Za o enia do wicze seria 1 do wyk ad w
This presentation is the property of its rightful owner.
Sponsored Links
1 / 18

Założenia do ćwiczeń seria 1 do wykładów PowerPoint PPT Presentation


  • 68 Views
  • Uploaded on
  • Presentation posted in: General

Założenia do ćwiczeń seria 1 do wykładów. Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik. Opis działalności firmy (JO).

Download Presentation

Założenia do ćwiczeń seria 1 do wykładów

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Za o enia do wicze seria 1 do wyk ad w

Założenia do ćwiczeń seria 1do wykładów

Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych

dr inż. Andrzej Wójcik


Opis dzia alno ci firmy jo

Opis działalności firmy (JO)

JO. z siedzibą w mieście o dużym znaczeniu gospodarczym dla kraju, działa na rynku od 1992 roku. Początek jej działalności to usługi integracyjne w zakresie teleinformatyki oraz przygotowywanie na indywidualne zamówienia Klientów (dużych firm korporacyjnych) specjalistycznego oprogramowania zarządzającego dla kadr, finansów oraz projektami. Od 2002 roku firma zainwestowała w usługi hostingowe i kolokacji.

JO. stał się operatorem telekomunikacyjnym obsługującym przede wszystkim klientów biznesowych oraz administrację państwową.

Serwerownie znajdują się w na terenie siedziby firmy, ale JO. zainwestowała w budowę i wyposażenie nowych serwerowni ukierunkowanych wyłącznie pod klientów biznesowych, z lokalizacją w dwóch dużych miastach w Polsce.

Firma korzysta z infrastruktury czołowych operatorów, ale także posiada i swoje zasoby telekomunikacyjne.

JO. sprzedaje swoje usługi na terenie całego kraju. Na kluczowych rynkach firma działa przez swoich partnerów, podpisując z nimi umowy na wyłączność na danym obszarze. W Polsce sprzedaż K prowadzą mobilni handlowcy podlegające bezpośrednio Departamentowi Sprzedaży (DS).

W roku obecnym firma podpisała kontrakt na dostarczenie dla resortu obronny narodowej MON, urządzeń kryptograficznych do wynajmowanej serwerowni.


Lokalizacja jo firmy

Lokalizacja JO (firmy)

  • Firma zlokalizowana jest blisko centrum miasta.

  • Na terenie firmy znajduje się VII piętrowy gł. budynek biurowy, budynek kolokacji, budynek magazynu, serwerownia nr 3 oraz stacja trafo.

  • Kancelaria tajna wraz z pomieszczeniem do przetwarzania informacji niejawnych w systemach TI znajduje się w zabezpieczonej strefie, na IV piętrze.

  • Teren jest ogrodzony płotem o konstrukcji betonowo-stalowej z lat 80-stych ubiegłego wieku. Teren jest chroniony przez 4 pracowników agencji ochrony w trybie 24H.

  • Na teren można wjechać oraz wejść od strony zachodniej oraz północnej poprzez chronione i nadzorowane bramy ze szlabanami oraz chronione przez pracowników agencji ochrony.

  • Od strony zachodniej obok płotu znajduje centrum handlowe wraz z zapleczem parkingowym

  • Od strony wschodniej teren firmy otacza zalesiony przy ogrodzeniu park miejski będący miejscem spotkań młodzieży z pobliskiej szkoły zawodowej

  • Przez park płynie rzeka, która już kilka razy zalewała teren parku i okoliczna drogę.

  • Około 200m od ogrodzenia od strony południowej zlokalizowana jest stacja benzynowa.

  • Poprzez ulicę od strony północnej firma sąsiaduje z Ratuszem miejskim, w którym ma siedzibę także biuro poselskie lidera partii rządzącej.

  • W odległości ok. 2 km na zachód zlokalizowane są nowoczesne biura i apartamenty

  • W dalszej części znajduje się jednostka straży pożarnej oraz stacja kolejowa.


Infrastruktura techniczna firmy jo

Infrastruktura techniczna firmy (JO)

  • Firma inwestuje w rozwój nowoczesnej infrastruktury technicznej.

  • Budynek główny oraz serwerownie wyposażone są nowoczesną technologię automatyki obiektowej sterującej parametrami środowiska, w tym klimatyzacja, wilgotnością i temperatura niezbędną do pracy ludzi i urządzeń IT.

  • Wszystkie obiekty firmy podłączone są do sieci LAN.

  • Firma posiada komunikacyjne wyjścia światłowodowe do transmisji w sieci WAN.

