際際滷

際際滷Share a Scribd company logo

PLNOG 13: Piotr Wojciechowski: Security and Control Policy

PROIDEA
PROIDEA

Piotr Wojciechowski Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator. Topic of Presentation: TBD Language: Polish Abstract: TBD

1 of 48
Download to read offline
POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 I KONTROLI Piotr Wojciechowski (CCIE #25543)
ABOUT ME 蔵 Senior Network Engineer MSO at VeriFone Inc. 蔵 Previously Network Solutions Architect at one of top polish IT integrators 蔵 CCIE #25543 (Routing & Switching) 蔵 Blogger http://ccieplayground.wordpress.com 蔵 Administrator of CCIE.PL board The biggest Cisco community in Europe Over 7500 users 3 admin, 5 moderators 58 polish CCIEs as members, 20 of them actively posting About 150 new topics per month About 1000 posts per month English section available
AGENDA 蔵 Czym jest polityka bezpieczestwa? 蔵 Realizacja polityki bezpieczestwa w IT 蔵 Wdra甜anie polityki bezpieczestwa 蔵 Audyty 蔵 Jak stworzy efektywn polityk bezpieczestwa?
CZYM JEST POLITYKA 京掘舘永鴛掘遺舘掘皆意安粥?
CZYM JEST POLITYKA 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Polityka bezpieczestwa jest: Zbiorem sp坦jnych, precyzyjnych regu i procedur wg kt坦rych dana organizacja buduje, zarzdza oraz udostpnia zasoby Okrela chronione zasoby Dokumentem zgodnym z prawem
CZYM JEST POLITYKA 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Co obejmuje polityka bezpieczestwa: Cao zagadnie zwizanych z bezpieczestwem danych bdcych w dyspozycji firmy Nie ogranicza si jedynie do sieci komputerowej czy system坦w lecz obejmuje cao dziaania i proces坦w, kt坦re nastpuj w firmie Jest to dokument spisany Jest dokumentem specyficznym dla ka甜dej korporacji nie ma og坦lnego szablonu gotowego do zastosowania Musi by dokumentem znanym pracownikom
CYKL 纏YCIA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥
REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT
REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 6 podstawowych polityk definiujcych prac dziau IT oraz os坦b korzystajcych z infrastruktury IT 蔵 Odpowiedni podzia obowizk坦w w szczeg坦lnoci nadzoru i kontroli spenienia wymog坦w opisanych w polityce bezpieczestwa 蔵 Regularne audyty
REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Polityka dostpu do Internetu Czy u甜ytkownicy s uprawnieni do korzystania z Internetu w celach prywatnych? Czy u甜ytkownicy mog sami ciga i instalowa oprogramowanie? Jakie aplikacje s niezbdne do prawidowego dziaania korporacji i z jakich zasob坦w musz korzysta? Jak maj by zabezpieczone komputery majce dostp do Internety? Etc
REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Polityka kontroli email i medi坦w spoecznociowych Bardzo prosta metoda wycieku informacji poufnych Kontrola potencjalnego wycieku informacji Ochrona wizerunku firmy Pracownicy musz by wiadomi, 甜e tre wiadomoci mo甜e by monitorowana
REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Kontrola kluczy O fizycznych kluczach do drzwi i k坦dek zapomina si czsto w epoce dwustopniowego uwierzytelniania Kto ma klucze do szafy w serwerowni w chwili obecnej? Ile jest komplet坦w kluczy do ka甜dego z pomieszcze? Kto mo甜e pobra klucze? W jaki spos坦b kontrolujemy czy klucze nie opuszczaj budynku celem wykonania kopi?
REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Kontrola urzdze mobilnych Nowoczesne urzdzenia przechowuj czsto wicej wra甜liwych informacji ni甜 komputery pracownik坦w Mobilne urzdzenia s atwym punktem, przez kt坦ry zagro甜enie mo甜e przenikn do sieci Jakie urzdzenia mobilne s dozwolone w naszej sieci? Jak konfiguracj na nich wymuszamy? Etc
REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Kontrola dostpu dla goci Polityka dotyczca postpowania z gomi w budynkach biurowych i data center 蔵 Punkt rejestracji goci 蔵 Wym坦g towarzyszenia gociom w wyznaczonych strefach 蔵 Identyfikatory gocia Odseparowana sie WLAN dla goci z limitowanym dostpem do Internetu
REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Non-Disclosure Agreement (NDA) Jasno zakomunikowana polityka pracownikom Jasne okrelenie, 甜e ochrona informacji dotyczy zar坦wno komunikacji werbalnej jak i emaili, narzdzi spoecznociowych czy komunikator坦w Podpisanie NDA przez ka甜dego z pracownik坦w
