GoldenLine
Zaloguj się

konto usunięte

Temat: Polityka bezpieczeństwa informacji

Witam serdecznie,

po raz pierwszy w życiu mam do napisania politykę bezpieczeństwa informacji.

Szczerze mówiąc nie wiem od czego zacząć.
Jak powinna wyglądać.

Potrzebuję pomocy, dobrej rady!!

Pozdrawiam
Agnieszka
Link do wypowiedziLink
Jarosław Malec

Jarosław Malec Właściciel, MEMEX

Temat: Polityka bezpieczeństwa informacji

Trzeba zacząć od rzeczy najprostszej - od inwentaryzacji.

Dalej postępować zgodnie z wytycznymi Roporządzenia MSWiA z 29 kwietnia 2004 r. [w szczególności trzeba uwzględnić zapisy pragrafu 4 i 5).

Polityka bepzieczeństwa zawiera w szczególności:

1)wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2)wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

3)opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

4)sposób przepływu danych pomiędzy poszczególnymi systemami;

5)określenie środków technicznych i organizacyjnych niezbędnych
dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Do tego dochodzą jeszcze procedury (paragraf 5 wspomnianego Rozporządzenia MSWiA)

pozdrawiamJarosław Malec edytował(a) ten post dnia 16.06.08 o godzinie 12:00
Link do wypowiedziLink

konto usunięte

Temat: Polityka bezpieczeństwa informacji

Proponuję również zerknąć na stronę GIODO (http://giodo.gov.pl), gdzie dostępne są wytyczne co do Polityki Bezpieczeństwa i Instrukcji Zarządzania (chodzi o dwa pliki w formacie pdf). Myślę, że mogą być pomocne.

Pozdrawiam
Link do wypowiedziLink
Barbara Pióro

Barbara Pióro ABI, Prezes Zarządu,
Global Information
Security Sp. z o.o.

Temat: Polityka bezpieczeństwa informacji

Można również skorzystać z gotowych wzorców oraz może warto pójść na warsztaty.
Link do wypowiedziLink

konto usunięte

Temat: Polityka bezpieczeństwa informacji

Agnieszka Fajkowska:
Witam serdecznie,

po raz pierwszy w życiu mam do napisania politykę bezpieczeństwa informacji.

Szczerze mówiąc nie wiem od czego zacząć.
Jak powinna wyglądać.

Potrzebuję pomocy, dobrej rady!!

Pozdrawiam
Agnieszka

Sam korzystałem z informacji ze strony GIODO i muszę przyznać że były bardzo pomocne. Myślę że efekt mojej pracy jest całkiem niezły, a również robiłem to po raz pierwszy. Powodzenia.
Link do wypowiedziLink

konto usunięte

Temat: Polityka bezpieczeństwa informacji

Dziękuję bardzo za pomoc!!

Mam nadzieję, że uda mi się ją napisać:)
Link do wypowiedziLink

konto usunięte

Temat: Polityka bezpieczeństwa informacji

Mam jeszcze jedno pytanie.
Jak jest z przesyłaniem danych do USA?
Znalazłam 40 stron decyzji komisji ale to mi nic nie wyjaśniło.
Wiem że jest to państwo trzecie i że ma inny poziom ochrony.
Czy mam jakoś dodatkowo zabezpieczać te dane?
Czy potrzebuję jakiegoś specjalnego pozwolenia?

Czy fakt że przesyłam dane do USA powinien być zawarty w polityce?
Czy powinna to być jakaś inna umowa niż umowa o powierzeniu danych osobowych?

help :)
Link do wypowiedziLink
Barbara Pióro

Barbara Pióro ABI, Prezes Zarządu,
Global Information
Security Sp. z o.o.

Temat: Polityka bezpieczeństwa informacji

Sprawa nie jest taka, prosta wsztysko zależy jaki jest cel przekazania danych i do jakiej firmy.
Co do zasady nie są to umowy powierzenia przetwarzania danych osobowych.
Link do wypowiedziLink
Adam Ł.

Adam Ł. CDO, Scania Polska
S.A.

