwentaryzacja aktywów
4.1.2. Klasyfikacja aktywów
4.1.3. Punkty krytyczne oraz ranking ryzyk
4.1.4. Plan postępowania z ryzykiem
4.2. Praktyczna realizacja zabezpieczeń organizacyjno-technicznych w przedsiębiorstwie
4.2.1. Bezpieczeństwo fizyczne
4.2.2. Bezpieczeństwo osobowe
4.2.3. Zasady bezpieczeństwa w kontaktach ze stronami trzecimi
4.2.4. Bezpieczeństwo teleinformatyczne
4.2.5. Instalacja i inwentaryzacja sprzętu i oprogramowania
Regina Wiśniewska
4.3. Audyt bezpieczeństwa informacji w banku
4.3.1. Funkcjonowanie audytu
4.3.2. Cel i zakres działania audytu
4.3.3. Planowanie i organizowanie audytu
4.3.4. Metody przeprowadzania badań audytowych
4.3.5. Dokumentowanie wyników audytu
Sławomir Mądry
4.4. Procedury bezpiecznej eksploatacji systemu teleinformatycznego Millenium w przykładowej firmie
4.4.1. Bezpieczeństwo dokumentów
4.4.2. Bezpieczeństwo personelu i bezpieczeństwo fizyczne
4.4.3. Bezpieczeństwo infrastruktury sprzętowej
4.4.4. Plany awaryjne i zapobiegawcze
Robert Krukar
4.5. Bezpieczeństwo informacji na przykładzie funkcjonowania kancelarii tajnej w Głównym Urzędzie Prokuratorii Generalnej Skarbu Państwa
4.5.1. Podstawy działalności i funkcjonowania Prokuratorii Generalnej Skarbu Państwa
4.5.2. Funkcjonowanie kancelarii tajnej w PGSP
4.5.3. Ocena funkcjonowania kancelarii tajnej w PGSP
Zakończenie
Bibliografia
Informacja o autorach
Opis
Autorzy publikacji są absolwentami studiów podyplomowych realizowanych w Szkole Głównej Handlowej w Warszawie: Zarządzanie bezpieczeństwem informacji. Studia koncentrują się na menedżerskich zagadnieniach związanych z problematyką zarządzania bezpieczeństwem informacji. Zdecydowana większość zajęć jest prowadzona przez praktyków - ekspertów w tej dziedzinie. W ramach studiów realizowany jest także wyjazd integracyjny, podczas którego uczestnicy mają okazję budować swoją sieć kontaktów. Studia są bardzo wysoko oceniane przez absolwentów. Informacje o bieżącej edycji można znaleźć na stronie internetowej SGH dotyczącej studiów podyplomowych.
Wstęp
Można powiedzieć, że obecnie żyjemy w czasach rewolucji informacyjnej. W efekcie powstało społeczeństwo informacyjne, które można zdefiniować "jako syntetyczny termin określający nowe zjawiska społeczne, gospodarcze i kulturowe powstałe w drugiej połowie XX wieku w wyniku oddziaływania technik informacyjnych". Tak więc kwestia zarządzania informacją w obecnym otoczeniu biznesowym stała się jednym z fundamentów sukcesu i porażek organizacji. Tym samym informacja wymaga chronienia, dlatego tę publikację poświęcono tematyce zarządzania bezpieczeństwem informacji.
Błędem często popełnianym przez kierownictwa organizacji jest przekonanie, że licznie wdrożone zabezpieczenia teleinformatyczne nadzorowane przez komórkę organizacyjną zajmującą się dostarczaniem usług IT rozwiążą problem należytego zabezpieczenia informacji, które mogą stanowić tajemnicę. Wskazują na to nie tylko doświadczenia zawodowe, lecz także liczne badania czy też dostępna literatura.
