SlideShare a Scribd company logo

PLNOG 13: Piotr Wojciechowski: Security and Control Policy

PROIDEA
PROIDEA

Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator. Topic of Presentation: TBD Language: Polish Abstract: TBD

1 of 48
Download to read offline
POLITYKI BEZPIECZEŃSTWA I KONTROLI Piotr Wojciechowski (CCIE #25543)
ABOUT ME ¢ Senior Network Engineer MSO at VeriFone Inc. ¢ Previously Network Solutions Architect at one of top polish IT integrators ¢ CCIE #25543 (Routing & Switching) ¢ Blogger – http://ccieplayground.wordpress.com ¢ Administrator of CCIE.PL board — The biggest Cisco community in Europe — Over 7500 users — 3 admin, 5 moderators — 58 polish CCIEs as members, 20 of them actively posting — About 150 new topics per month — About 1000 posts per month — English section available
AGENDA ¢ Czym jest polityka bezpieczeństwa? ¢ Realizacja polityki bezpieczeństwa w IT ¢ Wdrażanie polityki bezpieczeństwa ¢ Audyty ¢ Jak stworzyć efektywną politykę bezpieczeństwa?
CZYM JEST POLITYKA BEZPIECZEŃSTWA?
CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Polityka bezpieczeństwa jest: — Zbiorem spójnych, precyzyjnych reguł i procedur wg których dana organizacja buduje, zarządza oraz udostępnia zasoby — Określa chronione zasoby — Dokumentem zgodnym z prawem
CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Co obejmuje polityka bezpieczeństwa: — Całość zagadnień związanych z bezpieczeństwem danych będących w dyspozycji firmy — Nie ogranicza się jedynie do sieci komputerowej czy systemów lecz obejmuje całość działania i procesów, które następują w firmie — Jest to dokument spisany — Jest dokumentem specyficznym dla każdej korporacji – nie ma ogólnego szablonu gotowego do zastosowania — Musi być dokumentem znanym pracownikom
CYKL ŻYCIA POLITYKI BEZPIECZEŃSTWA
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ 6 podstawowych polityk definiujących pracę działu IT oraz osób korzystających z infrastruktury IT ¢ Odpowiedni podział obowiązków w szczególności nadzoru i kontroli spełnienia wymogów opisanych w polityce bezpieczeństwa ¢ Regularne audyty
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka dostępu do Internetu — Czy użytkownicy są uprawnieni do korzystania z Internetu w celach prywatnych? — Czy użytkownicy mogą sami ściągać i instalować oprogramowanie? — Jakie aplikacje są niezbędne do prawidłowego działania korporacji i z jakich zasobów muszą korzystać? — Jak mają być zabezpieczone komputery mające dostęp do Internety? — Etc…
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka kontroli email i mediów społecznościowych — Bardzo prosta metoda wycieku informacji poufnych — Kontrola potencjalnego wycieku informacji — Ochrona wizerunku firmy — Pracownicy muszą być świadomi, że treść wiadomości może być monitorowana
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola kluczy — O fizycznych kluczach do drzwi i kłódek zapomina się często w epoce dwustopniowego uwierzytelniania — Kto ma klucze do szafy w serwerowni w chwili obecnej? — Ile jest kompletów kluczy do każdego z pomieszczeń? — Kto może pobrać klucze? — W jaki sposób kontrolujemy czy klucze nie opuszczają budynku celem wykonania kopi?
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola urządzeń mobilnych — Nowoczesne urządzenia przechowują często więcej wrażliwych informacji niż komputery pracowników — Mobilne urządzenia są łatwym punktem, przez który zagrożenie może przeniknąć do sieci — Jakie urządzenia mobilne są dozwolone w naszej sieci? — Jaką konfigurację na nich wymuszamy? — Etc…
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola dostępu dla gości — Polityka dotycząca postępowania z gośćmi w budynkach biurowych i data center ¢ Punkt rejestracji gości ¢ Wymóg towarzyszenia gościom w wyznaczonych strefach ¢ Identyfikatory gościa — Odseparowana sieć WLAN dla gości z limitowanym dostępem do Internetu
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Non-Disclosure Agreement (NDA) — Jasno zakomunikowana polityka pracownikom — Jasne określenie, że ochrona informacji dotyczy zarówno komunikacji werbalnej jak i emaili, narzędzi społecznościowych czy komunikatorów — Podpisanie NDA przez każdego z pracowników
