Kiedy osiągnąć sukces w bezpieczeństwie
Kiedy osiągniesz 13 założeń
Diagnoza - normy:
27001 - specyfikacja wymagań na system zarządzania bezpieczeństwem informacji - 127 wymaga. Pierwsze 4 rozdziały są ogólne, 5-8 - informacje merytoryczne opieraja się o cykl dominga. Te rozdziały są specyfikacją.
27002 - Specyfikacja zabezpieczeń jakie powinniśmy zastosować w 11 obszarach organizacji aby uzyskać 36 celów bezpieczeństwa 15 rozdziałów - pierwsze 4 są ogólne, następne odpowiadają poszczególnym obszarach organizacji (łącznie zabezpieczeń jest 141, 36 celów w 11 obszarach organizacji)
27005 - Metody wyznaczania ryzyka i sposoby postępowania z tym ryzykiem
W jakie normie opisane są elementy ryzyka i jakie to te elementy? 27005 metody i sposoby
Czym się różni norma ta od tej?
Zakres systemu zarządzania bezpieczeństwem informacji
Podaj sposoby określania zabezpieczeń organizacji poprzez:
Specyfikacja jednostek organizacyjnych
Specyfikacja procesów biznesowych
Specyfikację mieszaną
Na czym polega specyfikacja procesów biznesowych?
Inwentaryzacja zasobów
Wykaz zasobów
Typy zasobów?
Jakie wyróżniamy typy zasobów? Sprzętowy, programowy, informacyjny, ludzki, usługi, dokumentacja, telekomunikacyjne (łączności).
Wycena zasobów
Wymienić metody wyceny zasobów
Metody: jakościowe i ilościowe i (podział ogólny i szczegółowy lub kosztowy)
Co to jest zasób? Jest to każdy zasób organizacji który można wycenić i trzeba go chronić.
Lista podatności
Co to jest podatność? Słabość danego zasoby na możliwe zagrożenia?
Wymień przykładowe podatności dla zasobu ludzkiego albo ....
Lista zagrożeń
Co to jest zagorżenie?
Dokonać klasyfikacji zagrożeń? Umiejscowienie stosunu do organizacji: Wewnętrzne i zewnętrzne; Zagrożenia naturalne, świadome, nieświadome; Zagrożenia ze względu środowisk bezpieczeństwa elektroniczne, lokalne, globalne.
Ocena ryzyka
Co to jest ryzyko?
Możliwość wystąpienia niechcianej sytuacji
Rodzaje ryzyka:
Znane i nieznane
Wymień metody oceny ryzyka
Jakościowe, ilościowe, kombinowane (mieszane)
Co jest warunkiem koniecznym aby skorzytać z metody ilościowej
Konieczna znajomość prawdopodobieństwa wystapienia zagrożeń
Atrybuty ryzyka:
Wartość
Zdarzenie
Miejsce zdarzenia
Bliskość
Sposób wyznaczania
Strategia postępowania z ryzykiem
Jakie znamy metody postępowania z ryzykiem: unikanie ryzyka, transfer ryzyka (ubezpieczanie się), redukcja (wprowadzanie zabezpieczeń), akceptacja ryzyka.
Wybór i wdrożenie zabezpieczeń
Jakie są rodzaje zabezpieczeń?
Techniczne, fizyczne, programowe, proceduralne i organizaqcyjne.
Podaj 3 przykłady zabezpieczeń organizacyjnych:
Podnoszenie świadomości pracowników odnośnie bezpieczeństwa
Funkcje zabezpieczeń:
Alarmujące, odstraszające, sygnalizujące
Ocena skuteczności zabezpieczeń
Kiedy uznamy że system jest bezpieczny? Kiedy uznamy że ocena skuteczności działania jest na poziome akceptowalnym.
Kiedy spełnia kryteria:
kompletność, spójność, niesprzeczność
kryterium ryzyka:
ryzyko szczątkowe < ryzyko akceptowalne
Monitorowanie systemu zarządzania bezpieczeństwem informacji
Wymienić sposoby monitorowania:
Formalne kontrole techniczne: planowane i doraźne
Audyty wewnętrzne
Audyt zewnętrzny
Co jest wynikiem monitorowania? Zapisy bezpieczeństwa
Doskonalenie
Usunąć braki, znaleźć przyczyny poznawania braków i wprowadzić środki profilaktyczne aby uniknąć przyczyn