Należy mieć na uwadze, iż rozwiązania te, choć bezdyskusyjnie istotne, stanowią jednak dopiero pewien element w całościowym procesie mającym na celu zapewnienie kompleksowej ochrony - w zarządzaniu bezpieczeństwem informacji. Poza wspomnianym już bezpieczeństwem teleinformatycznym proces ten obejmuje przede wszystkim:
- bezpieczeństwo organizacyjne - m. in. jasno określone role i odpowiedzialności osób związanych z zapewnieniem bezpieczeństwa informacji, w tym reakcją na incydenty;
- bezpieczeństwo osobowe - m. in. weryfikację kandydatów do pracy, szkolenia, podpisywanie zobowiązań, nadawanie adekwatnych uprawnień do zasobów;
- bezpieczeństwo prawne - czyli zidentyfikowanie i realizację działań mających na celu spełnienie wymagań prawnych w obszarze ochrony informacji, w szczególności ochrony danych osobowych;
- bezpieczeństwo fizyczne i środowiskowe - obejmujące przygotowanie na wystąpienie takich zagrożeń, jak np. powodzi, zalania, pożaru, włamania czy kradzieży;
- zarządzanie ciągłością działania - obejmujące opracowanie planów awaryjnych umożliwiających skuteczne zarządzanie incydentami zakłócenia ciągłości dostarczania kluczowych produktów i usług, prowadzenie działalności na minimalnym poziomie w obliczu ograniczonej dostępności zasobów czy ostatecznie - pełne odtworzenie działalności po incydencie.
Bezpieczeństwo informacji wiąże się zatem z szeregiem działań nie tylko w obszarze informatyki, lecz także prawa czy organizacji i zarządzania.
Należy ponadto zauważyć, iż proces zarządzania bezpieczeństwem informacji obejmuje wszystkie obszary działalności organizacji i tym samym - wszystkich pracowników, a w szczególności najwyższe kierownictwo. Problematyka właściwego podejścia w uświadamianiu i uwrażliwianiu pracowników na zagrożenia dotyczące ochrony informacji oraz efektywna nauka dobrych praktyk i właściwych zachowań powoduje, że bezpieczeństwo informacji dotyka również zagadnień z zakresu socjologii i psychologii.
Wreszcie, bezpieczeństwo informacji to także problemy natury ekonomicznej. Jakie bowiem będą wymierne korzyści z wdrożenia systemowego zarządzania bezpieczeństwem informacji? Czy koszty ponoszone na wdrożenie i utrzymywanie zabezpieczeń się zwrócą? Czy nie przewyższą wartości chronionych zasobów?
Obszerność zagadnień dotyczących zarządzania bezpieczeństwem informacji, a także interdyscyplinarność otaczających ich problemów zdecydowanie daleko wykracza poza typowe kompetencje działów informatyki, choć niewątpliwie zagadnienia informatyczne odgrywają tutaj szczególną rolę:
Konieczność naświetlenia wielu problemów związanych ze złożonością procesu zarządzania bezpieczeństwem informacji stała się powodem, dla którego została przygotowana niniejsza publikacja. Omówiono w niej nie tylko wiele fundamentalnych zagadnień związanych z ochroną informacji, lecz przedstawiono w niej także istotne aspekty prawne, metodyczne i praktyczne poparte interesującymi przykładami.
Na niniejszą publikację składają się wybrane i ułożone w logiczną i spójną całość fragmenty prac dyplomowych napisanych przez słuchaczy Podyplomowych Studiów Zarządzanie Bezpieczeństwem Informacji realizowanych przy Katedrze Zarządzania Innowacjami Szkoły Głównej Handlowej w Warszawie, a także fragmenty pracy magisterskiej Przemysława Sobczaka napisanej w Instytucie Informatyki Politechniki Poznańskiej.