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Scenariusz nierealny – polityka powstaje wraz z uruchomieniem i rozwojem firmy ¢ Scenariusz prawdziwy – potrzeba biznesowa wymusza stworzenie spójnej polityki bezpieczeństwa
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Kluczowe elementy polityki bezpieczeństwa — Bezpieczeństwo fizyczne budynków i urządzeń — Bezpieczeństwo informacji — Wykrywanie i przeciwdziałanie nadużyciom — Wykrywanie oszustw — Zarządzanie ryzykiem — Business Continuity Planning (BCP) — Zarządzanie w sytuacjach kryzysowych
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Chronione informacje i procesy najlepiej podzielić na kategorie, które prościej będzie opisywać w dokumentach, na przykład: — Grupy użytkowników lub procesów – marketing, dział sprzedaży, administracja, księgowość itp. — Technologie – sieci, systemy, storage, backup — Cykl życia produktu – deployment, QA, production, support — Elementy wewnętrzne i zewnętrzne – intranet, extranet, WWW, VPN
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Gdy zidentyfikujemy obszary których ochronę polityka bezpieczeństwa ma opisywać powinniśmy określić grupy użytkowników, którzy wymagają dostępu do informacji by wykonywać swoją pracę. ¢ Gdy określimy niezbędne zasoby przeprowadzamy analizę ryzyka związaną z wykradzeniem, uszkodzeniem lub zniszczeniem informacji
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Analiza ryzyka — Skomplikowany proces zależny od formy prowadzonego biznesu — Powinien zawierać potencjalne scenariusze, które mogą zagrozić prowadzonemu biznesowi i szacować koszty, które firma poniesie, gdyby scenariusz się zrealizował — Powinien zawierać szacunek trzech scenariuszy: ¢ Expected ¢ Worst-case ¢ Best-case
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Polityka bezpieczeństwa, procedury czy wdrażane technologie muszą być adekwatne do ryzyka, prowadzonego biznesu oraz dostępnych środków na ich wdrożenie i utrzymanie ¢ Analiza ROI pozwala określić, czy koszt wdrożenia danego rozwiązania nie przekracza kosztu scenariusza worst-case utraty danych
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
AUDYTY
AUDYTY ¢ Czym jest audyt? — Proces ocenienia czy przyjęta polityka bezpieczeństwa odpowiednio chroni zasoby informacyjne korporacji — Proces weryfikacji odpowiedniego wdrożenia i przestrzegania przyjętej polityki — Trzy główne obszary analizy: ¢ Audyt techniczny ¢ Ochrona fizyczna ¢ Proces zarządzania informacją — Testy penetracyjne to nie audyt!
AUDYTY ¢ Audyty mogą być wewnętrzne lub zewnętrzne ¢ Audyty zewnętrzne najczęściej przeprowadzane na potrzeby uzyskania certyfikacji produktu, wdrożenia lub procesu. ¢ Ma na celu pokazanie słabości polityk bezpieczeństwa i pozwolić poprawić znalezione błędy ¢ Wykorzystywane są narzędzia automatyzujące proces ale rola audytora jest bardzo ważna ¢ 4 etapy przeprowadzania audytu
AUDYTY ¢ Etap I – przygotowanie — Wyspecyfikowanie obszarów audytu — Zebranie dokumentacji o procesach — Zebranie informacji o strukturze korporacji i stanowiskach — Zebranie informacji o zasobach sprzętowych i programowych — Zapoznanie się z politykami i procedurami — Etc…
AUDYTY ¢ Etap II – ustalenie celów audytu — Weryfikacja procedur związanych z krytycznymi systemami — Weryfikacja świadomości pracowników — Weryfikacja procesu współpracy z podmiotami zewnętrznymi — Proces kontroli zmian — Business continuity — Etc…
AUDYTY ¢ Etap III – zbieranie danych do audytu — Rozmowa z pracownikami — Przegląd logów systemowych — Weryfikacja wdrożenia procedur w życie — Kontrola fizyczna obiektów czy sprzętu — Kontrola procedur backupu i odzyskiwania danych — Kontrola procesu niszczenia nośników — Etc…
AUDYTY ¢ Etap IV – analiza danych i raport końcowy — Podsumowanie zebranych danych — Wyspecyfikowanie obszarów wymagających poprawy — Wyspecyfikowanie zaleceń do poprawy — Wykazanie obszarów niezgodności ze standardami pod kątem których audyt był przeprowadzany — Etc…
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA?
