GoldenLine
Zaloguj się
Bartłomiej K.

Bartłomiej K. ..........

Temat: Podręczniki dla audytorów - recenzja książki

Witam Państwa,
Ostatnio przeczytałem książkę "Audyt bezpieczeństwa informacji w praktyce" Tomasza Polaczka i chciałbym zwrócić szczególną uwagę czytelników na duże błędy, które ta książką zawiera. Mianowicie:
-> autor poleca usuwać konto userom, którzy już nie pracują w organizacji.
Nie wolno usuwać kont - ze względu na obowiązujące prawo i na pewne cehcy jak rozliczalność - cecha/atrybut bezpieczeństwa niezbędny w systemach przetwarzających dane osobowe. ...User powinien posiadać unikalny identyfikator w systemie informatycznym, konto należy zablokować!!!.
-> autor poleca używać haseł o długości 6 znaków
W Rozporządzeniu MSWiA przy systemach przetwarzających dane osobowe jest obowiązek używać haseł o długości 8 znaków...to jest trzeci najostrzejszy nakaz, chociaż bezpieczne hasła to 12 znakowe
->kiedy został wykryty incydent należy podjąć działania korygujące, a nie zapobiegawcze czyli prewencyjne inaczej zapobiegawcze...Autor twierdzi, że trzeba podjąć kroki zapobiegawcze...
-> i w końcu SZBI/ISMS buduje się w oparciu o normę PN-EN ISO/IEC 27001.
Nie wspominająć autorowi innych mniejszych potknięć w książce...

Mimo wszystko polecam tą pozycję, bo tych pozycji na temat audytów systemów informacyjnych na naszym rynku jest bardzo nie wiele....Andrzej Kolpak edytował(a) ten post dnia 10.10.11 o godzinie 20:13
Link do wypowiedziLink
Przemysław B.

Przemysław B. Audytor, trener,
konsultant

Temat: Podręczniki dla audytorów - recenzja książki

Ta recenzja nie zachęca do czytania. Błędy, o których piszesz Andrzeju są wyłapywalne dla osób znających temat, reszta uzna to za fakt objawiony i będzie stosowała niepoprawną interpretację wymagań prawnych czy normatywnych.
Link do wypowiedziLink
Przemysław Obuchowski

Przemysław Obuchowski Bezpieczeństwo
Informacji

Temat: Podręczniki dla audytorów - recenzja książki

Warto też zauważyć:

Data wydania: 2006/05

;)
Link do wypowiedziLink
Bartłomiej K.

Bartłomiej K. ..........

Temat: Podręczniki dla audytorów - recenzja książki

Ta książka jest skierowana dla pewnego wąskiego grona (zasobu)ludzkiego zajmującego się audytem w zakresie bezpieczeństwa informacji. Oznacza to nie mniej, nie więcej, że zakres, obszar ramowy książki został ustalony już w tytule. Książkę tą nie kupi typowy Kowalski. Książkę tą nie kupi audytor zajmujący się księgowością. Ta książka jest skierowana dla Nas, czyli ludzi zajmującymi się tą bardzo wąską tematyką bezpieczeństwem informacji.
Dlatego jestem zdania, pomimo pewnych istotnych braków drogi Przemku B., że tą pozycję powinni przeczytać wszyscy którzy zajmują się bezpieczeństwem informacyjnym.
Przemku O., jak było nie było norma 27001 została ogłoszona w 14 X 2005 na podstawie brytyjskiego standardu BS 7799-2, która została opublikowana na początki 2005 roku.
Rozporządzenie MSWiA o którym mówi o liczbie znaków hasła o ile dobrze pamiętam też zostało zatwierdzone (wcześniej były projekty - to dawało wiedzę którędy będziemy szli przez następne lata) w 2005r.
Dlatego też nie rozumiem do czego pijesz..
Istotnym jest fakt, iż Tomasz Polaczek jest z zawodu czynnym audytorem....
który powinien znać uregulowania i ciągle być na bieżąco z przepisami.
Moim skromnym zdaniem tak naprawdę, tylko nieliczni zajmujący się tą tematyka to pasjonaci. Reszta tylko tak twierdzi, że tak jest....Dość że nas jest tak bardzo niewielu, to jeszcze 70% z tej puli to ludzie pracujący w tym zawodzie tylko dla dobrej kasy....Andrzej Kolpak edytował(a) ten post dnia 11.10.11 o godzinie 23:36
Link do wypowiedziLink
Przemysław B.

Przemysław B. Audytor, trener,
konsultant

Temat: Podręczniki dla audytorów - recenzja książki

Mam wrażenie /i obym się nie mylił/ iż po tego typu publikacje sięga coraz więcej osób. Nie tylko pasjonaci. Duża liczba osób zajmujących sią audytem wewnętrznym w JST zaczyna rozszerzać audyty dotychczas głownie okołofinansowe o bezpieczeństwo informacji. Spora część organizacji posiadających wdrożony system zarządzania jakością /nie koniecznie certyfikowany/ prowadzi prace nad wdrożeniem SZBI w swoich jednostkach. Duża część ABIch siega po literaturę szerszą niż UODO. Stąd moja opinia, że osoby zajmujące się zawodowo bezpieczeństwem nie będą miały problemów z wyłapaniem ewentualnych niezgodności. Ale osoby nowe w zagadnieniu nie mają na ich wyłapanie szans. Zgadzam się Andrzeju, że dobrze sie stało iż Tomek opublikował tą książkę. Z drugiej strony Twoja recenzja - bardzo dobra recenzja - nie jest reklamą dla tej publikacji. Pozdrawiam
Link do wypowiedziLink

konto usunięte

Temat: Podręczniki dla audytorów - recenzja książki

Hej Andrzej,

Nie czytałem tej książki ale piszesz: "bezpieczne hasła to 12 znakowe" - żadne hasło nie jest bezpieczne jak i żaden system nie jest w 100% bezpieczny. System przetwarzający informację, jest na tyle bezpieczny, na ile mocny jest jego najsłabszy punkt.

Jeżeli chodzi o długość haseł i czy należy je blokować czy kasować, to według mnie, najlepszą odpowiedzią na to pytanie jest analiza ryzyka oraz stawiane systemowi wymagania. Trzeba brać również pod uwagę pojemność i wydajność systemów przetwarzających dane.

PozdrawiamRobert S. edytował(a) ten post dnia 18.10.11 o godzinie 15:08
Link do wypowiedziLink
Bartłomiej K.

Bartłomiej K. ..........

Temat: Podręczniki dla audytorów - recenzja książki

Wedle strony http://www.freerainbowtables.com przyjmuje się, że hasła 12 znakowe są bezpieczne, ze względu na obecne moce obliczeniowe maszyn. Oczywiście hasło powinno być odpowiednio zbudowane, zawierać znak specjalny etc..
Oczywiście, że żadne hasło ani system nie jest bezpieczne, ale wedle dokonanej analizy ryzyka można przyjąć w polityce, iż znaki 12 znakowe są bezpieczne, w końcu ustawa mówi że przy systemach przet, dane osobowe należy używać 8 znakowych haseł.
Nie wolno kasować kont, należy je blokować tak mówi ustawa, która jest obigatoryjna i dotyczy nas wszystkich w przeciwieństwie do normy, którą jest opcjonalna...
Pół serio, pół żartem
"Komputer jest bezpieczny wówczas kiedy jest wyłączony i zakopany i leży 15 metrów pod ziemią"
Ale czy jest dostępny??

Pzdr
AK

Robert S.:
Hej Andrzej,

Nie czytałem tej książki ale piszesz: "bezpieczne hasła to 12 znakowe" - żadne hasło nie jest bezpieczne jak i żaden system nie jest w 100% bezpieczny. System przetwarzający informację, jest na tyle bezpieczny, na ile mocny jest jego najsłabszy punkt.

Jeżeli chodzi o długość haseł i czy należy je blokować czy kasować, to według mnie, najlepszą odpowiedzią na to pytanie jest analiza ryzyka oraz stawiane systemowi wymagania. Trzeba brać również pod uwagę pojemność i wydajność systemów przetwarzających dane.

PozdrawiamAndrzej Kolpak edytował(a) ten post dnia 21.10.11 o godzinie 22:23
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj