Kiedy osiągnąć sukces w bezpieczeństwie

Kiedy osiągniesz 13 założeń

Diagnoza - normy:

27001 - specyfikacja wymagań na system zarządzania bezpieczeństwem informacji - 127 wymaga. Pierwsze 4 rozdziały są ogólne, 5-8 - informacje merytoryczne opieraja się o cykl dominga. Te rozdziały są specyfikacją.

27002 - Specyfikacja zabezpieczeń jakie powinniśmy zastosować w 11 obszarach organizacji aby uzyskać 36 celów bezpieczeństwa 15 rozdziałów - pierwsze 4 są ogólne, następne odpowiadają poszczególnym obszarach organizacji (łącznie zabezpieczeń jest 141, 36 celów w 11 obszarach organizacji)

27005 - Metody wyznaczania ryzyka i sposoby postępowania z tym ryzykiem

W jakie normie opisane są elementy ryzyka i jakie to te elementy? 27005 metody i sposoby

Czym się różni norma ta od tej?

  1. Zakres systemu zarządzania bezpieczeństwem informacji

Podaj sposoby określania zabezpieczeń organizacji poprzez:

Specyfikacja jednostek organizacyjnych

Specyfikacja procesów biznesowych

Specyfikację mieszaną

Na czym polega specyfikacja procesów biznesowych?

  1. Inwentaryzacja zasobów

Wykaz zasobów

Typy zasobów?

Jakie wyróżniamy typy zasobów? Sprzętowy, programowy, informacyjny, ludzki, usługi, dokumentacja, telekomunikacyjne (łączności).

  1. Wycena zasobów

Wymienić metody wyceny zasobów

Metody: jakościowe i ilościowe i (podział ogólny i szczegółowy lub kosztowy)

Co to jest zasób? Jest to każdy zasób organizacji który można wycenić i trzeba go chronić.

  1. Lista podatności

Co to jest podatność? Słabość danego zasoby na możliwe zagrożenia?

Wymień przykładowe podatności dla zasobu ludzkiego albo ....

  1. Lista zagrożeń

Co to jest zagorżenie?

Dokonać klasyfikacji zagrożeń? Umiejscowienie stosunu do organizacji: Wewnętrzne i zewnętrzne; Zagrożenia naturalne, świadome, nieświadome; Zagrożenia ze względu środowisk bezpieczeństwa elektroniczne, lokalne, globalne.

  1. Ocena ryzyka

Co to jest ryzyko?

Możliwość wystąpienia niechcianej sytuacji

Rodzaje ryzyka:

Znane i nieznane

Wymień metody oceny ryzyka

Jakościowe, ilościowe, kombinowane (mieszane)

Co jest warunkiem koniecznym aby skorzytać z metody ilościowej

Konieczna znajomość prawdopodobieństwa wystapienia zagrożeń

Atrybuty ryzyka:

Wartość

Zdarzenie

Miejsce zdarzenia

Bliskość

Sposób wyznaczania

  1. Strategia postępowania z ryzykiem

Jakie znamy metody postępowania z ryzykiem: unikanie ryzyka, transfer ryzyka (ubezpieczanie się), redukcja (wprowadzanie zabezpieczeń), akceptacja ryzyka.

  1. Wybór i wdrożenie zabezpieczeń

Jakie są rodzaje zabezpieczeń?

Techniczne, fizyczne, programowe, proceduralne i organizaqcyjne.

Podaj 3 przykłady zabezpieczeń organizacyjnych:

Podnoszenie świadomości pracowników odnośnie bezpieczeństwa

Funkcje zabezpieczeń:

Alarmujące, odstraszające, sygnalizujące

  1. Ocena skuteczności zabezpieczeń

Kiedy uznamy że system jest bezpieczny? Kiedy uznamy że ocena skuteczności działania jest na poziome akceptowalnym.

Kiedy spełnia kryteria:

kompletność, spójność, niesprzeczność

kryterium ryzyka:

ryzyko szczątkowe < ryzyko akceptowalne

  1. Monitorowanie systemu zarządzania bezpieczeństwem informacji

Wymienić sposoby monitorowania:

Formalne kontrole techniczne: planowane i doraźne

Audyty wewnętrzne

Audyt zewnętrzny

Co jest wynikiem monitorowania? Zapisy bezpieczeństwa

  1. Doskonalenie

Usunąć braki, znaleźć przyczyny poznawania braków i wprowadzić środki profilaktyczne aby uniknąć przyczyn