  • Na stanie firmy znajduje się własna, jak i dzierżawiona oraz klientów (w serwerowniach) nowoczesna infrastruktura IT, w tym szafy, serwery, routery, urządzenia do transmisji itd..

  • Każdy pracownik ma dostęp do sieci LAN poprzez stacje komputerowe a pracownicy w terenie oraz handlowcy dodatkowo wyposażeni są w laptopy oraz mobilne urządzenia komunikacyjne umożliwiające pracę zdalną.

  • Teren i obiekty firmy chronione są systemami alarmowymi, wejścia do pomieszczeń oraz stref wrażliwych nadzorowane są systemem kontroli dostępu oraz nadzorowane systemem telewizji dozorowej CCTV.

  • Dodatkowo serwerownie chronione są systemem automatycznego gaszenia gazem obojętnym.


Zabezpieczenie elektroniczne strefy bezpiecze stwa kancelarii tajnej

Zabezpieczenie elektroniczne strefy bezpieczeństwa – kancelarii tajnej


Obja nienie symboli

Objaśnienie symboli


Wiczenie nr 1 inwentaryzacja zasob w informacyjnych klasyfikacja okre lenie zagro e podatno ci

Ćwiczenie nr 1. Inwentaryzacja zasobów informacyjnych, klasyfikacja, określenie zagrożeń, podatności


Polecenia do wykonania w wiczeniu nr 1

Polecenia do wykonania w ćwiczeniu nr 1:

  • Dokonaj inwentaryzacji zasobów (aktywów) lub grupy zasobów informacji niejawnych , wskaż ich właścicieli oraz lokalizację.

  • Wskaż główne procesy biznesowe firmy oraz przydziel do nich niezbędne zasoby, pamiętając, że jeden zasób może uczestniczyć w kilku procesach.

  • Oceń ważność procesów i zasobów w nich użytych jako:

    • Niska (Bez większego na skutki) =1

    • Średnia (Normalne, nie zbyt odczuwalne skutki) = 2

    • Wysoka (Wrażliwe dla procesu ze względu na skutki) = 3

    • B. wysoka (Krytyczne dla procesu ze względu na katastrofalne skutki) - 4

  • Wskaż procesy oraz zasoby krytyczne i wrażliwe dla funkcjonowania firmy.

    • Analiza każdego zagrożenia powinna być oceniana w ujęciu poufności, integralności i dostępności .

  • Wszystkie analizy przeprowadź stosując zintegrowane tabele analityczne, pozwalające odczytać kolejne fazy zależności.


Wiczenie nr 2 zagro enia i ich ocena okre lenie zagro e pomiar ryzyka

Ćwiczenie nr 2. zagrożenia i ich ocena (określenie zagrożeń, pomiar ryzyka)


Polecenia do wykonania w wiczeniu nr 2

Polecenia do wykonania w ćwiczeniu nr 2:

  • Proszę wykonać szacowanie ryzyka na podstawie danych opracowanych w ćwiczeniu nr 1.

    • Przyjąć metodykę szacowania ryzyka – klasyfikację prawdopodobieństwa wystąpienia zagrożenia, skutku i ryzyka;

    • Określić wartość następstw zmaterializowania się zagrożeń wg tabeli od 0 (b.niskie) do 4 (b.wysokie);

    • Prawdopodobieństwo urzeczywistnienia się zagrożenia (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4);

    • Dokonać pomiaru poziomu ryzyka, określając prawdopodobieństwo wystąpienia zagrożenia x nastepstw

    • Na podstawie analizy ryzyka proszę wskazać krytyczne i wrażliwe procesy.


Okre lenie poziom w ryzyka

Określenie poziomów ryzyka


Wiczenie nr 3 plan post powania z ryzykiem

Ćwiczenie nr 3. plan postępowania z ryzykiem


Polecenia do wykonania w wiczeniu nr 3

Polecenia do wykonania w ćwiczeniu nr 3:

  • Na podstawie danych opracowanych w ćwiczeniu nr 2 proszę przygotować plan postępowania z ryzykiem, uwzględniający m.in.:

    • Określić ranking zagrożeń dla określonych aktywów (zasobów) wg najwyższej wartości

    • Koncepcję postępowania z ryzykiem na podstawie dokonanego pomiaru ryzyka.

    • Opisać planowane zadania

    • Przydzielić zasoby i odpowiedzialności

    • Przygotować harmonogram realizacji oraz zasady kontroli przebiegu.


Okre lenie rankingu zagro e

Określenie rankingu zagrożeń


Opracowanie planu post powania z ryzykiem

Opracowanie planu postępowania z ryzykiem


Harmonogram realizacji post powania z ryzykiem

Harmonogram realizacji postępowania z ryzykiem


  • Login