GoldenLine
Zaloguj się
Arkadiusz Reiter

Arkadiusz Reiter RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Marcin P.:
W moim odczuciu forum jest miejscem dyskusji, wymiany zdań, pytań i odpowiedzi.

I tu się całkowicie z Tobą zgodzę miejsce dyskusji, wymiany zdań, poglądów, doświadczeń jak najbardziej lecz nie dokumentów. Pewnie PB które dostałeś są "przykładowymi" politykami obowiązującymi w danych firmach....cóż mój pracodawca byłby BARDZO nie zadowolony jakby się dowiedział o takim sposobie udostępnienia tworzonej prze zemnie PB. Oczywiście zawsze można doradzić, podpowiedzieć, wypowiedzieć się w danej kwestii lecz o udostępnianiu całego dokumentu twardo będę bronił stanowiska Piotra i Michała.
A żeby było zabawniej dyskusja potoczyła sie w kierunku: udostępniać/nie udostepniać czy jawne/tajne a w tym samy czasie napisało do mnie kilka innych osób (czytających to forum) z prośbą o.... przesłanie dokumentów które dostałem.
Robi sie zbawanie.

Na pewno się zabawnie robi jak ktoś udostępnia dokumentację wewnętrzną firmy...jak mi się zdaje to podchodzi pod jakiś paragraf.

Żeby autor tego tematu mnie źle nie zrozumiał. Nie chodzi mi o to czy ktoś udostępnia czy nie lecz o to w jaki sposób ludzie obchodzą się z ważną dokumentacją. A absurdem dla mnie jest takie zachowanie w stosunku szczególnie do Polityki Bezpieczeństwa firmy!Arkadiusz Reiter edytował(a) ten post dnia 02.02.10 o godzinie 14:18
Link do wypowiedziLink
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Marcinie, z chęcią zapoznałbym się z przykładami polityki bezpieczeństwa. Czy istnieje możliwość abyś podesłał kilka przykładów?

Dziękuję.
Link do wypowiedziLink
Marcin P.

Marcin P. informatyk

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Pewnie PB które dostałeś są "przykładowymi" politykami obowiązującymi w danych firmach....cóż mój pracodawca byłby BARDZO nie zadowolony jakby się dowiedział o takim sposobie udostępnienia tworzonej prze zemnie PB. Oczywiście zawsze można doradzić, podpowiedzieć, wypowiedzieć się w danej kwestii lecz o udostępnianiu całego dokumentu twardo będę bronił stanowiska Piotra i Michała.

Na pewno się zabawnie robi jak ktoś udostępnia dokumentację wewnętrzną firmy...jak mi się zdaje to podchodzi pod jakiś paragraf.

Żeby autor tego tematu mnie źle nie zrozumiał. Nie chodzi mi o to czy ktoś udostępnia czy nie lecz o to w jaki sposób ludzie obchodzą się z ważną dokumentacją. A absurdem dla mnie jest takie zachowanie w stosunku szczególnie do Polityki Bezpieczeństwa firmy!

Ciekawe jaki bedzie Twój komentarz do tego:
http://www.powiat.pabianice.bip.info.pl/dokument.php?i...

Takich dokumentów są setki w sieci....Marcin P. edytował(a) ten post dnia 07.02.10 o godzinie 02:36
Link do wypowiedziLink
Arkadiusz Reiter

Arkadiusz Reiter RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Marcin P.:

Ciekawe jaki bedzie Twój komentarz do tego:
http://www.powiat.pabianice.bip.info.pl/dokument.php?i...

Takich dokumentów są setki w sieci....[edited]Marcin P.

Ciekawe....ja bym nie udostępniał takiej dokumentacji..lecz jak widać wydane zostało zarządzeniem i takowe musi być podane do wiadomości publicznej.
Link do wypowiedziLink
Michał Cupiał

Michał Cupiał FotoFly

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

No cóż ujawnianie pełnej polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym nie jest właściwym i rozsądnym działaniem - a w zasadzie jest sprzeczne same ze sobą. Tym bardziej w urzędach gdzie oprócz danych osobowy czasem znajdują się także informacje tajne.
Ktoś wyżej napisał, że nie widzi powodów nieudostępniania polityki bezpieczeństwa kontrahentowi - jeżeli jest to uzasadnione to ja też nie, ale tylko na zasadach określonych w umowie współpracy z tym kontrahentem.

a na marginesie:
czy ktoś wie jaki jest koszt zlecenia stworzenia polityki bezpieczeństwa w firmie zatrudniającej około 20 pracowników
Link do wypowiedziLink
Marcin P.