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Scenariusz nierealny polityka powstaje wraz z uruchomieniem i rozwojem firmy 蔵 Scenariusz prawdziwy potrzeba biznesowa wymusza stworzenie sp坦jnej polityki bezpieczestwa
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Kluczowe elementy polityki bezpieczestwa Bezpieczestwo fizyczne budynk坦w i urzdze Bezpieczestwo informacji Wykrywanie i przeciwdziaanie nadu甜yciom Wykrywanie oszustw Zarzdzanie ryzykiem Business Continuity Planning (BCP) Zarzdzanie w sytuacjach kryzysowych
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Chronione informacje i procesy najlepiej podzieli na kategorie, kt坦re prociej bdzie opisywa w dokumentach, na przykad: Grupy u甜ytkownik坦w lub proces坦w marketing, dzia sprzeda甜y, administracja, ksigowo itp. Technologie sieci, systemy, storage, backup Cykl 甜ycia produktu deployment, QA, production, support Elementy wewntrzne i zewntrzne intranet, extranet, WWW, VPN
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Gdy zidentyfikujemy obszary kt坦rych ochron polityka bezpieczestwa ma opisywa powinnimy okreli grupy u甜ytkownik坦w, kt坦rzy wymagaj dostpu do informacji by wykonywa swoj prac. 蔵 Gdy okrelimy niezbdne zasoby przeprowadzamy analiz ryzyka zwizan z wykradzeniem, uszkodzeniem lub zniszczeniem informacji
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Analiza ryzyka Skomplikowany proces zale甜ny od formy prowadzonego biznesu Powinien zawiera potencjalne scenariusze, kt坦re mog zagrozi prowadzonemu biznesowi i szacowa koszty, kt坦re firma poniesie, gdyby scenariusz si zrealizowa Powinien zawiera szacunek trzech scenariuszy: 蔵 Expected 蔵 Worst-case 蔵 Best-case
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Polityka bezpieczestwa, procedury czy wdra甜ane technologie musz by adekwatne do ryzyka, prowadzonego biznesu oraz dostpnych rodk坦w na ich wdro甜enie i utrzymanie 蔵 Analiza ROI pozwala okreli, czy koszt wdro甜enia danego rozwizania nie przekracza kosztu scenariusza worst-case utraty danych
WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥
AUDYTY
AUDYTY 蔵 Czym jest audyt? Proces ocenienia czy przyjta polityka bezpieczestwa odpowiednio chroni zasoby informacyjne korporacji Proces weryfikacji odpowiedniego wdro甜enia i przestrzegania przyjtej polityki Trzy g坦wne obszary analizy: 蔵 Audyt techniczny 蔵 Ochrona fizyczna 蔵 Proces zarzdzania informacj Testy penetracyjne to nie audyt!
AUDYTY 蔵 Audyty mog by wewntrzne lub zewntrzne 蔵 Audyty zewntrzne najczciej przeprowadzane na potrzeby uzyskania certyfikacji produktu, wdro甜enia lub procesu. 蔵 Ma na celu pokazanie saboci polityk bezpieczestwa i pozwoli poprawi znalezione bdy 蔵 Wykorzystywane s narzdzia automatyzujce proces ale rola audytora jest bardzo wa甜na 蔵 4 etapy przeprowadzania audytu
AUDYTY 蔵 Etap I przygotowanie Wyspecyfikowanie obszar坦w audytu Zebranie dokumentacji o procesach Zebranie informacji o strukturze korporacji i stanowiskach Zebranie informacji o zasobach sprztowych i programowych Zapoznanie si z politykami i procedurami Etc
AUDYTY 蔵 Etap II ustalenie cel坦w audytu Weryfikacja procedur zwizanych z krytycznymi systemami Weryfikacja wiadomoci pracownik坦w Weryfikacja procesu wsp坦pracy z podmiotami zewntrznymi Proces kontroli zmian Business continuity Etc
AUDYTY 蔵 Etap III zbieranie danych do audytu Rozmowa z pracownikami Przegld log坦w systemowych Weryfikacja wdro甜enia procedur w 甜ycie Kontrola fizyczna obiekt坦w czy sprztu Kontrola procedur backupu i odzyskiwania danych Kontrola procesu niszczenia nonik坦w Etc
AUDYTY 蔵 Etap IV analiza danych i raport kocowy Podsumowanie zebranych danych Wyspecyfikowanie obszar坦w wymagajcych poprawy Wyspecyfikowanie zalece do poprawy Wykazanie obszar坦w niezgodnoci ze standardami pod ktem kt坦rych audyt by przeprowadzany Etc
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥?