Spis treści
Wstęp
1. Podstawowe problemy zarządzania bezpieczeństwem informacji
Paweł Prusiński
1.1. Informacje jako strategiczne aktywa przedsiębiorstw
1.1.1. Definicja informacji
1.1.2. Znaczenie informacji
1.1.3. Wartość informacji
1.1.4. Informacja jako ważny zasób dla przedsiębiorstwa
1.1.5. Znaczenie informacji w zarządzaniu przedsiębiorstwem
Dorota Książek
1.2. Bezpieczeństwo informacji jako element strategii firmy
1.2.1. Miejsce polityki bezpieczeństwa informacji w kulturze organizacji
1.2.2. Poziom świadomości kierownictwa
1.2.3. Poziom świadomości pracowników
Magdalena Pieniak
1.3. Zagrożenia dla bezpieczeństwa informacji
1.3.1. Zagrożenia wewnętrzne i rola czynnika ludzkiego
1.3.2. Czynniki zewnętrzne
Hanna Aniszewska
1.4. Wpływ czynnika ludzkiego na bezpieczeństwo informacji
Adam Marczyński
1.5. Socjotechnika a bezpieczeństwo informacji
2. Prawne i normatywne aspekty bezpieczeństwa informacji
2.1. Wybrane regulacje prawne dotyczące bezpieczeństwa informacji
Piotr Mazurek
2.1.1. Ustawa o przeciwdziałaniu nieuczciwej konkurencji
Paweł Prusiński
2.1.2. Ustawa o ochronie informacji niejawnych
2.1.3. Ustawa o ochronie danych osobowych
Agnieszka Panewczyńska
2.1.4. Kodeks Pracy
Przemysław Sobczak
2.2. Norma PN-ISO/IEC 27001:2007
2.2.1. Historia norm w obszarze zarządzania bezpieczeństwem informacji
2.2.2. Podstawowa terminologia
2.2.3. Przegląd i interpretacja wymagań normy PN-ISO/IEC 27001:2007
Mateusz Rudnik
2.2.4. Korzyści a koszty zapewniania bezpieczeństwa informacji - norma ISO 27001
Sebastian Leśniak
2.3. Regulacje prawne z zakresu zarządzania bezpieczeństwem informacji a cykl życia projektu informatycznego
2.3.1. Zarządzanie projektami informatycznymi
2.3.2. Uwzględnienie aktów prawnych z zakresu ochrony danych osobowych
2.3.3. Produkty projektowe dostarczane na podstawie wytycznych aktów prawnych z zakresu ochrony danych osobowych
2.3.4. Dokumenty regulujące kwestie bezpieczeństwa danych osobowych
2.3.5. Środki bezpieczeństwa teleinformatycznego
2.3.6. Lista kontrolna projektu
3. Praktyka zarządzania bezpieczeństwem informacji
Łukasz Kaliś
3.1. Praktyczne zalecenia w zarządzaniu bezpieczeństwem informacji
3.1.1. Bezpieczeństwo organizacyjne
3.1.2. Bezpieczeństwo fizyczne
3.1.3. Bezpieczeństwo teleinformatyczne
3.1.4. Pozostałe aspekty bezpieczeństwa informacji
Agnieszka Adamiak
3.2. Podstawy zarządzania ciągłością działania w przedsiębiorstwie
3.2.1. Cykl życiowy zarządzania ciągłością działania - BCM
3.2.2. Zarządzanie programem ciągłości działania
3.2.3. Zrozumienie organizacji
3.2.4. Opracowanie strategii ciągłości działania
3.2.5. Opracowanie i wdrożenie programu zarządzania ciągłością działania
3.2.6. Testowanie, utrzymanie i audyt programu zarządzania ciągłością działania
3.2.7. Świadomość BCM w organizacji
Przemysław Sobczak
3.3. Projektowanie Systemu Zarządzania Bezpieczeństwem Informacji
3.3.1. Podejścia do projektowania SZBI
3.3.2. Ustanowienie SZBI
3.3.3. Wdrożenie i eksploatacja
3.3.4. Monitorowanie i przegląd
3.3.5. Doskonalenie i utrzymanie SZBI
3.3.6. Certyfikacja
Hanna Aniszewska
3.4. Rola czynnika ludzkiego w uwierzytelnianiu hasłami w organizacji
3.4.1. Zarządzanie hasłami w organizacji
3.4.2. Firmowe standardy zarządzania hasłami
3.4.3. Polityka haseł jako część Polityki Bezpieczeństwa organizacji
3.4.4. Narzędzia do zarządzania hasłami w organizacji
Izabella Wołłejko-Chwastowicz
3.5. Wpływ porażek projektów IT na bezpieczeństwo
