1 / 19

Założenia do ćwiczeń seria 1 do wykładów

Założenia do ćwiczeń seria 1 do wykładów. Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik. Opis działalności firmy (JO).

dacey
Download Presentation

Założenia do ćwiczeń seria 1 do wykładów

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Założenia do ćwiczeń seria 1do wykładów Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik

  2. Opis działalności firmy (JO) JO. z siedzibą w mieście o dużym znaczeniu gospodarczym dla kraju, działa na rynku od 1992 roku. Początek jej działalności to usługi integracyjne w zakresie teleinformatyki oraz przygotowywanie na indywidualne zamówienia Klientów (dużych firm korporacyjnych) specjalistycznego oprogramowania zarządzającego dla kadr, finansów oraz projektami. Od 2002 roku firma zainwestowała w usługi hostingowe i kolokacji. JO. stał się operatorem telekomunikacyjnym obsługującym przede wszystkim klientów biznesowych oraz administrację państwową. Serwerownie znajdują się w na terenie siedziby firmy, ale JO. zainwestowała w budowę i wyposażenie nowych serwerowni ukierunkowanych wyłącznie pod klientów biznesowych, z lokalizacją w dwóch dużych miastach w Polsce. Firma korzysta z infrastruktury czołowych operatorów, ale także posiada i swoje zasoby telekomunikacyjne. JO. sprzedaje swoje usługi na terenie całego kraju. Na kluczowych rynkach firma działa przez swoich partnerów, podpisując z nimi umowy na wyłączność na danym obszarze. W Polsce sprzedaż K prowadzą mobilni handlowcy podlegające bezpośrednio Departamentowi Sprzedaży (DS). W roku obecnym firma podpisała kontrakt na dostarczenie dla resortu obronny narodowej MON, urządzeń kryptograficznych do wynajmowanej serwerowni.

  3. Lokalizacja JO (firmy) • Firma zlokalizowana jest blisko centrum miasta. • Na terenie firmy znajduje się VII piętrowy gł. budynek biurowy, budynek kolokacji, budynek magazynu, serwerownia nr 3 oraz stacja trafo. • Kancelaria tajna wraz z pomieszczeniem do przetwarzania informacji niejawnych w systemach TI znajduje się w zabezpieczonej strefie, na IV piętrze. • Teren jest ogrodzony płotem o konstrukcji betonowo-stalowej z lat 80-stych ubiegłego wieku. Teren jest chroniony przez 4 pracowników agencji ochrony w trybie 24H. • Na teren można wjechać oraz wejść od strony zachodniej oraz północnej poprzez chronione i nadzorowane bramy ze szlabanami oraz chronione przez pracowników agencji ochrony. • Od strony zachodniej obok płotu znajduje centrum handlowe wraz z zapleczem parkingowym • Od strony wschodniej teren firmy otacza zalesiony przy ogrodzeniu park miejski będący miejscem spotkań młodzieży z pobliskiej szkoły zawodowej • Przez park płynie rzeka, która już kilka razy zalewała teren parku i okoliczna drogę. • Około 200m od ogrodzenia od strony południowej zlokalizowana jest stacja benzynowa. • Poprzez ulicę od strony północnej firma sąsiaduje z Ratuszem miejskim, w którym ma siedzibę także biuro poselskie lidera partii rządzącej. • W odległości ok. 2 km na zachód zlokalizowane są nowoczesne biura i apartamenty • W dalszej części znajduje się jednostka straży pożarnej oraz stacja kolejowa.