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Czym jest efektywna polityka bezpieczestwa? Wiele kryteri坦w zale甜nych od charakteru prowadzonego biznesu Szczeg坦owe wytyczne musz uwzgldnia struktur korporacji i podzia obowizk坦w Nie mo甜e by oderwana od rzeczywistoci
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Kryterium I Polityka bezpieczestwa odpowiednio definiuje cele bezpieczestwa przedsibiorstwa minimalizujc ryzyko operacyjne
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Kryterium II Polityka bezpieczestwa odpowiednio zabezpiecza przedsibiorstwo przed naruszeniami polityki i dziaaniami prawnymi os坦b trzecich
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Kryterium III Polityka bezpieczestwa zostaa przedstawiona pracownikom (tak甜e kontraktowym) pracujcym na r坦甜nych szczeblach hierarchii, jest przez nich zrozumiaa a stosowanie nadzorowane przez przeo甜onych
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada1 Wybierz i stosuj jedn prost struktur wszystkich dokument坦w definiujcych polityk bezpieczestwa 蔵 Trzy typu dokument坦w polityka globalna, standardy, procedury 蔵 Jedna struktura prociej pracowa grupowo, prostszy w odbiorze przekaz dla czytelnika 蔵 Uatwia audyt i wdro甜enie narzdzi bezpieczestwa
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 2 Zapisz wszystko w dokumentach 蔵 Nie zostawiaj miejsca na niedopowiedzenia czy interpretacj
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 3 Przypisz odpowiedzialno za poszczeg坦lne zadania z zakresu bezpieczestwa do konkretnych os坦b lub/i stanowisk 蔵 Jasno co do odpowiedzialnoci konkretnych os坦b tak甜e w przypadku rotacji na stanowiskach 蔵 Uatwia zarzdzanie dokumentem i jego aktualizacj 蔵 Wskazane osoby s tak甜e odpowiedzialne za egzekwowanie przestrzegania polityki bezpieczestwa od swoich podwadnych 蔵 Audyty oparte o ISO17799 czy COBIT wymagaj jasnego przypisania r坦l
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 4 Zastosuj jeden z dostpnych szablon坦w zgodnych z ISO nieznacznie go modyfikujc 蔵 ISO-IEC 17799:2005 dostarcza podzia na 10 domen bezpieczestwa mo甜liwy do wdro甜enia w ka甜dej korporacji 蔵 Podzia na domeny bezpieczestwa uatwia przeprowadzanie audyt坦w sp坦jnoci i kompletnoci stworzonych polityk
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 5 Przeprowadzaj analiz ryzyka 蔵 Polityka bezpieczestwa powinna zawiera informacj jak czsto i w jaki spos坦b analiza ryzyka jest przeprowadzana 蔵 Analiza ryzyka pozwala oszacowa jaki poziom bezpieczestwa jest odpowiedni dla korporacji 蔵 Dokument kocowy powinien zawiera informacje kto akceptuje ryzyko, kto akceptuje wyjtki, jak dugo one powinny trwa, jakie narzdzia kontroli nale甜y wdro甜y
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 6 Komunikuj polityk bezpieczestwa jasno i regularnie 蔵 Czsto pita achillesowa caego procesu J 蔵 Pracownicy powinni nie tylko by informowani o zmianach ale potwierdzi zapoznanie si z nimi 蔵 Pracownicy i kontraktorzy musz by wiadomi i rozumie swoj rol w przestrzeganiu polityki bezpieczestwa 蔵 Szkolenia z zakresu polityk bezpieczestwa dla pracownik坦w
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 7 Zdefiniuj proces reakcji na naruszenie polityki bezpieczestwa i procedur 蔵 Zdefiniuj czym jest naruszenie polityki 蔵 Zacz procedur raportowania naruszenia polityki oraz postpowania w takim przypadku 蔵 Powiadom pracownik坦w o cie甜ce postpowania i mo甜liwych konsekwencjach
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 8 Przeprowadzaj audyty polityk bezpieczestwa 蔵 Regularny audyt jest wymogiem nie tylko standard坦w ale i dobrej praktyki 蔵 Dla standard坦w i procedur stw坦rz scenariusze testowe pozwalajce sprawdzi je w praktyce 蔵 Audyt techniczny nie jest zadaniem skomplikowanym, audyt ludzi mo甜e by nie lada wyzwaniem
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 9 Automatyzuj procesy 蔵 Uatwia audyt i utrzymanie sp坦jnoci polityki bezpieczestwa 蔵 Automatyzacja narzdzi dystrybucji procedur bezpieczestwa 蔵 Automatyzacja weryfikacji zapoznania si ze zmianami 蔵 Automatyzacja weryfikacji wdro甜enia szablon坦w 蔵 Etc etc etc
JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 10 Czy wiesz gdzie jest najsabsze ogniwo?
QUESTIONS?
THANK YOU

