Zapewnienie bezpieczeństwa – tym hasłem kierował się Transcend przy wprowadzaniu na rynek nowej pamięci flash. JetFlash 200 szyfrowany jest 256-biotwym kluczem AES, a nad wszystkimi funkcjami czuwa dołączone do pendrive’a oprogramowanie SecureDrive.

Informacje w organizacji są zapisane i przechowywane w wersji papierowej, na nośnikach magnetycznych, płytach CD, przenośnych pamięciach. Cenne informacje przesyłamy, przekazujemy w postaci prezentacji, zdjęć i przekazujemy ustnie. Szacuje się, że ok. 30 % informacji organizacji przechowywanych jest na nośnikach papierowych, 30-40% pozostaje w umysłach pracowników, ok. 30-40% na nośnikach elektronicznych.

Wiele z tych danych to dane bardzo istotne, które masz szansę stracić bezpowrotnie !!!

System zarządzania bezpieczeństwem informacji:

• ma za zadanie zapewnić dostęp informacji, tylko tym osobom, które mają uprawnienia w zakresie zgodnym z potrzebami,
• ma chronić przed utratą informacji lub dostępem do niej przez niepowołane osoby,
• ma wprowadzać porządek i opisywać działania operacyjne firmy, by utrwalić dobre praktyki wśród pracowników.

System zarządzania bezpieczeństwem informacji to również sposób na utrzymanie informacji dokładnych, wiarygodnych i kompletnych poprzez zapobieganie celowemu lub przypadkowemu zniszczeniu lub ich zafałszowaniu.

Normą zawierającą wytyczne dotyczące systemu zarządzania jest ISO 27001 – systemy zarządzania bezpieczeństwem informacji-część 2: specyfikacja i wytyczne stosowania. Mówi ona o tym jak należy zaprojektować system zarządzania bezpieczeństwem informacji i jak go utrzymać aby stale odpowiadał szybko zmiennym warunkom otoczenia. W tej normie określono wymagania dotyczące ustanawiania wdrażania, eksploatacji, śledzenia (monitorowania), przeglądów oraz utrzymywania i doskonalenia udokumentowanego SZBI. Na zgodność z tą normą organizacja może certyfikować swój system zarządzania bezpieczeństwem informacji.

Przedsiębiorstwa, które zamierzają wdrożyć i certyfikować SZBI muszą przejść etapy związanie z określeniem zakresu samego systemu, oszacować wartości występujące w firmie, określić politykę bezpieczeństwa i systematycznego podejścia do szacowania ryzyk.

Analiza ryzyka powinna hierarchizować, które informacje są najważniejsze dla ciągłości działania firmy, gdzie się znajdują (na których nośnikach) i co im zagraża ale także na bieżąco monitorować, jak zmienia się ich bezpieczeństwo. Wdrażanie systemu bezpieczeństwa informacji często uświadamia organizacji jakie mogą być skutki utraty pewnych ważnych informacji, dlatego należy określić straty biznesowe i skutki naruszenia ich bezpieczeństwa a następnie określić warianty postępowania z zagrożeniami. Analiza ryzyka powinna być przeprowadzona przy jak największym udziale pracowników organizacji. Ponieważ jest to ogrom pracy zachęcamy do wsparcia prac specjalistycznym oprogramowaniem do analizy ryzyka.

Częstym błędem przy budowie systemu zarządzania bezpieczeństwem informacji jest skupianie się na zabezpieczeniach sieci i systemów, które i tak są z reguły bardzo dobrze utrzymane. Należy zdać sobie sprawę, iż dla organizacji bardzo istotne są również:

• Bezpieczeństwo fizyczne, które oznacza wyznaczenie granic obszarów bezpiecznych, zabezpieczenie wejścia do ważnych pomieszczeń, ochronę przed zagrożeniami zewnętrznymi i środowiskowymi oraz określenie zasad postępowania w obszarach bezpiecznych i dostępu publicznego np. przy dostawach i załadunkach.
• Zabezpieczenia sprzętu tj.: rozmieszczenie sprzętu i jego ochrona, zasilanie, bezpieczeństwo okablowania, konserwacja sprzętu, zabezpieczenie sprzętu poza siedzibą firmy, bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia, wynoszenie mienia.
• Bezpieczeństwo logiczne czyli zarządzania dostarczeniem usług przez strony trzecie: system obejmuje dostarczanie usług, wprowadza monitorowanie i przegląd usług które organizacja zleca do wykonania podwykonawcom i również zarządza zmianami w usługach stron trzecich.

Zachęcam do zadawania pytań Waldemar Gełzakowski – w.gelzakowski@centrum-doskonalenia.pl.

źródło: Krótko o bezpieczeństwie informacji

Informacje w organizacji są zapisane i przechowywane w wersji papierowej, na nośnikach magnetycznych, płytach CD, przenośnych pamięciach. Cenne informacje przesyłamy, przekazujemy w postaci prezentacji, zdjęć i przekazujemy ustnie. Szacuje się, że ok. 30 % informacji organizacji przechowywanych jest na nośnikach papierowych, 30-40% pozostaje w umysłach pracowników, ok. 30-40% na nośnikach elektronicznych.