  4. Infrastruktura techniczna firmy (JO) • Firma inwestuje w rozwój nowoczesnej infrastruktury technicznej. • Budynek główny oraz serwerownie wyposażone są nowoczesną technologię automatyki obiektowej sterującej parametrami środowiska, w tym klimatyzacja, wilgotnością i temperatura niezbędną do pracy ludzi i urządzeń IT. • Wszystkie obiekty firmy podłączone są do sieci LAN. • Firma posiada komunikacyjne wyjścia światłowodowe do transmisji w sieci WAN. • Na stanie firmy znajduje się własna, jak i dzierżawiona oraz klientów (w serwerowniach) nowoczesna infrastruktura IT, w tym szafy, serwery, routery, urządzenia do transmisji itd.. • Każdy pracownik ma dostęp do sieci LAN poprzez stacje komputerowe a pracownicy w terenie oraz handlowcy dodatkowo wyposażeni są w laptopy oraz mobilne urządzenia komunikacyjne umożliwiające pracę zdalną. • Teren i obiekty firmy chronione są systemami alarmowymi, wejścia do pomieszczeń oraz stref wrażliwych nadzorowane są systemem kontroli dostępu oraz nadzorowane systemem telewizji dozorowej CCTV. • Dodatkowo serwerownie chronione są systemem automatycznego gaszenia gazem obojętnym.

  5. Zabezpieczenie elektroniczne strefy bezpieczeństwa – kancelarii tajnej

  6. Objaśnienie symboli

  7. Ćwiczenie nr 1. Inwentaryzacja zasobów informacyjnych, klasyfikacja, określenie zagrożeń, podatności

  8. Polecenia do wykonania w ćwiczeniu nr 1: • Dokonaj inwentaryzacji zasobów (aktywów) lub grupy zasobów informacji niejawnych , wskaż ich właścicieli oraz lokalizację. • Wskaż główne procesy biznesowe firmy oraz przydziel do nich niezbędne zasoby, pamiętając, że jeden zasób może uczestniczyć w kilku procesach. • Oceń ważność procesów i zasobów w nich użytych jako: • Niska (Bez większego na skutki) =1 • Średnia (Normalne, nie zbyt odczuwalne skutki) = 2 • Wysoka (Wrażliwe dla procesu ze względu na skutki) = 3 • B. wysoka (Krytyczne dla procesu ze względu na katastrofalne skutki) - 4 • Wskaż procesy oraz zasoby krytyczne i wrażliwe dla funkcjonowania firmy. • Analiza każdego zagrożenia powinna być oceniana w ujęciu poufności, integralności i dostępności . • Wszystkie analizy przeprowadź stosując zintegrowane tabele analityczne, pozwalające odczytać kolejne fazy zależności.

  9. Ćwiczenie nr 2. zagrożenia i ich ocena (określenie zagrożeń, pomiar ryzyka)

  10. Polecenia do wykonania w ćwiczeniu nr 2: • Proszę wykonać szacowanie ryzyka na podstawie danych opracowanych w ćwiczeniu nr 1. • Przyjąć metodykę szacowania ryzyka – klasyfikację prawdopodobieństwa wystąpienia zagrożenia, skutku i ryzyka; • Określić wartość następstw zmaterializowania się zagrożeń wg tabeli od 0 (b.niskie) do 4 (b.wysokie); • Prawdopodobieństwo urzeczywistnienia się zagrożenia (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4); • Dokonać pomiaru poziomu ryzyka, określając prawdopodobieństwo wystąpienia zagrożenia x nastepstw • Na podstawie analizy ryzyka proszę wskazać krytyczne i wrażliwe procesy.

  11. Określenie poziomów ryzyka

  12. Ćwiczenie nr 3. plan postępowania z ryzykiem

  13. Polecenia do wykonania w ćwiczeniu nr 3: • Na podstawie danych opracowanych w ćwiczeniu nr 2 proszę przygotować plan postępowania z ryzykiem, uwzględniający m.in.: • Określić ranking zagrożeń dla określonych aktywów (zasobów) wg najwyższej wartości • Koncepcję postępowania z ryzykiem na podstawie dokonanego pomiaru ryzyka. • Opisać planowane zadania • Przydzielić zasoby i odpowiedzialności • Przygotować harmonogram realizacji oraz zasady kontroli przebiegu.

  14. Określenie rankingu zagrożeń

  15. Opracowanie planu postępowania z ryzykiem

  16. Harmonogram realizacji postępowania z ryzykiem

  17. Praktyczne Wykonanie ćwiczenia

More Related