Recommended

Rekomendacja D w Bankach - Procedury, Audyt, Wdro甜enie
Rekomendacja D w Bankach - Procedury, Audyt, Wdro甜enieRekomendacja D w Bankach - Procedury, Audyt, Wdro甜enie
Rekomendacja D w Bankach - Procedury, Audyt, Wdro甜enie
IT Auditor Sp. z o.o.
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Logicaltrust pl
Darmowe narzdzia wspomagajce proces zabezpieczania Twojej firmy.
Darmowe narzdzia wspomagajce proces zabezpieczania Twojej firmy.Darmowe narzdzia wspomagajce proces zabezpieczania Twojej firmy.
Darmowe narzdzia wspomagajce proces zabezpieczania Twojej firmy.
Logicaltrust pl
Zarzdzanie bezpieczestwem informacji w firmie
Zarzdzanie bezpieczestwem informacji w firmieZarzdzanie bezpieczestwem informacji w firmie
Zarzdzanie bezpieczestwem informacji w firmie
Karol Chwastowski
APT x 3 - trzy firmy, trzy wektory atak坦w, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory atak坦w, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory atak坦w, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory atak坦w, trzy do zera - wybrane studium prz...
Logicaltrust pl
PLNOG16: System zarzdzania bezpieczestwem informacji jako integralny kompon...
PLNOG16: System zarzdzania bezpieczestwem informacji jako integralny kompon...PLNOG16: System zarzdzania bezpieczestwem informacji jako integralny kompon...
PLNOG16: System zarzdzania bezpieczestwem informacji jako integralny kompon...
PROIDEA
Halokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP SecurityHalokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP Security
michalpodoski
PLNOG 18 - Piotr Ba甜ewicz - Wymuszenie jednolitej polityki bezpieczestwa w ...
PLNOG 18 - Piotr Ba甜ewicz - Wymuszenie jednolitej polityki bezpieczestwa w ...PLNOG 18 - Piotr Ba甜ewicz - Wymuszenie jednolitej polityki bezpieczestwa w ...
PLNOG 18 - Piotr Ba甜ewicz - Wymuszenie jednolitej polityki bezpieczestwa w ...
PROIDEA
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
Wydzia ds. eZdrowia, Departament Polityki Zdrowotnej, Urzd Marszakowski w odzi
Healthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Healthcare: bezpieczestwo pacjent坦w zaczyna si od ITHealthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Healthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Wydzia ds. eZdrowia, Departament Polityki Zdrowotnej, Urzd Marszakowski w odzi
Bezpieczestwo informacji mtabor
Bezpieczestwo informacji mtaborBezpieczestwo informacji mtabor
Bezpieczestwo informacji mtabor
Micha Tabor
System zarzdzania bezpieczestwem informacji w podmiotach publicznych
System zarzdzania bezpieczestwem informacji w podmiotach publicznychSystem zarzdzania bezpieczestwem informacji w podmiotach publicznych
System zarzdzania bezpieczestwem informacji w podmiotach publicznych
KS KS
Cyberbezpieczestwo w chmurze obliczeniowej
Cyberbezpieczestwo w chmurze obliczeniowejCyberbezpieczestwo w chmurze obliczeniowej
Cyberbezpieczestwo w chmurze obliczeniowej
Microsoft Polska
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PROIDEA
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PROIDEA
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PROIDEA
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PROIDEA
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PROIDEA
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PROIDEA
Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmie
Tremark Sp. z. o.o
Usugi RODO PwC | Utrzymanie zgodnoci z RODO
Usugi RODO PwC | Utrzymanie zgodnoci z RODOUsugi RODO PwC | Utrzymanie zgodnoci z RODO
Usugi RODO PwC | Utrzymanie zgodnoci z RODO
PwC Polska
Audyty informatyczne
Audyty informatyczneAudyty informatyczne
Audyty informatyczne
GoTechnologies sp. z o.o.
Canon - bezpieczestwo danych
Canon - bezpieczestwo danychCanon - bezpieczestwo danych
Canon - bezpieczestwo danych
Canon Biznes
SOC w praktyce
SOC w praktyceSOC w praktyce
SOC w praktyce
Jerzy abuda
Audyt bezpieczestwa it
Audyt bezpieczestwa itAudyt bezpieczestwa it
Audyt bezpieczestwa it
Tremark Sp. z. o.o
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
SoniaNaiba
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
neuros537
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacjiZarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Pawel Wawrzyniak
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
SecuRing

More Related Content

What's hot (6)

DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
Wydzia ds. eZdrowia, Departament Polityki Zdrowotnej, Urzd Marszakowski w odzi
Healthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Healthcare: bezpieczestwo pacjent坦w zaczyna si od ITHealthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Healthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Wydzia ds. eZdrowia, Departament Polityki Zdrowotnej, Urzd Marszakowski w odzi
Bezpieczestwo informacji mtabor
Bezpieczestwo informacji mtaborBezpieczestwo informacji mtabor
Bezpieczestwo informacji mtabor
Micha Tabor
System zarzdzania bezpieczestwem informacji w podmiotach publicznych
System zarzdzania bezpieczestwem informacji w podmiotach publicznychSystem zarzdzania bezpieczestwem informacji w podmiotach publicznych
System zarzdzania bezpieczestwem informacji w podmiotach publicznych
KS KS
Cyberbezpieczestwo w chmurze obliczeniowej
Cyberbezpieczestwo w chmurze obliczeniowejCyberbezpieczestwo w chmurze obliczeniowej
Cyberbezpieczestwo w chmurze obliczeniowej
Microsoft Polska
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PROIDEA
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
Wydzia ds. eZdrowia, Departament Polityki Zdrowotnej, Urzd Marszakowski w odzi
Healthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Healthcare: bezpieczestwo pacjent坦w zaczyna si od ITHealthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Healthcare: bezpieczestwo pacjent坦w zaczyna si od IT
Wydzia ds. eZdrowia, Departament Polityki Zdrowotnej, Urzd Marszakowski w odzi
Bezpieczestwo informacji mtabor
Bezpieczestwo informacji mtaborBezpieczestwo informacji mtabor
Bezpieczestwo informacji mtabor
Micha Tabor
System zarzdzania bezpieczestwem informacji w podmiotach publicznych
System zarzdzania bezpieczestwem informacji w podmiotach publicznychSystem zarzdzania bezpieczestwem informacji w podmiotach publicznych
System zarzdzania bezpieczestwem informacji w podmiotach publicznych
KS KS
Cyberbezpieczestwo w chmurze obliczeniowej
Cyberbezpieczestwo w chmurze obliczeniowejCyberbezpieczestwo w chmurze obliczeniowej
Cyberbezpieczestwo w chmurze obliczeniowej
Microsoft Polska
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PLNOG 21: Tomasz Wodziski - A mo甜e tak zbudujemy sobie SOCa ?
PROIDEA

Viewers also liked (6)

PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PROIDEA
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PROIDEA
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PROIDEA
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PROIDEA
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PROIDEA
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usugi multimedialne w s...
PROIDEA
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PLNOG 13: Robert laski: NFV, Virtualise networks or die the voice of the r...
PROIDEA
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt Czy peering jest naprawd s...
PROIDEA
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpinski: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PROIDEA
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy Pack...
PROIDEA