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Czym jest efektywna polityka bezpieczeństwa? — Wiele kryteriów zależnych od charakteru prowadzonego biznesu — Szczegółowe wytyczne muszą uwzględniać strukturę korporacji i podział obowiązków — Nie może być oderwana od rzeczywistości
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium I Polityka bezpieczeństwa odpowiednio definiuje cele bezpieczeństwa przedsiębiorstwa minimalizując ryzyko operacyjne
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium II Polityka bezpieczeństwa odpowiednio zabezpiecza przedsiębiorstwo przed naruszeniami polityki i działaniami prawnymi osób trzecich
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium III Polityka bezpieczeństwa została przedstawiona pracownikom (także kontraktowym) pracującym na różnych szczeblach hierarchii, jest przez nich zrozumiała a stosowanie nadzorowane przez przełożonych
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada1 — Wybierz i stosuj jedną prostą strukturę wszystkich dokumentów definiujących politykę bezpieczeństwa ¢ Trzy typu dokumentów – polityka globalna, standardy, procedury ¢ Jedna struktura – prościej pracować grupowo, prostszy w odbiorze przekaz dla czytelnika ¢ Ułatwia audyt i wdrożenie narzędzi bezpieczeństwa
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 2 — Zapisz wszystko w dokumentach ¢ Nie zostawiaj miejsca na niedopowiedzenia czy interpretację
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 3 — Przypisz odpowiedzialność za poszczególne zadania z zakresu bezpieczeństwa do konkretnych osób lub/i stanowisk ¢ Jasność co do odpowiedzialności konkretnych osób także w przypadku rotacji na stanowiskach ¢ Ułatwia zarządzanie dokumentem i jego aktualizację ¢ Wskazane osoby są także odpowiedzialne za egzekwowanie przestrzegania polityki bezpieczeństwa od swoich podwładnych ¢ Audyty oparte o ISO17799 czy COBIT wymagają jasnego przypisania ról
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 4 — Zastosuj jeden z dostępnych szablonów zgodnych z ISO nieznacznie go modyfikując ¢ ISO-IEC 17799:2005 dostarcza podział na 10 domen bezpieczeństwa możliwy do wdrożenia w każdej korporacji ¢ Podział na domeny bezpieczeństwa ułatwia przeprowadzanie audytów spójności i kompletności stworzonych polityk
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 5 — Przeprowadzaj analizę ryzyka ¢ Polityka bezpieczeństwa powinna zawierać informację jak często i w jaki sposób analiza ryzyka jest przeprowadzana ¢ Analiza ryzyka pozwala oszacować jaki poziom bezpieczeństwa jest odpowiedni dla korporacji ¢ Dokument końcowy powinien zawierać informacje kto akceptuje ryzyko, kto akceptuje wyjątki, jak długo one powinny trwać, jakie narzędzia kontroli należy wdrożyć
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 6 — Komunikuj politykę bezpieczeństwa jasno i regularnie ¢ Często pięta achillesowa całego procesu J ¢ Pracownicy powinni nie tylko być informowani o zmianach ale potwierdzić zapoznanie się z nimi ¢ Pracownicy i kontraktorzy muszą być świadomi i rozumieć swoją rolę w przestrzeganiu polityki bezpieczeństwa ¢ Szkolenia z zakresu polityk bezpieczeństwa dla pracowników
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 7 — Zdefiniuj proces reakcji na naruszenie polityki bezpieczeństwa i procedur ¢ Zdefiniuj czym jest naruszenie polityki ¢ Załącz procedurę raportowania naruszenia polityki oraz postępowania w takim przypadku ¢ Powiadom pracowników o ścieżce postępowania i możliwych konsekwencjach
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 8 — Przeprowadzaj audyty polityk bezpieczeństwa ¢ Regularny audyt jest wymogiem nie tylko standardów ale i dobrej praktyki ¢ Dla standardów i procedur stwórz scenariusze testowe pozwalające sprawdzić je w praktyce ¢ Audyt techniczny nie jest zadaniem skomplikowanym, audyt ludzi może być nie lada wyzwaniem
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 9 — Automatyzuj procesy ¢ Ułatwia audyt i utrzymanie spójności polityki bezpieczeństwa ¢ Automatyzacja narzędzi dystrybucji procedur bezpieczeństwa ¢ Automatyzacja weryfikacji zapoznania się ze zmianami ¢ Automatyzacja weryfikacji wdrożenia szablonów ¢ Etc etc etc
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 10 — Czy wiesz gdzie jest najsłabsze ogniwo?
QUESTIONS?
THANK YOU