Marcin P. informatyk

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Michał Cupiał:
No cóż ujawnianie pełnej polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym nie jest właściwym i rozsądnym działaniem - a w zasadzie jest sprzeczne same ze sobą. Tym bardziej w urzędach gdzie oprócz danych osobowy czasem znajdują się także informacje tajne.

W urzędach - od informacji tajnych są kancelarie tajne. I nie mają wiele wspólnego z PBI bo regulują to oddzielne przepisy (tak przynajmniej powinno być w teorii)...
Link do wypowiedziLink
Paweł G.

Paweł G. Business Continuity
/ Security Officer /
Analityk w innow...

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Marcin P.:
Michał Cupiał:
No cóż ujawnianie pełnej polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym nie jest właściwym i rozsądnym działaniem - a w zasadzie jest sprzeczne same ze sobą. Tym bardziej w urzędach gdzie oprócz danych osobowy czasem znajdują się także informacje tajne.

W urzędach - od informacji tajnych są kancelarie tajne. I nie mają wiele wspólnego z PBI bo regulują to oddzielne przepisy (tak przynajmniej powinno być w teorii)...


Może to ci pomoże

http://www.eksperto.pl/gotowe-procedury-ochrony-danych...
Link do wypowiedziLink
Radek Rzążewski

Radek Rzążewski Właściciel, ARCHE

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Może i ja się wypowiem ;)

W swoim czasie (jakieś pół roku temu) wrzuciłem w google hasło PB i znalazłem kilkanaście PB, ale tutaj UWAGA właśnie z urzędów miast i gmin. Nie znam uregulowań - być może muszą zamieszczać na swoich "tajnych" stronach takie dokumenty ("tajnych" bo chociaż na stronie www nie ma bezpośredniego linku do PB to google i tak b.dobrze wykona cache na tej stronie :>). Czytałem tam m.in. info, że w takim to a takim pokoju są przetwarzane dane w systemie komputerowym o takiej to a takiej bazie danych (i tutaj budowa samej bazy). Czy też w takim to a takim pokoju jest szafa z aktami osobowymi :>

Druga sprawa: PB się udostępnia osobom przetwarzających dane osobowe w naszej firmie. Tak więc te osoby i tak muszą przeczytać wiele stron PB więc zabezpieczenia nie powinny być w samej PB tylko w ZAŁĄCZNIKU z opisem, że załącznik jest tajny.

Trzecia sprawa: do PB też ma wgląd osoba, której dane są przetwarzane.

Więc ze względu na 2 i 3 pkt danych ważnych (tajnych, zabezpieczeń) NIE POWINNO BYĆ W PB tylko w ZAŁĄCZNIKACH, które są określone mianem "tajne" czy jak tam to nazwiecie :)
Link do wypowiedziLink
Arkadiusz Reiter

Arkadiusz Reiter RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

I tak powinno być zorganizowane, sama PB powinna być na wyższym poziomie abstrakcji zawierając niejako same hasła i ogólny zakres bezpieczeństwa informacji. A załączniki czy to w formie załączników czy instrukcji ( tak jak jest u mnie, sama PB jest procedurą) jest sprawą tajną i zawierają dokładny opis sposobu zabezpieczeń.
Na szczęście nie pracuje w urzędzie tylko w Spółce więc nie mamy obowiązku udostępniać naszej PB bezwzględnie do publicznej wiadomości.
Link do wypowiedziLink
Paweł G.

Paweł G. Business Continuity
/ Security Officer /
Analityk w innow...

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Arkadiusz Reiter:
I tak powinno być zorganizowane, sama PB powinna być na wyższym poziomie abstrakcji zawierając niejako same hasła i ogólny zakres bezpieczeństwa informacji. A załączniki czy to w formie załączników czy instrukcji ( tak jak jest u mnie, sama PB jest procedurą) jest sprawą tajną
(nie ma klauzuli na PB)
i zawierają dokładny opis sposobu zabezpieczeń.
Na szczęście nie pracuje w urzędzie tylko w Spółce więc nie mamy obowiązku udostępniać naszej PB bezwzględnie do publicznej wiadomości.