Similar to PLNOG 13: Piotr Wojciechowski: Security and Control Policy (20)

Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmie
Tremark Sp. z. o.o
Usugi RODO PwC | Utrzymanie zgodnoci z RODO
Usugi RODO PwC | Utrzymanie zgodnoci z RODOUsugi RODO PwC | Utrzymanie zgodnoci z RODO
Usugi RODO PwC | Utrzymanie zgodnoci z RODO
PwC Polska
Audyty informatyczne
Audyty informatyczneAudyty informatyczne
Audyty informatyczne
GoTechnologies sp. z o.o.
Canon - bezpieczestwo danych
Canon - bezpieczestwo danychCanon - bezpieczestwo danych
Canon - bezpieczestwo danych
Canon Biznes
SOC w praktyce
SOC w praktyceSOC w praktyce
SOC w praktyce
Jerzy abuda
Audyt bezpieczestwa it
Audyt bezpieczestwa itAudyt bezpieczestwa it
Audyt bezpieczestwa it
Tremark Sp. z. o.o
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
SoniaNaiba
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
neuros537
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacjiZarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Pawel Wawrzyniak
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
SecuRing
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
Szymon Konkol - Publikacje Cyfrowe
Raport Deloitte i Gazeta.pl o bezpieczestwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczestwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczestwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczestwie: polski aspekt Global Security ...
Rafal
Bezpieczestwo w polskim Internecie 2009
Bezpieczestwo w polskim Internecie 2009Bezpieczestwo w polskim Internecie 2009
Bezpieczestwo w polskim Internecie 2009
Wojciech Boczo
Zarzdzanie ryzykiem AML/CFT | Broszura Deloitte
Zarzdzanie ryzykiem AML/CFT | Broszura Deloitte Zarzdzanie ryzykiem AML/CFT | Broszura Deloitte
Zarzdzanie ryzykiem AML/CFT | Broszura Deloitte
Deloitte Polska
Microsoft Azure - Mobility & Security - wybrane usugi bezpieczestwa
Microsoft Azure - Mobility & Security - wybrane usugi bezpieczestwaMicrosoft Azure - Mobility & Security - wybrane usugi bezpieczestwa
Microsoft Azure - Mobility & Security - wybrane usugi bezpieczestwa
Maciej Sobianek
Czy systematyczne podejcie do test坦w bezpieczestwa si opaca?
Czy systematyczne podejcie do test坦w bezpieczestwa si opaca?Czy systematyczne podejcie do test坦w bezpieczestwa si opaca?
Czy systematyczne podejcie do test坦w bezpieczestwa si opaca?
Logicaltrust pl
Outsourcing Infrastruktury IT
Outsourcing Infrastruktury ITOutsourcing Infrastruktury IT
Outsourcing Infrastruktury IT
Comarch
Systemowe zabezpieczenie kanau elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanau elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanau elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanau elektronicznego w instytucjach finansowych
Micha Olczak
Ochrona know-how w negocjacjach
Ochrona know-how w negocjacjachOchrona know-how w negocjacjach
Ochrona know-how w negocjacjach
Legal Geek
Jako utracona v13
Jako utracona v13Jako utracona v13
Jako utracona v13
magda3695
Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmie
Tremark Sp. z. o.o
Usugi RODO PwC | Utrzymanie zgodnoci z RODO
Usugi RODO PwC | Utrzymanie zgodnoci z RODOUsugi RODO PwC | Utrzymanie zgodnoci z RODO
Usugi RODO PwC | Utrzymanie zgodnoci z RODO
PwC Polska
Audyty informatyczne
Audyty informatyczneAudyty informatyczne
Audyty informatyczne
GoTechnologies sp. z o.o.
Canon - bezpieczestwo danych
Canon - bezpieczestwo danychCanon - bezpieczestwo danych
Canon - bezpieczestwo danych
Canon Biznes
SOC w praktyce
SOC w praktyceSOC w praktyce
SOC w praktyce
Jerzy abuda
Audyt bezpieczestwa it
Audyt bezpieczestwa itAudyt bezpieczestwa it
Audyt bezpieczestwa it
Tremark Sp. z. o.o
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
SoniaNaiba
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
Maksymalizacja wydajnoci: przewodnik po efektywnym Zarzdzanie infrastruktur...
neuros537
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacjiZarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Zarzdzanie usugami centrum danych. Od inwestycji do eksploatacji
Pawel Wawrzyniak
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczestwa zwizane z nowymi technologiami w aplikacjach ban...
SecuRing
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
Szymon Konkol - Publikacje Cyfrowe
Raport Deloitte i Gazeta.pl o bezpieczestwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczestwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczestwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczestwie: polski aspekt Global Security ...
Rafal
Bezpieczestwo w polskim Internecie 2009
Bezpieczestwo w polskim Internecie 2009Bezpieczestwo w polskim Internecie 2009
Bezpieczestwo w polskim Internecie 2009
Wojciech Boczo
Zarzdzanie ryzykiem AML/CFT | Broszura Deloitte
Zarzdzanie ryzykiem AML/CFT | Broszura Deloitte Zarzdzanie ryzykiem AML/CFT | Broszura Deloitte
Zarzdzanie ryzykiem AML/CFT | Broszura Deloitte
Deloitte Polska
Microsoft Azure - Mobility & Security - wybrane usugi bezpieczestwa
Microsoft Azure - Mobility & Security - wybrane usugi bezpieczestwaMicrosoft Azure - Mobility & Security - wybrane usugi bezpieczestwa
Microsoft Azure - Mobility & Security - wybrane usugi bezpieczestwa
Maciej Sobianek
Czy systematyczne podejcie do test坦w bezpieczestwa si opaca?
Czy systematyczne podejcie do test坦w bezpieczestwa si opaca?Czy systematyczne podejcie do test坦w bezpieczestwa si opaca?
Czy systematyczne podejcie do test坦w bezpieczestwa si opaca?
Logicaltrust pl
Outsourcing Infrastruktury IT
Outsourcing Infrastruktury ITOutsourcing Infrastruktury IT
Outsourcing Infrastruktury IT
Comarch
Systemowe zabezpieczenie kanau elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanau elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanau elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanau elektronicznego w instytucjach finansowych
Micha Olczak
Ochrona know-how w negocjacjach
Ochrona know-how w negocjacjachOchrona know-how w negocjacjach
Ochrona know-how w negocjacjach
Legal Geek
Jako utracona v13
Jako utracona v13Jako utracona v13
Jako utracona v13
magda3695