Recommended

Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, WdrożenieRekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
IT Auditor Sp. z o.o.
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Logicaltrust pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Logicaltrust pl
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
Karol Chwastowski
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
Logicaltrust pl
 
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PROIDEA
 
Halokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP SecurityHalokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP Securitymichalpodoski
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 

Recommended

Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, WdrożenieRekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
IT Auditor Sp. z o.o.
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Logicaltrust pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Logicaltrust pl
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
Karol Chwastowski
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
Logicaltrust pl
 
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PROIDEA
 
Halokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP SecurityHalokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP Securitymichalpodoski
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITHealthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITWydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborMichał Tabor
 
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychSystem zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychKS KS
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowej
Microsoft Polska
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PROIDEA
 
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PROIDEA
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PROIDEA
 
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PROIDEA
 
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PROIDEA
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
 
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PROIDEA
 
Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmie
Tremark Sp. z. o.o
 
Usługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODOUsługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODO
PwC Polska
 
Audyty informatyczne
Audyty informatyczneAudyty informatyczne
Audyty informatyczne
GoTechnologies sp. z o.o.
 
Canon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon - bezpieczeństwo danych
Canon - bezpieczeństwo danych
Canon Biznes
 
SOC w praktyce
SOC w praktyceSOC w praktyce
SOC w praktyce
Jerzy Łabuda
 
Audyt bezpieczeństwa it
Audyt bezpieczeństwa itAudyt bezpieczeństwa it
Audyt bezpieczeństwa it
Tremark Sp. z. o.o
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
SoniaNaiba
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiZarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Pawel Wawrzyniak
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
Szymon Konkol - Publikacje Cyfrowe
 

More Related Content

What's hot

Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborMichał Tabor
 
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychSystem zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychKS KS
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowej
Microsoft Polska
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PROIDEA
 

What's hot (6)

DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
 
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITHealthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
 
Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtabor
 
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychSystem zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowej
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 

Viewers also liked

PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PROIDEA
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PROIDEA
 
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PROIDEA
 
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PROIDEA
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
 
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PROIDEA
 

Viewers also liked (6)

PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
 
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
 
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
 
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
 

Similar to PLNOG 13: Piotr Wojciechowski: Security and Control Policy

Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmie
Tremark Sp. z. o.o
 
Usługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODOUsługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODO
PwC Polska
 
Audyty informatyczne
Audyty informatyczneAudyty informatyczne
Audyty informatyczne
GoTechnologies sp. z o.o.
 
Canon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon - bezpieczeństwo danych
Canon - bezpieczeństwo danych
Canon Biznes
 
SOC w praktyce
SOC w praktyceSOC w praktyce
SOC w praktyce
Jerzy Łabuda
 
Audyt bezpieczeństwa it
Audyt bezpieczeństwa itAudyt bezpieczeństwa it
Audyt bezpieczeństwa it
Tremark Sp. z. o.o
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
SoniaNaiba
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiZarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Pawel Wawrzyniak
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
Szymon Konkol - Publikacje Cyfrowe
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Rafal
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Wojciech Boczoń
 
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Deloitte Polska
 
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMicrosoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Maciej Sobianek
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Logicaltrust pl
 
Outsourcing Infrastruktury IT
Outsourcing Infrastruktury ITOutsourcing Infrastruktury IT
Outsourcing Infrastruktury ITComarch
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
 
Ochrona know-how w negocjacjach
Ochrona know-how w negocjacjachOchrona know-how w negocjacjach
Ochrona know-how w negocjacjach
Legal Geek
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
Pabiszczak Błażej
 

Similar to PLNOG 13: Piotr Wojciechowski: Security and Control Policy (20)

Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmie
 
Usługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODOUsługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODO
 
Audyty informatyczne
Audyty informatyczneAudyty informatyczne
Audyty informatyczne
 
Canon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon - bezpieczeństwo danych
Canon - bezpieczeństwo danych
 
SOC w praktyce
SOC w praktyceSOC w praktyce
SOC w praktyce
 
Audyt bezpieczeństwa it
Audyt bezpieczeństwa itAudyt bezpieczeństwa it
Audyt bezpieczeństwa it
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiZarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009
 
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
 
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMicrosoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Outsourcing Infrastruktury IT
Outsourcing Infrastruktury ITOutsourcing Infrastruktury IT
Outsourcing Infrastruktury IT
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
Ochrona know-how w negocjacjach
Ochrona know-how w negocjacjachOchrona know-how w negocjacjach
Ochrona know-how w negocjacjach
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
 

