Celem opracowania jest dostarczenie pomocy w trakcie oceny procesów związanych z
zarządzaniem bezpieczeństwem informacji przetwarzanych metodami elektronicznymi.
Niniejsza publikacja została przygotowana w formie pytań (listy kontrolnej), tak by
Czytelnik mógł jednoznacznie stwierdzić, czy w jego systemie występują lub nie
określone zasady ochrony informacji.
Listę kontrolną opracowana została w sposób uniwersalny, dla każdego
przedsiębiorstwa, niezależnie od specyfiki branży, struktur organizacyjnych i jego
wielkości.
Jako podstawę przyjęto model opisany w publikacji Adama Gałacha "Instrukcja
zarządzania bezpieczeństwem systemu informatycznego (wydawnictwo ODDK, Gdańsk 2004).
Ze wstępu odautorskiego...
Wdrożenie i utrzymanie efektywnych zasad zarządzania bezpieczeństwem systemu
informatycznego jest jednym z podstawowych elementów zapewnienia ochrony informacji
przetwarzanych we współczesnym przedsiębiorstwie. Niniejsza
publikacja wspomaga ocenę procesów związanych z zarządzaniem bezpieczeństwem
informacji przetwarzanych metodami elektronicznymi. Jako podstawę przyjęto model opisany
w publikacji Instrukcja zarządzania bezpieczeństwem systemu informatycznego.
Lista kontrolna umieszczona w niniejszej publikacji zawiera 794 pytania
pozwalające na określenie kompletności i spójności procesów zarządzania
bezpieczeństwem w sposób uniwersalny, niezależnie od specyfiki branży, struktur
organizacyjnych i wielkości przedsiębiorstwa. Są to pytania o charakterze zamkniętym,
pozwalające na jednoznaczne stwierdzenie obecności lub braku określonych zasad ochrony
informacji. Szczegóły realizacji tych zasad z reguły są uzależnione od specyfiki
danej organizacji, stąd muszą być analizowane indywidualnie. Odpowiedź na pytania
pozwoli na dokonanie identyfikacji tych elementów zarządzania bezpieczeństwem, które w
przedsiębiorstwie nie
występują, a które być może powinny zostać w nim wdrożone. Wyróżnione zostały
pytania dotyczące zabezpieczeń wdrażanych w przypadku wymogu podwyższonej ochrony
poufności, integralności bądź dostępności informacji.
Wykaz pytań został opracowany w sposób hierarchiczny, pytania podrzędne precyzują
zagadnienie poruszone w pytaniu nadrzędnym.
Wstęp
1. Odpowiedzialność za bezpieczeństwo systemu informatycznego i ochronę przetwarzanych
informacji
2. Polityka bezpieczeństwa informacji
3. Analiza ryzyka
4. Lokalizacja sprzętu informatycznego i bezpieczeństwo fizyczne
5. Klasyfikacja
6. Bezpieczeństwo osobowe
7. Dostęp podmiotów zewnętrznych do systemu informatycznego
8. Outsourcing systemu informatycznego
9. Zarządzanie uprawnieniami użytkowników systemu informatycznego
10. Hasła
11. Generatory haseł jednorazowych
12. Karty mikroprocesorowe
13. Ochrona stanowiska pracy
14. Bezpieczne użytkowanie nośników przenośnych
15. Bezpieczne niszczenie danych
16. Poprawność przetwarzanych informacji
17. Szyfrowanie danych i zarządzanie mechanizmami kryptograficznymi
18. Kopie zapasowe
19. Zabezpieczenie zasilania elektrycznego
20. Komputery przenośne
21. Zdalna praca w systemie informatycznym
22. Wybór podmiotu świadczącego usługi dostępu do Internetu
23. Dostęp użytkowników do Internetu
24. Publikacja informacji w Internecie
25. Poczta elektroniczna
26. Bezpieczne połączenia pomiędzy sieciami informatycznymi
27. Fizyczna separacja sieci informatycznych
28. Ochrona przed niebezpiecznym oprogramowaniem
29. Monitorowanie działania systemu informatycznego
30. Zarządzanie oprogramowaniem
31. Serwis i utrzymanie systemu informatycznego
32. Zarządzanie zmianami
33. Incydenty w zakresie bezpieczeństwa
34. Planowanie ciągłości działania
35. Dostępność procesów przetwarzania informacji
36. Szkolenia w zakresie bezpieczeństwa systemu informatycznego
37. Kontrola bezpieczeństwa systemu informatycznego
A5, 146 stron, miękka oprawa