3.5.1. Wpływ na bezpieczeństwo teleinformatyczne
3.5.2. Wpływ na bezpieczeństwo informacji
Marcin Kuzia
3.6. Botnet - źródło zagrożeń w internecie
3.6.1. Jak stworzyć botnet
3.6.2. Jak rozprzestrzenić botnet
3.6.3. Modele zarządzania botnetem
3.6.4. Jak działa botnet
3.6.5. Jak wykorzystać botnet i jak na nim zarobić
3.6.6. Jak przeciwdziałać botnetom
Piotr Berliński
3.7. Wyzwania związane z przetwarzaniem w chmurze
3.7.1. Co to jest przetwarzanie w chmurze?
3.7.2. Infrastruktura
3.7.3. Bezpieczeństwo danych
Paweł Mański
3.7.4. Analiza SWOT zarządzania w chmurze
3.7.5. Czynniki zewnętrzne mające wpływ na przetwarzanie w chmurze
4. Przykłady działań w obszarze zarządzania bezpieczeństwem informacji
Piotr Mazurek
4.1. Realizacja szacowania ryzyka w przykładowym przedsiębiorstwie
4.1.1. Inwentaryzacja aktywów
4.1.2. Klasyfikacja aktywów
4.1.3. Punkty krytyczne oraz ranking ryzyk
4.1.4. Plan postępowania z ryzykiem
4.2. Praktyczna realizacja zabezpieczeń organizacyjno-technicznych w przedsiębiorstwie
4.2.1. Bezpieczeństwo fizyczne
4.2.2. Bezpieczeństwo osobowe
4.2.3. Zasady bezpieczeństwa w kontaktach ze stronami trzecimi
4.2.4. Bezpieczeństwo teleinformatyczne
4.2.5. Instalacja i inwentaryzacja sprzętu i oprogramowania
Regina Wiśniewska
4.3. Audyt bezpieczeństwa informacji w banku
4.3.1. Funkcjonowanie audytu
4.3.2. Cel i zakres działania audytu
4.3.3. Planowanie i organizowanie audytu
4.3.4. Metody przeprowadzania badań audytowych
4.3.5. Dokumentowanie wyników audytu
Sławomir Mądry
4.4. Procedury bezpiecznej eksploatacji systemu teleinformatycznego Millenium w przykładowej firmie
4.4.1. Bezpieczeństwo dokumentów
4.4.2. Bezpieczeństwo personelu i bezpieczeństwo fizyczne
4.4.3. Bezpieczeństwo infrastruktury sprzętowej
4.4.4. Plany awaryjne i zapobiegawcze
Robert Krukar
4.5. Bezpieczeństwo informacji na przykładzie funkcjonowania kancelarii tajnej w Głównym Urzędzie Prokuratorii Generalnej Skarbu Państwa
4.5.1. Podstawy działalności i funkcjonowania Prokuratorii Generalnej Skarbu Państwa
4.5.2. Funkcjonowanie kancelarii tajnej w PGSP
4.5.3. Ocena funkcjonowania kancelarii tajnej w PGSP
Zakończenie
Bibliografia
Informacja o autorach
Opinie
Autorzy publikacji są absolwentami studiów podyplomowych realizowanych w Szkole Głównej Handlowej w Warszawie: Zarządzanie bezpieczeństwem informacji. Studia koncentrują się na menedżerskich zagadnieniach związanych z problematyką zarządzania bezpieczeństwem informacji. Zdecydowana większość zajęć jest prowadzona przez praktyków - ekspertów w tej dziedzinie. W ramach studiów realizowany jest także wyjazd integracyjny, podczas którego uczestnicy mają okazję budować swoją sieć kontaktów. Studia są bardzo wysoko oceniane przez absolwentów. Informacje o bieżącej edycji można znaleźć na stronie internetowej SGH dotyczącej studiów podyplomowych.
Można powiedzieć, że obecnie żyjemy w czasach rewolucji informacyjnej. W efekcie powstało społeczeństwo informacyjne, które można zdefiniować "jako syntetyczny termin określający nowe zjawiska społeczne, gospodarcze i kulturowe powstałe w drugiej połowie XX wieku w wyniku oddziaływania technik informacyjnych". Tak więc kwestia zarządzania informacją w obecnym otoczeniu biznesowym stała się jednym z fundamentów sukcesu i porażek organizacji. Tym samym informacja wymaga chronienia, dlatego tę publikację poświęcono tematyce zarządzania bezpieczeństwem informacji.