PLNOG 13: Piotr Wojciechowski: Security and Control Policy

  • 1. POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 I KONTROLI Piotr Wojciechowski (CCIE #25543)
  • 2. ABOUT ME 蔵 Senior Network Engineer MSO at VeriFone Inc. 蔵 Previously Network Solutions Architect at one of top polish IT integrators 蔵 CCIE #25543 (Routing & Switching) 蔵 Blogger http://ccieplayground.wordpress.com 蔵 Administrator of CCIE.PL board The biggest Cisco community in Europe Over 7500 users 3 admin, 5 moderators 58 polish CCIEs as members, 20 of them actively posting About 150 new topics per month About 1000 posts per month English section available
  • 3. AGENDA 蔵 Czym jest polityka bezpieczestwa? 蔵 Realizacja polityki bezpieczestwa w IT 蔵 Wdra甜anie polityki bezpieczestwa 蔵 Audyty 蔵 Jak stworzy efektywn polityk bezpieczestwa?
  • 4. CZYM JEST POLITYKA 京掘舘永鴛掘遺舘掘皆意安粥?
  • 5. CZYM JEST POLITYKA 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Polityka bezpieczestwa jest: Zbiorem sp坦jnych, precyzyjnych regu i procedur wg kt坦rych dana organizacja buduje, zarzdza oraz udostpnia zasoby Okrela chronione zasoby Dokumentem zgodnym z prawem
  • 6. CZYM JEST POLITYKA 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Co obejmuje polityka bezpieczestwa: Cao zagadnie zwizanych z bezpieczestwem danych bdcych w dyspozycji firmy Nie ogranicza si jedynie do sieci komputerowej czy system坦w lecz obejmuje cao dziaania i proces坦w, kt坦re nastpuj w firmie Jest to dokument spisany Jest dokumentem specyficznym dla ka甜dej korporacji nie ma og坦lnego szablonu gotowego do zastosowania Musi by dokumentem znanym pracownikom
  • 7. CYKL 纏YCIA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥
  • 9. REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 6 podstawowych polityk definiujcych prac dziau IT oraz os坦b korzystajcych z infrastruktury IT 蔵 Odpowiedni podzia obowizk坦w w szczeg坦lnoci nadzoru i kontroli spenienia wymog坦w opisanych w polityce bezpieczestwa 蔵 Regularne audyty
  • 10. REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Polityka dostpu do Internetu Czy u甜ytkownicy s uprawnieni do korzystania z Internetu w celach prywatnych? Czy u甜ytkownicy mog sami ciga i instalowa oprogramowanie? Jakie aplikacje s niezbdne do prawidowego dziaania korporacji i z jakich zasob坦w musz korzysta? Jak maj by zabezpieczone komputery majce dostp do Internety? Etc
  • 11. REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Polityka kontroli email i medi坦w spoecznociowych Bardzo prosta metoda wycieku informacji poufnych Kontrola potencjalnego wycieku informacji Ochrona wizerunku firmy Pracownicy musz by wiadomi, 甜e tre wiadomoci mo甜e by monitorowana
  • 12. REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Kontrola kluczy O fizycznych kluczach do drzwi i k坦dek zapomina si czsto w epoce dwustopniowego uwierzytelniania Kto ma klucze do szafy w serwerowni w chwili obecnej? Ile jest komplet坦w kluczy do ka甜dego z pomieszcze? Kto mo甜e pobra klucze? W jaki spos坦b kontrolujemy czy klucze nie opuszczaj budynku celem wykonania kopi?
  • 13. REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Kontrola urzdze mobilnych Nowoczesne urzdzenia przechowuj czsto wicej wra甜liwych informacji ni甜 komputery pracownik坦w Mobilne urzdzenia s atwym punktem, przez kt坦ry zagro甜enie mo甜e przenikn do sieci Jakie urzdzenia mobilne s dozwolone w naszej sieci? Jak konfiguracj na nich wymuszamy? Etc
  • 14. REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Kontrola dostpu dla goci Polityka dotyczca postpowania z gomi w budynkach biurowych i data center 蔵 Punkt rejestracji goci 蔵 Wym坦g towarzyszenia gociom w wyznaczonych strefach 蔵 Identyfikatory gocia Odseparowana sie WLAN dla goci z limitowanym dostpem do Internetu
  • 15. REALIZACJA POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 W IT 蔵 Non-Disclosure Agreement (NDA) Jasno zakomunikowana polityka pracownikom Jasne okrelenie, 甜e ochrona informacji dotyczy zar坦wno komunikacji werbalnej jak i emaili, narzdzi spoecznociowych czy komunikator坦w Podpisanie NDA przez ka甜dego z pracownik坦w