a urzędy mają obowiązek udostępniania polityki bezpieczeństwa??Paweł Gregorczyk edytował(a) ten post dnia 22.02.10 o godzinie 08:11
Link do wypowiedziLink
Arkadiusz Reiter

Arkadiusz Reiter RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

takie dokumenty jak PB są wcielane w życia na podstawie rozporządzenia urzędu a urzędy są zobowiązane prawnie do podania do publicznej wiadomości wszystkich rozporządzeń obowiązujących na danym obszarze terytorialnym...więc jak widać muszą podawać!
Link do wypowiedziLink
Paweł Wołoszyn

Paweł Wołoszyn sysadmin

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Arkadiusz Reiter:
I tak powinno być zorganizowane, sama PB powinna być na wyższym poziomie abstrakcji zawierając niejako same hasła i ogólny zakres bezpieczeństwa informacji. A załączniki czy to w formie załączników czy instrukcji ( tak jak jest u mnie, sama PB jest procedurą) jest sprawą tajną i zawierają dokładny opis sposobu zabezpieczeń.
Na szczęście nie pracuje w urzędzie tylko w Spółce więc nie mamy obowiązku udostępniać naszej PB bezwzględnie do publicznej wiadomości.

W Policji obowiązuje dokładnie ta sama zasada. Choć tutaj sama PB to tak naprawdę zbiór kilku różnych polityk, to jednak napisanych tak, że sam dokument nawet dotyczący ochrony systemów przetwarzania danych niejawnych jest jawny bo nie zawiera informacji mających (ze względu na szczegółowość) wpływ na bezpieczeństwo danego systemu. Elementem wiążącym merytorycznie i technicznie w kwestii bezpieczeństwa jest niejawny załącznik (bądź załączniki) do polityki. Takie podejście ma swoje zalety.

Co do "dzielenia się" polityką bezpieczeństwa to temat jest "śliski". Często dokument taki w niepowołanych rękach może spowodować naruszenie spójności, integralności i poufności danych przetwarzanych w opisywanym systemie. O ile polityka bezpieczeństwa hurtowni zapałek raczej może być przesłana koledze z forum jako przykład nie stanowiąc w jego rękach zagrożenia, o tyle moja polityka bezpieczeństwa obowiązująca w organach ścigania i bezpieczeństwa Państwa mogłaby w niepowołanych rękach wyrządzić szkody niewyobrażalne.

Jeśli chodzi o "know-how" tworzenia takiego dokumentu (bo jak mniemam autor tematu stanął przed takim widmem i stąd pewnie pytanie o przykłady) to tutaj liczy się specyfika firmy w której PB ma obowiązywać. Administracja publiczna ma swój "urok" a z tymi politykami wszelkiej maści często różnie to bywa. Warto pamiętać że taki dokument ma jakąś przyjętą strukturę i powinno się o nim pamiętać o wielu istotnych elementach. Istnieją w tym kraju instytucje takie jak GIODO czy Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego, które dysponują wiedzą lub nawet gotowymi materiałami czy schematami pomocnymi w budowie zgodnych z polskim prawem dokumentów tego typu.
Link do wypowiedziLink

konto usunięte

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

Wszystkim lubiącym utajniać swoje Polityki Bezpieczeństwa
polecam stronę http://nsa.gov a dokładniej
http://www.nsa.gov/ia/guidance/index.shtml

:)

Osobiście nie widzę nic w PB co powinno być w jakikolwiek sposób chronione. Co innego szczegółowa konfiguracja i ustawienia systemu IT (nie mylić z wytycznymi).

P.S. nr 1: co jest takiego tajnego w zapisie PB np. "Organizacja blokuje wszystkie porty na firewall'ach z wyjątkiem autoryzowanych"?
P.S. nr 2: Co do udostępniania PB innym, to przed wyrażeniem zgody na podłączenie zewnętrznego systemu IT do systemu spółki, chciałbym się zapoznać z PB firmy chcącej uzyskać taki dostęp.Kalin Roszczenko edytował(a) ten post dnia 05.03.10 o godzinie 13:03
Link do wypowiedziLink
Marcin P.

Marcin P. informatyk

Temat: Polityka Bezpieczeństwa Informatycznego urzedu - szukam...

W związku z wieloma zapytaniami kierowanymi do mnie na ww. temat podaje dość ciekawy link:

http://wss.pl/Articles/7324/Comments.aspx

Jeżeli ktoś ma nadal jakieś pytania - na PW.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj