tylko-tutaj-audyt-bezpieczenstwa-informacji-w-praktyce audyt, Poradniki
[ Pobierz całość w formacie PDF ] IDZ DO PRZYK£ADOW Audyt bezpieczenstwa SPIS TREŒCI informacji w praktyce KATALOG KSI¥¯EK Autor: Tomasz Polaczek ISBN: 83-246-0402-2 Format: B5, stron: oko³o 126 KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK DODAJ DO KOSZYKA Rozpoczê³a siê era spo³eczeñstwa informacyjnego. Dzia³alnoœæ coraz wiêkszej liczby organizacji i firm zale¿y od szybkiego i efektywnego przetwarzania informacji. Informacja sta³a siê cennym, czêsto wykradanym towarem. Zagro¿eniem dla bezpieczeñstwa danych s¹ nie tylko crackerzy, lecz czêsto tak¿e pracownicy firmy, którzy nieœwiadomie udostêpniaj¹ zastrze¿one informacje osobom trzecim. Upowszechnienie informacji, bêd¹cych tajemnic¹ lub w³asnoœci¹ intelektualn¹ i handlow¹ firmy lub instytucji, mo¿e oznaczaæ utratê reputacji, zakoñczenie dzia³alnoœci na rynku lub nawet wywo³aæ k³opoty natury prawnej. Z tych powodów informacjê trzeba nale¿ycie chroniæ oraz odpowiedni¹ ni¹ zarz¹dzaæ. Ksi¹¿ka „Audyt bezpieczeñstwa informacji w praktyce” przedstawia praktyczne aspekty wdra¿ania i realizowania polityki ochrony danych. Opisuje zarówno regulacje prawne, jak i normy ISO traktuj¹ce o bezpieczeñstwie informacji. Zawiera informacje o odpowiednim zarz¹dzaniu systemami przechowywania danych, fizycznym zabezpieczaniu miejsc, w których znajduj¹ siê noœniki danych, oraz szkoleniu u¿ytkowników systemów. Normy ISO i PN dotycz¹ce ochrony informacji Planowanie polityki bezpieczeñstwa Umowy o zachowaniu poufnoœci Zabezpieczanie budynku i pomieszczeñ Tworzenie procedur eksploatacji sprzêtu i systemów Ochrona sieci przed programami szpieguj¹cymi Zarz¹dzanie dostêpem u¿ytkowników do systemu Odpowiednio zaplanowane procedury ochrony danych mog¹ uchroniæ przedsiêbiorstwo przed powa¿nymi problemami. Wykorzystaj wiadomoœci zawarte w tej ksi¹¿ce i wprowadŸ podobne procedury w swojej firmie. CENNIK I INFORMACJE ZAMÓW INFORMACJE ONOWOŒCIACH ZAMÓW CENNIK CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl O autorze ........................................................................................................................... 5 Wstęp ................................................................................................................................ 7 Zezwolenie ........................................................................................................................ 9 Od autora ........................................................................................................................ 11 Podstawowe założenia polityki bezpieczeństwa informacji ........................................... 13 Czym jest informacja .............................................................................................................. 13 Gdzie przechowujemy informacje .......................................................................................... 14 Informacja w świetle regulacji prawnych ................................................................................ 15 Zasady audytu ........................................................................................................................ 15 Norma ISO/IEC TR 13335 ...................................................................................................... 19 Zarządzanie bezpieczeństwem informacji ...................................................................... 23 Polityka bezpieczeństwa informacji ........................................................................................ 23 Co powinna zawierać polityka bezpieczeństwa informacji .................................................... 24 Czego nie powinna zawierać polityka bezpieczeństwa informacji ......................................... 25 Utworzenie infrastruktury bezpieczeństwa informacji ........................................................... 25 Odpowiedzialność oraz kompetencje w systemie bezpieczeństwa informacji ...................... 26 Autoryzacja urządzeń do przetwarzania informacji ............................................................... 26 Doradztwo specjalistyczne w zakresie bezpieczeństwa informacji ........................................ 27 Współpraca między organizacjami ......................................................................................... 28 Niezależne przeglądy stanu bezpieczeństwa informacji ....................................................... 28 Zabezpieczenie przed dostępem osób trzecich ..................................................................... 29 Zlecenie przetwarzania danych firmom zewnętrznym ............................................................ 33 Klasyfikacja i kontrola aktywów ......................................................................................35 Rozliczanie aktywów .............................................................................................................. 35 Klasyfikacja informacji ............................................................................................................ 37 Bezpieczeństwo osobowe ...............................................................................................39 Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi 39 Szkolenie użytkowników ......................................................................................................... 43 Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu ........... 44 Bezpieczeństwo fizyczne i środowiskowe ......................................................................47 Fizyczny obwód zabezpieczający .......................................................................................... 48 Zabezpieczenie sprzętu .......................................................................................................... 54 Ogólne zabezpieczenia ..........................................................................................................59 Zarządzanie systemami informatycznymi i sieciami komputerowymi ............................63 Procedury eksploatacyjne oraz okres odpowiedzialności ...................................................... 63 Planowanie i odbiór systemu .................................................................................................. 