Temat: Polityka bezpieczeństwa informacji

Troszke w tym temacie, więc nie zakładam nowego tematu:

Poszukuję dobrych i ciekawych warsztatów dotyczących przygotowania do projektu polityki bezpieczeństwa. Czy możecie polecić coś sensownego i stosunkowo niedrogiego?

znalazłem szkolenie takie jak "Projektowanie i implementacja polityki bezpieczeństwa zgodnej z normą PN-ISO/IEC 17799:2007"
http://www.compendium.pl/

może ktoś jest po takim szkoleniu?
Link do wypowiedziLink

konto usunięte

Temat: Polityka bezpieczeństwa informacji

W compendium nie bylem, ale z tego co wiem, to OmniModo ma przygotowac na wrzesien/pazdziernik kurs z pisania dokumentacji. Jak bedzie wygladal, jaka bedzie zawartosc - nie wiem jeszcze :)

No i w ABI/Szkolenia,konferencje,wydazenia masz informacje o kursie we wrzesniu z EagleAuditors - jezeli faktycznie bedize czesc poswiecona pisaniu dokumentaci, to mysle, ze wyjdzie to lepiej niz kurs w Compendium (szkolenie konkretnie pod ustawe i politya konkretnie pod ustawe).Rafał "NOMAD" S. edytował(a) ten post dnia 30.07.08 o godzinie 14:59
Link do wypowiedziLink
Katarzyna Wójtowicz (Tataj)

Katarzyna Wójtowicz
(Tataj) Właściciel
EAGLEauditors

Temat: Polityka bezpieczeństwa informacji

Szczerze mówiąc nie wiem od czego zacząć.
Jak powinna wyglądać.

Potrzebuję pomocy, dobrej rady!!

Najlepiej zacznij od szkolenia. We wrzesniu organizujemy szkolenie pt. „Praktyczne aspekty wdrożenia wymagań ustawy o ochronie danych osobowych” na które serdecznie zapraszam.

W 2-dniowym programie:
- Wprowadzenie do ustawy o ochronie danych osobowych
(zakres stosowania, pojęcia, kompetencje GIODO)
- Obowiązki administratora danych oraz prawa osób których dane dotyczą (zasady przetwarzania danych)
- Obowiązek rejestracyjny (rejestracja zbioru „krok po kroku”)
- Wymagania ustawy w zakresie zabezpieczenia danych, w tym:
• Polityka bezpieczeństwa,
• Instrukcja przetwarzania danych osobowych w SI
- Sankcje za niedopełnienie obowiązków wynikających z ustawy
- Projekt nowelizacji ustawy – główne zmiany
- Szczegółowe omówienie zabezpieczeń niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
W zakresie procedur do Instrukcji zarządzania systemem informatycznym:
• Uprawnienia i uwierzytelnianie,
• Tworzenie kopii zapasowych,
• Przechowywanie nośników,
• Ochrona przed szkodliwym oprogramowaniem,
• Przeglądy i konserwacja systemów i urządzeń,
• Plany zapewnienia ciągłości działania.
- Dokument nadrzędny – „Polityka bezpieczeństwa” przygotowanie dokumentu na podstawie wybranej organizacji (warsztaty w grupach)
- Prezentacja przygotowanego dokumentu – omówienie
- „Instrukcja przetwarzania danych w systemach teleinformatycznych” - przygotowanie dokumentu na podstawie wybranej organizacji (warsztaty w grupach)
- Prezentacja przygotowanego dokumentu – omówienie

Więcej na http://EAGLEauditors.pl
K.
Link do wypowiedziLink
Przemysław B.

Przemysław B. Audytor, trener,
konsultant

Temat: Polityka bezpieczeństwa informacji

Warto zerknąć na szkolenia CIS CERT.

1. Information Security Manager ISO 27001 Data 17-20.10 Warszawa
2. Information Security Auditor ISO 27001 Data 14-16.11 Warszawa
3. Information Security Refresher - Menadżer i Audytor ISO 27001 Data 07-09.12 Ustroń

Pozdrawiam
Przemek
Adam Ł.:
Troszke w tym temacie, więc nie zakładam nowego tematu:

Poszukuję dobrych i ciekawych warsztatów dotyczących przygotowania do projektu polityki bezpieczeństwa. Czy możecie polecić coś sensownego i stosunkowo niedrogiego?

znalazłem szkolenie takie jak "Projektowanie i implementacja polityki bezpieczeństwa zgodnej z normą PN-ISO/IEC 17799:2007"
http://www.compendium.pl/

może ktoś jest po takim szkoleniu?
Link do wypowiedziLink
Adam Ł.

Adam Ł. CDO, Scania Polska
S.A.

Temat: Polityka bezpieczeństwa informacji

Dzięki :P
Przemysław B.:
Warto zerknąć na szkolenia CIS CERT.

1. Information Security Manager ISO 27001 Data 17-20.10 Warszawa
2. Information Security Auditor ISO 27001 Data 14-16.11 Warszawa
3. Information Security Refresher - Menadżer i Audytor ISO 27001 Data 07-09.12 Ustroń

Pozdrawiam
Przemek
Adam Ł.:
Troszke w tym temacie, więc nie zakładam nowego tematu:

Poszukuję dobrych i ciekawych warsztatów dotyczących przygotowania do projektu polityki bezpieczeństwa. Czy możecie polecić coś sensownego i stosunkowo niedrogiego?

znalazłem szkolenie takie jak "Projektowanie i implementacja polityki bezpieczeństwa zgodnej z normą PN-ISO/IEC 17799:2007"
http://www.compendium.pl/

może ktoś jest po takim szkoleniu?
Link do wypowiedziLink
Monika R.

Monika R. Politechnika
Warszawska

Temat: Polityka bezpieczeństwa informacji

Witam,

mam pytanie: w jaki sposób można wycenić projekt Polityki Bezpieczeństwa Informacji?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Polityka bezpieczeństwa informacji

Samej polityki? czy całej dokumentacji i jej wdrożenia?

Czas pracy konsultantów:
w etapie identyfikacji zbiorów (uproszczenie - deneralnie zgromadzenie wszystkich informacji do opracowania dokumentacji DO) i zgromadzeniu informacji o zagrożeniach dla DO.
w etapie opracowania i uzgodnienia dokumentacji ochrony DO (z poziomem informacji o ryzyku dla klienta - uwaga to Klient decyduje).
w etapie wdrożenia.

Plus czas dojazdów.
Plus potencjalne opinie prawne.
Plus potencjalne stanowiska GIODO o które trzeba wystąpić.

Zgromadzenie informacji - na spotkaniu wstępnym, przedofertowym o zakresie działania organizacji (co robi, w jakim zakresie, jakie powiązania międzynarodowe etc). Bo tu wyjdzie też obszar prawny, jaki trzeba ocenić i przejrzeć (np w odniesieniu do podstaw przetwarzania - przepis prawa).
Link do wypowiedziLink
Monika R.

Monika R. Politechnika
Warszawska

Temat: Polityka bezpieczeństwa informacji

całej dokumentacji bez wdrożenia

dziękuję za odpowiedzi :)
Link do wypowiedziLink
Monika R.

Monika R. Politechnika
Warszawska

Temat: Polityka bezpieczeństwa informacji

Jak Państwo oceniają metodykę TISM firmy ENSI?

O metodyce: http://www.ensi.net/bcp/metodyka.html
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Polityka bezpieczeństwa informacji

Bardzo rozbudowana jeśli chodzi o bezpieczeństwo informacji - dla mnie nieco za bardzo. Choć w sumie jedna z pierwszych jaka w ogóle się pojawiła. Kiedyś robiłem przymiarkę do systemu opartego na TISM v 1.4 (2002 rok), ale odstąpiłem z powodu własnie zbyt rozbudowanej struktury i masy rozwiązań. Systemy niestety to żywe byty, nie da się od razu z wysokiego C zacząć. Bo mało kto się połapie, a w biznesie klient nie bardzo chce odrywać ludzi od pracy, tylko po to, żeby się bezpieczeństwem zajmować.

Warto też sięgnąć do ich nieco szerszego opracowania z 2003 roku - TSM (Total Security Management) - poglądowo całkiem ciekawy model. Warto przy tym pamiętać, że twórcy w tym czasie chyba dość mocno w bankach siedzieli.

W jednym i drugim opracowaniu było coś, co mi nie pasowało, ale powiem szczerze to było kilka lat temu i musiałbym odgrzebać.