Wiele z tych danych to dane bardzo istotne, które masz szansę stracić bezpowrotnie !!!

System zarządzania bezpieczeństwem informacji:

• ma za zadanie zapewnić dostęp informacji, tylko tym osobom, które mają uprawnienia w zakresie zgodnym z potrzebami,
• ma chronić przed utratą informacji lub dostępem do niej przez niepowołane osoby,
• ma wprowadzać porządek i opisywać działania operacyjne firmy, by utrwalić dobre praktyki wśród pracowników.

System zarządzania bezpieczeństwem informacji to również sposób na utrzymanie informacji dokładnych, wiarygodnych i kompletnych poprzez zapobieganie celowemu lub przypadkowemu zniszczeniu lub ich zafałszowaniu.

Normą zawierającą wytyczne dotyczące systemu zarządzania jest ISO 27001 – systemy zarządzania bezpieczeństwem informacji-część 2: specyfikacja i wytyczne stosowania. Mówi ona o tym jak należy zaprojektować system zarządzania bezpieczeństwem informacji i jak go utrzymać aby stale odpowiadał szybko zmiennym warunkom otoczenia. W tej normie określono wymagania dotyczące ustanawiania wdrażania, eksploatacji, śledzenia (monitorowania), przeglądów oraz utrzymywania i doskonalenia udokumentowanego SZBI. Na zgodność z tą normą organizacja może certyfikować swój system zarządzania bezpieczeństwem informacji.

Przedsiębiorstwa, które zamierzają wdrożyć i certyfikować SZBI muszą przejść etapy związanie z określeniem zakresu samego systemu, oszacować wartości występujące w firmie, określić politykę bezpieczeństwa i systematycznego podejścia do szacowania ryzyk.

Analiza ryzyka powinna hierarchizować, które informacje są najważniejsze dla ciągłości działania firmy, gdzie się znajdują (na których nośnikach) i co im zagraża ale także na bieżąco monitorować, jak zmienia się ich bezpieczeństwo. Wdrażanie systemu bezpieczeństwa informacji często uświadamia organizacji jakie mogą być skutki utraty pewnych ważnych informacji, dlatego należy określić straty biznesowe i skutki naruszenia ich bezpieczeństwa a następnie określić warianty postępowania z zagrożeniami. Analiza ryzyka powinna być przeprowadzona przy jak największym udziale pracowników organizacji. Ponieważ jest to ogrom pracy zachęcamy do wsparcia prac specjalistycznym oprogramowaniem do analizy ryzyka.

Częstym błędem przy budowie systemu zarządzania bezpieczeństwem informacji jest skupianie się na zabezpieczeniach sieci i systemów, które i tak są z reguły bardzo dobrze utrzymane. Należy zdać sobie sprawę, iż dla organizacji bardzo istotne są również:

• Bezpieczeństwo fizyczne, które oznacza wyznaczenie granic obszarów bezpiecznych, zabezpieczenie wejścia do ważnych pomieszczeń, ochronę przed zagrożeniami zewnętrznymi i środowiskowymi oraz określenie zasad postępowania w obszarach bezpiecznych i dostępu publicznego np. przy dostawach i załadunkach.
• Zabezpieczenia sprzętu tj.: rozmieszczenie sprzętu i jego ochrona, zasilanie, bezpieczeństwo okablowania, konserwacja sprzętu, zabezpieczenie sprzętu poza siedzibą firmy, bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia, wynoszenie mienia.
• Bezpieczeństwo logiczne czyli zarządzania dostarczeniem usług przez strony trzecie: system obejmuje dostarczanie usług, wprowadza monitorowanie i przegląd usług które organizacja zleca do wykonania podwykonawcom i również zarządza zmianami w usługach stron trzecich.

Zachęcam do zadawania pytań Waldemar Gełzakowski – w.gelzakowski@centrum-doskonalenia.pl.

źródło: Krótko o bezpieczeństwie informacji

Sophos opublikował półroczny raport zagrożeń dla bezpieczeństwa, ujawniając wyniki badania postaw wobec cyberwojen oraz pozostałe trendy bezpieczeństwa IT w pierwszej połowie 2010 roku.

Luki w bezpieczeństwie przeglądarek Internet Explorer i Safari znów stanowią zagrożenie wśród internautów. Dziury pozostawały nieusunięte nawet pomimo faktu, że czołowi producenci byli świadomi ich istnienia przez miesiące, jeśli nie lata.

Zestaw dodatków Web Application Security Penetration Testing, która ułatwia wynajdywanie luk bezpieczeństwa w aplikacjach webowych, sam ma lukę bezpieczeństwa. A konkretniej backdoora.

Kilku specjalistów ds. bezpieczeństwa, którzy zdecydowali się nie ujawniać nazwisk, opublikowało znalezioną przez siebie usterkę w systemach Windows i sposób na jej wykorzystanie. Jak twierdzą, to zemsta za złe potraktowanie ich kolegi.