67 Ochrona przed szkodliwym oprogramowaniem ..................................................................... 69 Procedury wewnętrzne ........................................................................................................... 71 Zarządzanie sieciami .............................................................................................................. 73 Postępowanie z nośnikami i ich bezpieczeństwo ................................................................... 74 Wymiana danych i oprogramowania ...................................................................................... 77 Kontrola dostępu do systemu .........................................................................................85 Potrzeby biznesowe związane z dostępem do informacji ..................................................... 85 Zarządzanie dostępem użytkowników ................................................................................... 86 Zakres odpowiedzialności użytkowników ............................................................................... 89 Kontrola dostępu do sieci ....................................................................................................... 91 Kontrola dostępu do systemów operacyjnych ....................................................................... 94 Kontrola dostępu do aplikacji ................................................................................................. 97 Monitorowanie dostępu do systemu i jego wykorzystywania ................................................. 98 Komputery przenośne i praca zdalna ................................................................................... 100 Zabezpieczenia kryptograficzne ........................................................................................... 103 Zarządzanie ciągłością działania organizacji w sytuacji krytycznej ..................................... 105 Zgodność ............................................................................................................................. 111 Przegląd polityki bezpieczeństwa informacji i zgodności technicznej .................................. 114 Skorowidz ..................................................................................................................... 115 4 SPIS TREŚCI Sieci komputerowe, a właściwie wszelakie systemy informatyczne, stały się już niezbędne zarówno przy wykonywaniu czynności służbowych, jak rów- nież w życiu prywatnym. W rzeczywistości bez tego dobrodziejstwa techniki trudno się obyć. Przykładowo, coraz częściej sieci komputerowe służą do do- konywania zakupów. Siecią przesyła się wszelakie informacje i dane — te ważne i te mniej istotne. Systemy informatyczne z kolei dane te przetwarzają i przechowują. Oczywistym jest, że aby służyły one w należyty — i przede wszystkim — w bezpieczny sposób, trzeba zapewnić ich odpowiednią obsługę i poprawnie zarządzać nimi. Bardzo istotnym elementem systemu bezpieczeństwa informacji jest staranne zabezpieczenie sieci komputerowych i systemów informatycznych przed oso- bami niepowołanymi. W tym celu — podobnie jak w przypadku innych sys- temów — trzeba wprowadzić odpowiednie procedury eksploatacyjne. Procedury eksploatacyjne oraz okres odpowiedzialności Informacja jest wykorzystywana za pomocą różnego typu urządzeń. Skoro tak się dzieje, oznacza to również konieczność zabezpieczenia tych urządzeń. W tym przypadku oczywistą sprawą jest sprecyzowanie odpowiednich pro- cedur zarządzania tymi urządzeniami oraz zakresów odpowiedzialności za te urządzenia oraz informacje w nich przechowywane lub przetwarzane. Należy również wdrożyć procedury reagowania na incydenty związane z uszkodze- niem takich urządzeń bądź niewłaściwym ich użytkowaniem, co może się przyczynić do uszkodzenia sprzętu lub utraty przechowywanych danych. Dokumentowanie procedur eksploatacyjnych Procedury zawarte w polityce bezpieczeństwa informacji powinny być ogól- nodostępne dla wszystkich osób w organizacji — jest to warunek sprawnego funkcjonowania całego systemu. Jak wspomniałem we wcześniejszych rozdzia- łach tej książki, poszczególne procedury powinny być opracowane w sposób ściśle odpowiadający specyfice pracy na danych stanowiskach, jednak istnieją jeszcze procedury ogólnodostępne, skierowane do wszystkich pracowników organizacji. Istnieje przecież wiele urządzeń, wykorzystywanych przez prak- tycznie wszystkie osoby w firmie do przeglądania, przesyłania, przechowy- wania czy przetwarzania informacji. Sposób posługiwania się tym sprzętem i zasady ochrony informacji z nim związanej powinny zatem zostać precy- zyjnie określone w odpowiednich procedurach. Do takich procedur należą właśnie m.in. procedury eksploatacyjne. Oczywiście, należy je odpowiednio dokumentować i przechowywać. Każda z tych procedur powinna zawierać dokładną instrukcję postępowania z określonymi urządzeniami oraz z infor- macją w nich zawartą lub przetwarzaną. Podczas codziennej pracy bardzo często dochodzi do incydentów, które po- tencjalnie mają wpływ na jakość pracy lub na bezpieczeństwo przetwarzanych danych. Oczywiście, te zdarzenia są spowodowane różnymi przyczynami, np. błędnym działaniem aplikacji lub niepoprawną pracą systemu informa- tycznego. W takich przypadkach, gdy praca zostanie zakłócona przez np. źle działający system informatyczny, procedury powinny mówić m.in. o obsłudze technicznej i sposobie uzyskania pomocy działu lub firmy zajmującej się utrzymaniem bądź serwisem struktur informatycznych. Poza tym należy rów- nież udokumentować procedury ponownego uruchomienia systemu bądź jego odtworzenia w przypadku awarii. Kontrola zmian w eksploatacji W przypadku każdego systemu informatycznego na porządku dziennym jest dokonywanie zmian, aktualizacji zabezpieczeń lub innych czynności związanych z podniesieniem wydajności działania sprzętu i oprogramowania. Wszystkie tego typu zmiany powinny być starannie dokumentowane, co ułatwia zapo- bieganie awariom systemu lub przynajmniej pozwala na odpowiednio szybkie zdiagnozowanie przyczyn jego uszkodzenia. Każda zmiana czy aktualizacja 64 ROZDZIAŁ 6. ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI
[ Pobierz całość w formacie PDF ]
zanotowane.pldoc.pisz.plpdf.pisz.plmement.xlx.pl
|