A i dla pełnego poglądu "otoczenia" bankowego - warto nieco poznać Rekomendację D KNF-u. Też w sumie jest standardem.
http://www.knf.gov.pl/Images/rekomendacja_d_tcm75-8552...
Link do wypowiedziLink

konto usunięte

Temat: Polityka bezpieczeństwa informacji

Czy ktoś wie czy jeśli system do przetwarzania danych osobowy jest autorską aplikacją działającą na serwerach AWS (Amazon) która to firma jest wpisana do Safe Harbor spełnia wymogi stawiane przez ustawę (przynajmniej te techniczne), np.:

§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; - czy taki wykaz jest potrzebny

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; - czy mówimy tu systemie operacyjnym na serwerach, samej aplikacji która te dane przetwarza (co jeśli jest autorska), czy może chodzi o przeglądarkę internetową/klinta ftp etc. już na komputerze osoby przetwarzającej dane (uzyskującej do nich dostęp)

4) sposób przepływu danych pomiędzy poszczególnymi systemami; - co jeśli takiego przepływu nie ma?

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. - tu chodzi mi o środki techniczne, czy Safe Harbor oznacza, że niezbędne zabezpieczenia są już wprowadzone (czy trzeba je wymieniać)

§ 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:

5) sposób, miejsce i okres przechowywania: - co z miejscem jeśli mamy serwery AWS (chmura)

a) elektronicznych nośników informacji zawierających dane osobowe, - co jeśli nie ma?

6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; - firewall?

7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. - co w przypadku chmury (AWS)

Byłbym wdzięczny za jakieś podpowiedzi bo PBI oraz IBI są kompletnie niedostosowane do realiów aplikacji webowych.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Polityka bezpieczeństwa informacji

Beniamin F.:
§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; - czy taki wykaz jest potrzebny
Jest potrzebny - przetwarzanie danych nie kończy się na przechowywaniu ich na serwerach... niezależnie gdzie są.
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; - czy mówimy tu systemie operacyjnym na serwerach, samej aplikacji która te dane przetwarza (co jeśli jest autorska), czy może chodzi o przeglądarkę internetową/klinta ftp etc. już na komputerze osoby przetwarzającej dane (uzyskującej do nich dostęp)
Wszystkie - zaczynając od systemów operacyjnych na serwerach, na których dane są przechowywane (ja jest taka informacja dostępna), aż do programów, w których są dane bezpośrednio przetwarzane... nie jest ważn czy jest to aplikacja autorska czy nie
4) sposób przepływu danych pomiędzy poszczególnymi systemami; - co jeśli takiego przepływu nie ma?
przepływy zawsze są :)
Ot - chociażby to: jeden system to przechowywanie danych a drugi ich "inne przetwarzanie"
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. - tu chodzi mi o środki techniczne, czy Safe Harbor oznacza, że niezbędne zabezpieczenia są już wprowadzone (czy trzeba je wymieniać)
Tu nie chodzi tylko o przechowywanie tych danych. Środki techniczne służące w/w celowi to też na przykład systemy loginów i haseł dostępu do danych czy też sposób ich przetwarzania, sposób szyfrowania itp
§ 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:

5) sposób, miejsce i okres przechowywania: - co z miejscem jeśli mamy serwery AWS (chmura)
To piszecie o serwerach AWS
a) elektronicznych nośników informacji zawierających dane osobowe, - co jeśli nie ma?
Jak nie ma, to nie piszecie
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; - firewall?
Firewall, antywirus itp
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. - co w przypadku chmury (AWS)
Jeszce raz: przetwarzanie to nie tylko przechowywanie. Tu w grę wchodzą również na przykład przeglądy czy serwisowanie sprzętów służących do przetwarzania danych (komputery, ich systemy itp)
Byłbym wdzięczny za jakieś podpowiedzi bo PBI oraz IBI są kompletnie niedostosowane do realiów aplikacji webowych.
Ależ to nie dane dostosowuje się do polityk, tylko polityki do danych. A polityki pisze się "samemu" odnośnie konkretnych danych. Więc jak PBI może być niedostosowana? Jeśli taka jest, to znaczy, że jest zła i trzeba napisać nową.Ten post został edytowany przez Autora dnia 01.09.14 o godzinie 14:35
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Polityka Bezpieczeństwa




Wyślij zaproszenie do
Anuluj