PLNOG 13: Piotr Wojciechowski: Security and Control Policy

  • 1. POLITYKI BEZPIECZEŃSTWA I KONTROLI Piotr Wojciechowski (CCIE #25543)
  • 2. ABOUT ME ¢ Senior Network Engineer MSO at VeriFone Inc. ¢ Previously Network Solutions Architect at one of top polish IT integrators ¢ CCIE #25543 (Routing & Switching) ¢ Blogger – http://ccieplayground.wordpress.com ¢ Administrator of CCIE.PL board — The biggest Cisco community in Europe — Over 7500 users — 3 admin, 5 moderators — 58 polish CCIEs as members, 20 of them actively posting — About 150 new topics per month — About 1000 posts per month — English section available
  • 3. AGENDA ¢ Czym jest polityka bezpieczeństwa? ¢ Realizacja polityki bezpieczeństwa w IT ¢ Wdrażanie polityki bezpieczeństwa ¢ Audyty ¢ Jak stworzyć efektywną politykę bezpieczeństwa?
  • 4. CZYM JEST POLITYKA BEZPIECZEŃSTWA?
  • 5. CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Polityka bezpieczeństwa jest: — Zbiorem spójnych, precyzyjnych reguł i procedur wg których dana organizacja buduje, zarządza oraz udostępnia zasoby — Określa chronione zasoby — Dokumentem zgodnym z prawem
  • 6. CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Co obejmuje polityka bezpieczeństwa: — Całość zagadnień związanych z bezpieczeństwem danych będących w dyspozycji firmy — Nie ogranicza się jedynie do sieci komputerowej czy systemów lecz obejmuje całość działania i procesów, które następują w firmie — Jest to dokument spisany — Jest dokumentem specyficznym dla każdej korporacji – nie ma ogólnego szablonu gotowego do zastosowania — Musi być dokumentem znanym pracownikom
  • 7. CYKL ŻYCIA POLITYKI BEZPIECZEŃSTWA
  • 9. REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ 6 podstawowych polityk definiujących pracę działu IT oraz osób korzystających z infrastruktury IT ¢ Odpowiedni podział obowiązków w szczególności nadzoru i kontroli spełnienia wymogów opisanych w polityce bezpieczeństwa ¢ Regularne audyty
  • 10. REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka dostępu do Internetu — Czy użytkownicy są uprawnieni do korzystania z Internetu w celach prywatnych? — Czy użytkownicy mogą sami ściągać i instalować oprogramowanie? — Jakie aplikacje są niezbędne do prawidłowego działania korporacji i z jakich zasobów muszą korzystać? — Jak mają być zabezpieczone komputery mające dostęp do Internety? — Etc…
  • 11. REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka kontroli email i mediów społecznościowych — Bardzo prosta metoda wycieku informacji poufnych — Kontrola potencjalnego wycieku informacji — Ochrona wizerunku firmy — Pracownicy muszą być świadomi, że treść wiadomości może być monitorowana
  • 12. REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola kluczy — O fizycznych kluczach do drzwi i kłódek zapomina się często w epoce dwustopniowego uwierzytelniania — Kto ma klucze do szafy w serwerowni w chwili obecnej? — Ile jest kompletów kluczy do każdego z pomieszczeń? — Kto może pobrać klucze? — W jaki sposób kontrolujemy czy klucze nie opuszczają budynku celem wykonania kopi?
  • 13. REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola urządzeń mobilnych — Nowoczesne urządzenia przechowują często więcej wrażliwych informacji niż komputery pracowników — Mobilne urządzenia są łatwym punktem, przez który zagrożenie może przeniknąć do sieci — Jakie urządzenia mobilne są dozwolone w naszej sieci? — Jaką konfigurację na nich wymuszamy? — Etc…
  • 14. REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola dostępu dla gości — Polityka dotycząca postępowania z gośćmi w budynkach biurowych i data center ¢ Punkt rejestracji gości ¢ Wymóg towarzyszenia gościom w wyznaczonych strefach ¢ Identyfikatory gościa — Odseparowana sieć WLAN dla gości z limitowanym dostępem do Internetu
  • 15. REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Non-Disclosure Agreement (NDA) — Jasno zakomunikowana polityka pracownikom — Jasne określenie, że ochrona informacji dotyczy zarówno komunikacji werbalnej jak i emaili, narzędzi społecznościowych czy komunikatorów — Podpisanie NDA przez każdego z pracowników