  • 17. WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Scenariusz nierealny polityka powstaje wraz z uruchomieniem i rozwojem firmy 蔵 Scenariusz prawdziwy potrzeba biznesowa wymusza stworzenie sp坦jnej polityki bezpieczestwa
  • 18. WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Kluczowe elementy polityki bezpieczestwa Bezpieczestwo fizyczne budynk坦w i urzdze Bezpieczestwo informacji Wykrywanie i przeciwdziaanie nadu甜yciom Wykrywanie oszustw Zarzdzanie ryzykiem Business Continuity Planning (BCP) Zarzdzanie w sytuacjach kryzysowych
  • 19. WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Chronione informacje i procesy najlepiej podzieli na kategorie, kt坦re prociej bdzie opisywa w dokumentach, na przykad: Grupy u甜ytkownik坦w lub proces坦w marketing, dzia sprzeda甜y, administracja, ksigowo itp. Technologie sieci, systemy, storage, backup Cykl 甜ycia produktu deployment, QA, production, support Elementy wewntrzne i zewntrzne intranet, extranet, WWW, VPN
  • 20. WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Gdy zidentyfikujemy obszary kt坦rych ochron polityka bezpieczestwa ma opisywa powinnimy okreli grupy u甜ytkownik坦w, kt坦rzy wymagaj dostpu do informacji by wykonywa swoj prac. 蔵 Gdy okrelimy niezbdne zasoby przeprowadzamy analiz ryzyka zwizan z wykradzeniem, uszkodzeniem lub zniszczeniem informacji
  • 21. WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Analiza ryzyka Skomplikowany proces zale甜ny od formy prowadzonego biznesu Powinien zawiera potencjalne scenariusze, kt坦re mog zagrozi prowadzonemu biznesowi i szacowa koszty, kt坦re firma poniesie, gdyby scenariusz si zrealizowa Powinien zawiera szacunek trzech scenariuszy: 蔵 Expected 蔵 Worst-case 蔵 Best-case
  • 23. WDRA纏ANIE POLITYKI 京掘舘永鴛掘遺舘掘皆意安粥 蔵 Polityka bezpieczestwa, procedury czy wdra甜ane technologie musz by adekwatne do ryzyka, prowadzonego biznesu oraz dostpnych rodk坦w na ich wdro甜enie i utrzymanie 蔵 Analiza ROI pozwala okreli, czy koszt wdro甜enia danego rozwizania nie przekracza kosztu scenariusza worst-case utraty danych
  • 26. AUDYTY 蔵 Czym jest audyt? Proces ocenienia czy przyjta polityka bezpieczestwa odpowiednio chroni zasoby informacyjne korporacji Proces weryfikacji odpowiedniego wdro甜enia i przestrzegania przyjtej polityki Trzy g坦wne obszary analizy: 蔵 Audyt techniczny 蔵 Ochrona fizyczna 蔵 Proces zarzdzania informacj Testy penetracyjne to nie audyt!
  • 27. AUDYTY 蔵 Audyty mog by wewntrzne lub zewntrzne 蔵 Audyty zewntrzne najczciej przeprowadzane na potrzeby uzyskania certyfikacji produktu, wdro甜enia lub procesu. 蔵 Ma na celu pokazanie saboci polityk bezpieczestwa i pozwoli poprawi znalezione bdy 蔵 Wykorzystywane s narzdzia automatyzujce proces ale rola audytora jest bardzo wa甜na 蔵 4 etapy przeprowadzania audytu
  • 28. AUDYTY 蔵 Etap I przygotowanie Wyspecyfikowanie obszar坦w audytu Zebranie dokumentacji o procesach Zebranie informacji o strukturze korporacji i stanowiskach Zebranie informacji o zasobach sprztowych i programowych Zapoznanie si z politykami i procedurami Etc
  • 29. AUDYTY 蔵 Etap II ustalenie cel坦w audytu Weryfikacja procedur zwizanych z krytycznymi systemami Weryfikacja wiadomoci pracownik坦w Weryfikacja procesu wsp坦pracy z podmiotami zewntrznymi Proces kontroli zmian Business continuity Etc
  • 30. AUDYTY 蔵 Etap III zbieranie danych do audytu Rozmowa z pracownikami Przegld log坦w systemowych Weryfikacja wdro甜enia procedur w 甜ycie Kontrola fizyczna obiekt坦w czy sprztu Kontrola procedur backupu i odzyskiwania danych Kontrola procesu niszczenia nonik坦w Etc
  • 31. AUDYTY 蔵 Etap IV analiza danych i raport kocowy Podsumowanie zebranych danych Wyspecyfikowanie obszar坦w wymagajcych poprawy Wyspecyfikowanie zalece do poprawy Wykazanie obszar坦w niezgodnoci ze standardami pod ktem kt坦rych audyt by przeprowadzany Etc
  • 32. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥?
  • 33. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Czym jest efektywna polityka bezpieczestwa? Wiele kryteri坦w zale甜nych od charakteru prowadzonego biznesu Szczeg坦owe wytyczne musz uwzgldnia struktur korporacji i podzia obowizk坦w Nie mo甜e by oderwana od rzeczywistoci