Błędem często popełnianym przez kierownictwa organizacji jest przekonanie, że licznie wdrożone zabezpieczenia teleinformatyczne nadzorowane przez komórkę organizacyjną zajmującą się dostarczaniem usług IT rozwiążą problem należytego zabezpieczenia informacji, które mogą stanowić tajemnicę. Wskazują na to nie tylko doświadczenia zawodowe, lecz także liczne badania czy też dostępna literatura.
Należy mieć na uwadze, iż rozwiązania te, choć bezdyskusyjnie istotne, stanowią jednak dopiero pewien element w całościowym procesie mającym na celu zapewnienie kompleksowej ochrony - w zarządzaniu bezpieczeństwem informacji. Poza wspomnianym już bezpieczeństwem teleinformatycznym proces ten obejmuje przede wszystkim:
- bezpieczeństwo organizacyjne - m. in. jasno określone role i odpowiedzialności osób związanych z zapewnieniem bezpieczeństwa informacji, w tym reakcją na incydenty;
- bezpieczeństwo osobowe - m. in. weryfikację kandydatów do pracy, szkolenia, podpisywanie zobowiązań, nadawanie adekwatnych uprawnień do zasobów;
- bezpieczeństwo prawne - czyli zidentyfikowanie i realizację działań mających na celu spełnienie wymagań prawnych w obszarze ochrony informacji, w szczególności ochrony danych osobowych;
- bezpieczeństwo fizyczne i środowiskowe - obejmujące przygotowanie na wystąpienie takich zagrożeń, jak np. powodzi, zalania, pożaru, włamania czy kradzieży;
- zarządzanie ciągłością działania - obejmujące opracowanie planów awaryjnych umożliwiających skuteczne zarządzanie incydentami zakłócenia ciągłości dostarczania kluczowych produktów i usług, prowadzenie działalności na minimalnym poziomie w obliczu ograniczonej dostępności zasobów czy ostatecznie - pełne odtworzenie działalności po incydencie.
Bezpieczeństwo informacji wiąże się zatem z szeregiem działań nie tylko w obszarze informatyki, lecz także prawa czy organizacji i zarządzania.
Należy ponadto zauważyć, iż proces zarządzania bezpieczeństwem informacji obejmuje wszystkie obszary działalności organizacji i tym samym - wszystkich pracowników, a w szczególności najwyższe kierownictwo. Problematyka właściwego podejścia w uświadamianiu i uwrażliwianiu pracowników na zagrożenia dotyczące ochrony informacji oraz efektywna nauka dobrych praktyk i właściwych zachowań powoduje, że bezpieczeństwo informacji dotyka również zagadnień z zakresu socjologii i psychologii.
Wreszcie, bezpieczeństwo informacji to także problemy natury ekonomicznej. Jakie bowiem będą wymierne korzyści z wdrożenia systemowego zarządzania bezpieczeństwem informacji? Czy koszty ponoszone na wdrożenie i utrzymywanie zabezpieczeń się zwrócą? Czy nie przewyższą wartości chronionych zasobów?
Obszerność zagadnień dotyczących zarządzania bezpieczeństwem informacji, a także interdyscyplinarność otaczających ich problemów zdecydowanie daleko wykracza poza typowe kompetencje działów informatyki, choć niewątpliwie zagadnienia informatyczne odgrywają tutaj szczególną rolę:
Konieczność naświetlenia wielu problemów związanych ze złożonością procesu zarządzania bezpieczeństwem informacji stała się powodem, dla którego została przygotowana niniejsza publikacja. Omówiono w niej nie tylko wiele fundamentalnych zagadnień związanych z ochroną informacji, lecz przedstawiono w niej także istotne aspekty prawne, metodyczne i praktyczne poparte interesującymi przykładami.