  • 17. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Scenariusz nierealny – polityka powstaje wraz z uruchomieniem i rozwojem firmy ¢ Scenariusz prawdziwy – potrzeba biznesowa wymusza stworzenie spójnej polityki bezpieczeństwa
  • 18. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Kluczowe elementy polityki bezpieczeństwa — Bezpieczeństwo fizyczne budynków i urządzeń — Bezpieczeństwo informacji — Wykrywanie i przeciwdziałanie nadużyciom — Wykrywanie oszustw — Zarządzanie ryzykiem — Business Continuity Planning (BCP) — Zarządzanie w sytuacjach kryzysowych
  • 19. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Chronione informacje i procesy najlepiej podzielić na kategorie, które prościej będzie opisywać w dokumentach, na przykład: — Grupy użytkowników lub procesów – marketing, dział sprzedaży, administracja, księgowość itp. — Technologie – sieci, systemy, storage, backup — Cykl życia produktu – deployment, QA, production, support — Elementy wewnętrzne i zewnętrzne – intranet, extranet, WWW, VPN
  • 20. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Gdy zidentyfikujemy obszary których ochronę polityka bezpieczeństwa ma opisywać powinniśmy określić grupy użytkowników, którzy wymagają dostępu do informacji by wykonywać swoją pracę. ¢ Gdy określimy niezbędne zasoby przeprowadzamy analizę ryzyka związaną z wykradzeniem, uszkodzeniem lub zniszczeniem informacji
  • 21. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Analiza ryzyka — Skomplikowany proces zależny od formy prowadzonego biznesu — Powinien zawierać potencjalne scenariusze, które mogą zagrozić prowadzonemu biznesowi i szacować koszty, które firma poniesie, gdyby scenariusz się zrealizował — Powinien zawierać szacunek trzech scenariuszy: ¢ Expected ¢ Worst-case ¢ Best-case
  • 23. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Polityka bezpieczeństwa, procedury czy wdrażane technologie muszą być adekwatne do ryzyka, prowadzonego biznesu oraz dostępnych środków na ich wdrożenie i utrzymanie ¢ Analiza ROI pozwala określić, czy koszt wdrożenia danego rozwiązania nie przekracza kosztu scenariusza worst-case utraty danych
  • 26. AUDYTY ¢ Czym jest audyt? — Proces ocenienia czy przyjęta polityka bezpieczeństwa odpowiednio chroni zasoby informacyjne korporacji — Proces weryfikacji odpowiedniego wdrożenia i przestrzegania przyjętej polityki — Trzy główne obszary analizy: ¢ Audyt techniczny ¢ Ochrona fizyczna ¢ Proces zarządzania informacją — Testy penetracyjne to nie audyt!
  • 27. AUDYTY ¢ Audyty mogą być wewnętrzne lub zewnętrzne ¢ Audyty zewnętrzne najczęściej przeprowadzane na potrzeby uzyskania certyfikacji produktu, wdrożenia lub procesu. ¢ Ma na celu pokazanie słabości polityk bezpieczeństwa i pozwolić poprawić znalezione błędy ¢ Wykorzystywane są narzędzia automatyzujące proces ale rola audytora jest bardzo ważna ¢ 4 etapy przeprowadzania audytu
  • 28. AUDYTY ¢ Etap I – przygotowanie — Wyspecyfikowanie obszarów audytu — Zebranie dokumentacji o procesach — Zebranie informacji o strukturze korporacji i stanowiskach — Zebranie informacji o zasobach sprzętowych i programowych — Zapoznanie się z politykami i procedurami — Etc…
  • 29. AUDYTY ¢ Etap II – ustalenie celów audytu — Weryfikacja procedur związanych z krytycznymi systemami — Weryfikacja świadomości pracowników — Weryfikacja procesu współpracy z podmiotami zewnętrznymi — Proces kontroli zmian — Business continuity — Etc…
  • 30. AUDYTY ¢ Etap III – zbieranie danych do audytu — Rozmowa z pracownikami — Przegląd logów systemowych — Weryfikacja wdrożenia procedur w życie — Kontrola fizyczna obiektów czy sprzętu — Kontrola procedur backupu i odzyskiwania danych — Kontrola procesu niszczenia nośników — Etc…
  • 31. AUDYTY ¢ Etap IV – analiza danych i raport końcowy — Podsumowanie zebranych danych — Wyspecyfikowanie obszarów wymagających poprawy — Wyspecyfikowanie zaleceń do poprawy — Wykazanie obszarów niezgodności ze standardami pod kątem których audyt był przeprowadzany — Etc…
  • 32. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA?
  • 33. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Czym jest efektywna polityka bezpieczeństwa? — Wiele kryteriów zależnych od charakteru prowadzonego biznesu — Szczegółowe wytyczne muszą uwzględniać strukturę korporacji i podział obowiązków — Nie może być oderwana od rzeczywistości