  • 34. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Kryterium I Polityka bezpieczestwa odpowiednio definiuje cele bezpieczestwa przedsibiorstwa minimalizujc ryzyko operacyjne
  • 35. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Kryterium II Polityka bezpieczestwa odpowiednio zabezpiecza przedsibiorstwo przed naruszeniami polityki i dziaaniami prawnymi os坦b trzecich
  • 36. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Kryterium III Polityka bezpieczestwa zostaa przedstawiona pracownikom (tak甜e kontraktowym) pracujcym na r坦甜nych szczeblach hierarchii, jest przez nich zrozumiaa a stosowanie nadzorowane przez przeo甜onych
  • 37. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada1 Wybierz i stosuj jedn prost struktur wszystkich dokument坦w definiujcych polityk bezpieczestwa 蔵 Trzy typu dokument坦w polityka globalna, standardy, procedury 蔵 Jedna struktura prociej pracowa grupowo, prostszy w odbiorze przekaz dla czytelnika 蔵 Uatwia audyt i wdro甜enie narzdzi bezpieczestwa
  • 38. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 2 Zapisz wszystko w dokumentach 蔵 Nie zostawiaj miejsca na niedopowiedzenia czy interpretacj
  • 39. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 3 Przypisz odpowiedzialno za poszczeg坦lne zadania z zakresu bezpieczestwa do konkretnych os坦b lub/i stanowisk 蔵 Jasno co do odpowiedzialnoci konkretnych os坦b tak甜e w przypadku rotacji na stanowiskach 蔵 Uatwia zarzdzanie dokumentem i jego aktualizacj 蔵 Wskazane osoby s tak甜e odpowiedzialne za egzekwowanie przestrzegania polityki bezpieczestwa od swoich podwadnych 蔵 Audyty oparte o ISO17799 czy COBIT wymagaj jasnego przypisania r坦l
  • 40. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 4 Zastosuj jeden z dostpnych szablon坦w zgodnych z ISO nieznacznie go modyfikujc 蔵 ISO-IEC 17799:2005 dostarcza podzia na 10 domen bezpieczestwa mo甜liwy do wdro甜enia w ka甜dej korporacji 蔵 Podzia na domeny bezpieczestwa uatwia przeprowadzanie audyt坦w sp坦jnoci i kompletnoci stworzonych polityk
  • 41. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 5 Przeprowadzaj analiz ryzyka 蔵 Polityka bezpieczestwa powinna zawiera informacj jak czsto i w jaki spos坦b analiza ryzyka jest przeprowadzana 蔵 Analiza ryzyka pozwala oszacowa jaki poziom bezpieczestwa jest odpowiedni dla korporacji 蔵 Dokument kocowy powinien zawiera informacje kto akceptuje ryzyko, kto akceptuje wyjtki, jak dugo one powinny trwa, jakie narzdzia kontroli nale甜y wdro甜y
  • 42. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 6 Komunikuj polityk bezpieczestwa jasno i regularnie 蔵 Czsto pita achillesowa caego procesu J 蔵 Pracownicy powinni nie tylko by informowani o zmianach ale potwierdzi zapoznanie si z nimi 蔵 Pracownicy i kontraktorzy musz by wiadomi i rozumie swoj rol w przestrzeganiu polityki bezpieczestwa 蔵 Szkolenia z zakresu polityk bezpieczestwa dla pracownik坦w
  • 43. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 7 Zdefiniuj proces reakcji na naruszenie polityki bezpieczestwa i procedur 蔵 Zdefiniuj czym jest naruszenie polityki 蔵 Zacz procedur raportowania naruszenia polityki oraz postpowania w takim przypadku 蔵 Powiadom pracownik坦w o cie甜ce postpowania i mo甜liwych konsekwencjach
  • 44. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 8 Przeprowadzaj audyty polityk bezpieczestwa 蔵 Regularny audyt jest wymogiem nie tylko standard坦w ale i dobrej praktyki 蔵 Dla standard坦w i procedur stw坦rz scenariusze testowe pozwalajce sprawdzi je w praktyce 蔵 Audyt techniczny nie jest zadaniem skomplikowanym, audyt ludzi mo甜e by nie lada wyzwaniem
  • 45. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 9 Automatyzuj procesy 蔵 Uatwia audyt i utrzymanie sp坦jnoci polityki bezpieczestwa 蔵 Automatyzacja narzdzi dystrybucji procedur bezpieczestwa 蔵 Automatyzacja weryfikacji zapoznania si ze zmianami 蔵 Automatyzacja weryfikacji wdro甜enia szablon坦w 蔵 Etc etc etc
  • 46. JAK STWORZY EFEKTYWN POLITYK 京掘舘永鴛掘遺舘掘皆意安粥? 蔵 Zasada 10 Czy wiesz gdzie jest najsabsze ogniwo?
AboutCopyright
息 2025 際際滷