Embedded Files
Aktywa:
Aktywa:
wszystko, co ma wartość dla organizacji
• Informacje to aktywa, które podobnie jak inne ważne
aktywa biznesowe, są niezbędne do działalności
biznesowej organizacji i z tego powodu zaleca się ich
odpowiednią ochronę. (Patrz ISO 27002 0.1)
Bezpieczeństwo informacji (ISO 27002 0.1)
Bezpieczeństwo informacji (ISO 27002 0.1)
oznacza jej ochronę
przed szerokim spektrum zagrożeń w celu zapewnienia
• ciągłości działania,
• minimalizacji ryzyka i maksymalizacji zwrotu z inwestycji
• Możliwości biznesowych
Bezpieczeństwo informacji (Patrz 3.4) – zachowanie poufności,
integralności i dostępności informacji; dodatkowo mogą być
brane pod uwagę inne własności takie jak autentyczność,
rozliczalność, niezaprzeczalność, niezawodność.
Atrybuty informacji wg ISO 27001
Atrybuty informacji wg ISO 27001
• Poufność (patrz 3.3) – właściwość polegająca na tym, że
informacja nie jest udostępniana lub wyjawiana
nieupoważnionym osobom, podmiotom lub procesom
• Integralność (patrz 3.8) – właściwość polegająca na
zapewnieniu dokładności i kompletności
• Dostępność (patrz 3.2) – właściwość bycia dostępnym i
użytecznym na żądanie upoważnionego podmiotu
Rozliczalność (ang. accountability) – odpowiedzialność podmiotu za jego
akcje i decyzje
(jedna z podstawowych funkcji bezpieczeństwa zapewniająca, że określone
działanie dowolnego podmiotu może być jednoznacznie przypisane temu
podmiotowi)
W bezpieczeństwie teleinformatycznym funkcja ta jest realizowana najczęściej za pomocą różnych
form rejestrowania zdarzeń (logowania) w połączeniu z
ochroną integralności, niezaprzeczalności oraz autentyczności zapisów w rejestrze.
• Niezaprzeczalność (ang. non-repudiation) – zdolność do udowodnienia, że
wystąpiły deklarowane zdarzenia lub działania oraz, że dany podmiot je
wywołał, w celu rozstrzygnięcia sporu w zakresie wystąpienia lub
niewystąpienia tego zdarzenia lub tej akcji oraz zaangażowania podmiotów
w to zdarzenie.
(brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany
danych przez jeden z podmiotów uczestniczących w tej wymianie).
Zapewnienie niezaprzeczalności wiadomości jest jedną z cech bezpiecznego
podpisu weryfikowanego kwalifikowanym certyfikatem.
• Autentyczność (ang. authenticity) — 1. właściwość, która polega na tym, że
podmiot jest tym za kogo się podaje 2. właściwość polegającą na tym, że
pochodzenie lub zawartość danych opisujących obiekt są takie, jak
deklarowane;
(stan danych w komputerach i sieciach, uzyskiwany za pomocą szyfrowania i
podpisów cyfrowych)
Biznesowe kryteria informacji w/g COBIT 4.1
Biznesowe kryteria informacji w/g COBIT 4.1
• Skuteczność (effectiveness )- to cecha informacji dostarczonej do procesu
biznesowego. Informacja taka musi być odpowiednia i istotna a także
dostarczona na czas, w poprawny, spójny i nadający się do użycia sposób.
• Wydajność (efficiency) opisuje informację dostarczoną poprzez optymalne
(najbardziej produktywne i ekonomiczne) użycie środków
• Poufność (confidentiality) dotyczy ochrony wrażliwej informacji przed
nieautoryzowanym dostępem -
• Integralność (integrity) to cecha jaką posiada informacja kompletna i dokładna,
a także ważna dla wartości i oczekiwań biznesu.
• Dostępność (availability) odnosi się do informacji, która jest dostępna wtedy
gdy proces biznesowy jej potrzebuje lub będzie potrzebował. Dotyczy także
zachowania potrzebnych środków i związanych z nimi zdolności do działania.
• Zgodność (compliance) mówi o zgodności z prawem, regulacjami i
zobowiązaniami kontraktowymi, a także o zgodności z procedurami
wewnętrznymi
• Wiarygodność (reliability) mówi o dostarczaniu odpowiedniej informacji dla
kierownictwa organizacji aby mogło utrzymywać działania bieżące i pełnić
swoją odpowiedzialność powierniczą i zarządczą
PN-ISO/IEC 27005:2010, Dodatek B Identyfikowanie i
wartościowanie aktywów oraz szacowanie skutków
Rodzaje aktywów:
Aktywa podstawowe:
• Procesy i działania biznesowe
• Informacje
Aktywa wspierające:
• Sprzęt
• Oprogramowanie
• Sieć
• Personel
• Siedziba
• Struktura organizacyjna
PN-ISO/IEC 27005:2010, Dodatek B Identyfikowanie i
wartościowanie aktywów oraz szacowanie skutków
Aktywa podstawowe:
• Procesy i działania biznesowe:
Których utrata lub pogorszenia uniemożliwia wypełnianie misji
Zawierające procesy poufne lub wykorzystujące technologię objętą własnością
intelektualną
Które, jeśli zostaną zmodyfikowane mogą wpłynąć na realizację misji
Które są niezbędne do osiągnięcia zgodności z wymaganiami (umowy, przepisy prawa)
• Informacje
Potrzebne do realizacji misji lub działalności biznesowej
Dane osobowe
Strategiczne, wymagane do osiągnięcia celów strategicznych
O dużej wartości, których przetwarzanie (np. pozyskanie, transmitowanie …) wymaga
długiego czasu lub wysokich nakładów
Rodzaje informacji w SZBI
Rodzaje informacji w SZBI
Wewnętrzne – nie powinny dotrzeć do
konkurencji - PID
• Dotyczące klientów, konsumentów,
kontrahentów – nie powinny być ujawnione
gdyż oni tego nie chcą - PID
• Informacje, które muszą być przekazane
innym partnerom handlowym - PID
Page updated
Report abuse