  • 34. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium I Polityka bezpieczeństwa odpowiednio definiuje cele bezpieczeństwa przedsiębiorstwa minimalizując ryzyko operacyjne
  • 35. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium II Polityka bezpieczeństwa odpowiednio zabezpiecza przedsiębiorstwo przed naruszeniami polityki i działaniami prawnymi osób trzecich
  • 36. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium III Polityka bezpieczeństwa została przedstawiona pracownikom (także kontraktowym) pracującym na różnych szczeblach hierarchii, jest przez nich zrozumiała a stosowanie nadzorowane przez przełożonych
  • 37. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada1 — Wybierz i stosuj jedną prostą strukturę wszystkich dokumentów definiujących politykę bezpieczeństwa ¢ Trzy typu dokumentów – polityka globalna, standardy, procedury ¢ Jedna struktura – prościej pracować grupowo, prostszy w odbiorze przekaz dla czytelnika ¢ Ułatwia audyt i wdrożenie narzędzi bezpieczeństwa
  • 38. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 2 — Zapisz wszystko w dokumentach ¢ Nie zostawiaj miejsca na niedopowiedzenia czy interpretację
  • 39. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 3 — Przypisz odpowiedzialność za poszczególne zadania z zakresu bezpieczeństwa do konkretnych osób lub/i stanowisk ¢ Jasność co do odpowiedzialności konkretnych osób także w przypadku rotacji na stanowiskach ¢ Ułatwia zarządzanie dokumentem i jego aktualizację ¢ Wskazane osoby są także odpowiedzialne za egzekwowanie przestrzegania polityki bezpieczeństwa od swoich podwładnych ¢ Audyty oparte o ISO17799 czy COBIT wymagają jasnego przypisania ról
  • 40. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 4 — Zastosuj jeden z dostępnych szablonów zgodnych z ISO nieznacznie go modyfikując ¢ ISO-IEC 17799:2005 dostarcza podział na 10 domen bezpieczeństwa możliwy do wdrożenia w każdej korporacji ¢ Podział na domeny bezpieczeństwa ułatwia przeprowadzanie audytów spójności i kompletności stworzonych polityk
  • 41. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 5 — Przeprowadzaj analizę ryzyka ¢ Polityka bezpieczeństwa powinna zawierać informację jak często i w jaki sposób analiza ryzyka jest przeprowadzana ¢ Analiza ryzyka pozwala oszacować jaki poziom bezpieczeństwa jest odpowiedni dla korporacji ¢ Dokument końcowy powinien zawierać informacje kto akceptuje ryzyko, kto akceptuje wyjątki, jak długo one powinny trwać, jakie narzędzia kontroli należy wdrożyć
  • 42. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 6 — Komunikuj politykę bezpieczeństwa jasno i regularnie ¢ Często pięta achillesowa całego procesu J ¢ Pracownicy powinni nie tylko być informowani o zmianach ale potwierdzić zapoznanie się z nimi ¢ Pracownicy i kontraktorzy muszą być świadomi i rozumieć swoją rolę w przestrzeganiu polityki bezpieczeństwa ¢ Szkolenia z zakresu polityk bezpieczeństwa dla pracowników
  • 43. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 7 — Zdefiniuj proces reakcji na naruszenie polityki bezpieczeństwa i procedur ¢ Zdefiniuj czym jest naruszenie polityki ¢ Załącz procedurę raportowania naruszenia polityki oraz postępowania w takim przypadku ¢ Powiadom pracowników o ścieżce postępowania i możliwych konsekwencjach
  • 44. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 8 — Przeprowadzaj audyty polityk bezpieczeństwa ¢ Regularny audyt jest wymogiem nie tylko standardów ale i dobrej praktyki ¢ Dla standardów i procedur stwórz scenariusze testowe pozwalające sprawdzić je w praktyce ¢ Audyt techniczny nie jest zadaniem skomplikowanym, audyt ludzi może być nie lada wyzwaniem
  • 45. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 9 — Automatyzuj procesy ¢ Ułatwia audyt i utrzymanie spójności polityki bezpieczeństwa ¢ Automatyzacja narzędzi dystrybucji procedur bezpieczeństwa ¢ Automatyzacja weryfikacji zapoznania się ze zmianami ¢ Automatyzacja weryfikacji wdrożenia szablonów ¢ Etc etc etc
  • 46. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 10 — Czy wiesz gdzie jest najsłabsze ogniwo?