Na niniejszą publikację składają się wybrane i ułożone w logiczną i spójną całość fragmenty prac dyplomowych napisanych przez słuchaczy Podyplomowych Studiów Zarządzanie Bezpieczeństwem Informacji realizowanych przy Katedrze Zarządzania Innowacjami Szkoły Głównej Handlowej w Warszawie, a także fragmenty pracy magisterskiej Przemysława Sobczaka napisanej w Instytucie Informatyki Politechniki Poznańskiej.
Wstęp
1. Podstawowe problemy zarządzania bezpieczeństwem informacji
Paweł Prusiński
1.1. Informacje jako strategiczne aktywa przedsiębiorstw
1.1.1. Definicja informacji
1.1.2. Znaczenie informacji
1.1.3. Wartość informacji
1.1.4. Informacja jako ważny zasób dla przedsiębiorstwa
1.1.5. Znaczenie informacji w zarządzaniu przedsiębiorstwem
Dorota Książek
1.2. Bezpieczeństwo informacji jako element strategii firmy
1.2.1. Miejsce polityki bezpieczeństwa informacji w kulturze organizacji
1.2.2. Poziom świadomości kierownictwa
1.2.3. Poziom świadomości pracowników
Magdalena Pieniak
1.3. Zagrożenia dla bezpieczeństwa informacji
1.3.1. Zagrożenia wewnętrzne i rola czynnika ludzkiego
1.3.2. Czynniki zewnętrzne
Hanna Aniszewska
1.4. Wpływ czynnika ludzkiego na bezpieczeństwo informacji
Adam Marczyński
1.5. Socjotechnika a bezpieczeństwo informacji
2. Prawne i normatywne aspekty bezpieczeństwa informacji
2.1. Wybrane regulacje prawne dotyczące bezpieczeństwa informacji
Piotr Mazurek
2.1.1. Ustawa o przeciwdziałaniu nieuczciwej konkurencji
Paweł Prusiński
2.1.2. Ustawa o ochronie informacji niejawnych
2.1.3. Ustawa o ochronie danych osobowych
Agnieszka Panewczyńska
2.1.4. Kodeks Pracy
Przemysław Sobczak
2.2. Norma PN-ISO/IEC 27001:2007
2.2.1. Historia norm w obszarze zarządzania bezpieczeństwem informacji
2.2.2. Podstawowa terminologia
2.2.3. Przegląd i interpretacja wymagań normy PN-ISO/IEC 27001:2007
Mateusz Rudnik
2.2.4. Korzyści a koszty zapewniania bezpieczeństwa informacji - norma ISO 27001
Sebastian Leśniak
2.3. Regulacje prawne z zakresu zarządzania bezpieczeństwem informacji a cykl życia projektu informatycznego
2.3.1. Zarządzanie projektami informatycznymi
2.3.2. Uwzględnienie aktów prawnych z zakresu ochrony danych osobowych
2.3.3. Produkty projektowe dostarczane na podstawie wytycznych aktów prawnych z zakresu ochrony danych osobowych
2.3.4. Dokumenty regulujące kwestie bezpieczeństwa danych osobowych
2.3.5. Środki bezpieczeństwa teleinformatycznego
2.3.6. Lista kontrolna projektu
3. Praktyka zarządzania bezpieczeństwem informacji
Łukasz Kaliś
3.1. Praktyczne zalecenia w zarządzaniu bezpieczeństwem informacji
3.1.1. Bezpieczeństwo organizacyjne
3.1.2. Bezpieczeństwo fizyczne
3.1.3. Bezpieczeństwo teleinformatyczne
3.1.4. Pozostałe aspekty bezpieczeństwa informacji
Agnieszka Adamiak
3.2. Podstawy zarządzania ciągłością działania w przedsiębiorstwie
3.2.1. Cykl życiowy zarządzania ciągłością działania - BCM
3.2.2. Zarządzanie programem ciągłości działania
3.2.3. Zrozumienie organizacji
3.2.4. Opracowanie strategii ciągłości działania
3.2.5. Opracowanie i wdrożenie programu zarządzania ciągłością działania
3.2.6. Testowanie, utrzymanie i audyt programu zarządzania ciągłością działania
3.2.7. Świadomość BCM w organizacji
Przemysław Sobczak
3.3. Projektowanie Systemu Zarządzania Bezpieczeństwem Informacji
3.3.1. Podejścia do projektowania SZBI
3.3.2. Ustanowienie SZBI
3.3.3. Wdrożenie i eksploatacja
3.3.4. Monitorowanie i przegląd
3.3.5. Doskonalenie i utrzymanie SZBI
3.3.6. Certyfikacja
Hanna Aniszewska
3.4. Rola czynnika ludzkiego w uwierzytelnianiu hasłami w organizacji
3.4.1. Zarządzanie hasłami w organizacji
3.4.2. Firmowe standardy zarządzania hasłami
3.4.3. Polityka haseł jako część Polityki Bezpieczeństwa organizacji
3.4.4. Narzędzia do zarządzania hasłami w organizacji
Izabella Wołłejko-Chwastowicz
3.5. Wpływ porażek projektów IT na bezpieczeństwo
3.5.1. Wpływ na bezpieczeństwo teleinformatyczne
3.5.2. Wpływ na bezpieczeństwo informacji
Marcin Kuzia
3.6. Botnet - źródło zagrożeń w internecie
3.6.1. Jak stworzyć botnet
3.6.2. Jak rozprzestrzenić botnet
3.6.3. Modele zarządzania botnetem
3.6.4. Jak działa botnet
3.6.5. Jak wykorzystać botnet i jak na nim zarobić
3.6.6. Jak przeciwdziałać botnetom
Piotr Berliński
3.7. Wyzwania związane z przetwarzaniem w chmurze
3.7.1. Co to jest przetwarzanie w chmurze?
3.7.2. Infrastruktura
3.7.3. Bezpieczeństwo danych
Paweł Mański
3.7.4. Analiza SWOT zarządzania w chmurze
3.7.5. Czynniki zewnętrzne mające wpływ na przetwarzanie w chmurze
4. Przykłady działań w obszarze zarządzania bezpieczeństwem informacji
Piotr Mazurek
4.1. Realizacja szacowania ryzyka w przykładowym przedsiębiorstwie
4.1.1. Inwentaryzacja aktywów
4.1.2. Klasyfikacja aktywów
4.1.3. Punkty krytyczne oraz ranking ryzyk
4.1.4. Plan postępowania z ryzykiem
4.2. Praktyczna realizacja zabezpieczeń organizacyjno-technicznych w przedsiębiorstwie
4.2.1. Bezpieczeństwo fizyczne
4.2.2. Bezpieczeństwo osobowe
4.2.3. Zasady bezpieczeństwa w kontaktach ze stronami trzecimi
4.2.4. Bezpieczeństwo teleinformatyczne
4.2.5. Instalacja i inwentaryzacja sprzętu i oprogramowania
Regina Wiśniewska
4.3. Audyt bezpieczeństwa informacji w banku
4.3.1. Funkcjonowanie audytu
4.3.2. Cel i zakres działania audytu
4.3.3. Planowanie i organizowanie audytu
4.3.4. Metody przeprowadzania badań audytowych
4.3.5. Dokumentowanie wyników audytu
Sławomir Mądry
4.4. Procedury bezpiecznej eksploatacji systemu teleinformatycznego Millenium w przykładowej firmie
4.4.1. Bezpieczeństwo dokumentów
4.4.2. Bezpieczeństwo personelu i bezpieczeństwo fizyczne
4.4.3. Bezpieczeństwo infrastruktury sprzętowej
4.4.4. Plany awaryjne i zapobiegawcze
Robert Krukar
4.5. Bezpieczeństwo informacji na przykładzie funkcjonowania kancelarii tajnej w Głównym Urzędzie Prokuratorii Generalnej Skarbu Państwa
4.5.1. Podstawy działalności i funkcjonowania Prokuratorii Generalnej Skarbu Państwa
4.5.2. Funkcjonowanie kancelarii tajnej w PGSP
4.5.3. Ocena funkcjonowania kancelarii tajnej w PGSP
Zakończenie
Bibliografia
Informacja o autorach
