Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

System Zarządzania Bezpieczeństwem Informacji zgodny z ISO/IEC 27001 (cz. 4)

Printer Friendly and PDF

lead.jpg Artykuł ten jest ostatnią częścią cyklu poświęconego zarządzaniu bezpieczeństwem informacji zgodnemu z normą ISO/IEC 27001, w której zostanie omówiony jeden z modeli zarządzania bezpieczeństwem systemów informatycznych.

1. Wprowadzenie

Istnieje wiele modeli zarządzania bezpieczeństwem systemów informatycznych. Przykładowo modele zaprezentowane w arkuszu PN-l-13335 dostarczają tych pojęć, które są niezbędne do zrozumienia problematyki zarządzania bezpieczeństwem systemów informatycznych. Opisane zostaną następujące modele:

  • zależności pomiędzy elementami bezpieczeństwa;
  • zależności w zarządzaniu ryzykiem;
  • proces zarządzania bezpieczeństwem systemów informatycznych.

W niniejszej pracy zostało omówione typowe rozwiązanie normatywne, polegające na realizacji zasady ciągłego doskonalenia, czyli realizacji cyklu Deminga, tj. PDCA1 (Plan-Do- Check-Act), co odpowiada rzeczywistemu kierunkowi działań normatywnych w ostatnim okresie, zawartych w normach ISO 9001:2000, BS 7799-2:2002 i ISO/IEC 27001.

2. Wymagania funkcjonalne

Norma ISO/IEC 27001 stosuje model "Planuj – Wykonuj – Sprawdzaj – Działaj" (PDCA), który jest stosowany do całej struktury procesów SZBI (ISMS). Na rysunku 1 przedstawiono ten model oraz pokazano, w jaki sposób ISMS przyjmuje wymagania bezpieczeństwa informacji i oczekiwania zainteresowanych stron jako wartość wejściową, a poprzez niezbędne działania i procesy dostarcza wartości wyjściowych bezpieczeństwa informacji, które spełniają te wymagania i oczekiwania.
Przykładowym wymaganiem może być takie zarządzanie informacją, że naruszenie jej bezpieczeństwa nie doprowadzi do strat finansowych w organizacji.
Natomiast oczekiwanie to na przykład odpowiednio przeszkoleni pracownicy, którzy w przypadku wystąpienia sytuacji kryzysowej ograniczą jej negatywny wpływ na instytucję.

Odpowiednie ustanowienie i zarządzanie ISMS wymaga cyklicznego podejścia, którego celem jest zapewnienie, że procedury przyjęte w danej organizacji są dokumentowane, wdrażane i w razie potrzeby doskonalone.

Przyjęcie modelu PDCA odzwierciedla także zasady określone w zaleceniach OECD, na których opiera się bezpieczeństwo systemów informatycznych i sieci. Niniejsza norma dostarcza pełnego modelu wdrożenia zasad podanych w zaleceniach, na których opiera się szacowanie ryzyka, projektowanie, wdrażanie bezpieczeństwa, zarządzanie bezpieczeństwem i ponowne szacowanie. Wymagania opisane w niniejszej normie są ogólne i przeznaczone do stosowania we wszystkich organizacjach, niezależnie od typu, rozmiaru i natury biznesu.

rys1.gif
Rys. 1. Model PDCA stosowany w procesach systemu zarządzania bezpieczeństwem informacji ISMS (Information Security Management System)
 
tab1.gif
 
Faza planowania

Celem fazy planowania jest ustanowienie polityki bezpieczeństwa oraz procedur dla zarządzania ryzykiem i doskonalenia ISMS. Etap ten ma zapewnić, że system zarządzania bezpieczeństwem informacji został ustanowiony prawidłowo, zidentyfikowano wszystkie rodzaje ryzyka i opracowano odpowiedni plan ich ograniczenia.
Wszelkie czynności podejmowane w ramach fazy planowania powinny być udokumentowane, by istniała możliwość ich odtworzenia i zarządzania wprowadzonymi zmianami.

Norma PN-I-07799-2:2005 nakłada na kierownictwo obowiązek sformułowania polityki bezpieczeństwa, za pomocą której wskazane zostaną cele i zasady postępowania w odniesieniu do bezpieczeństwa informacji. Wytyczne określające zawartość wspomnianej polityki podaje ISO/IEC 17799.

W ramach fazy planowania dokonuje się identyfikacji i szacowania rodzajów ryzyka, na jakie narażone jest organizacja. Działania te powinny być odpowiednio udokumentowane z określeniem narzędzi oraz technik zastosowanych w celu osiągnięcia prawidłowych rezultatów. Należy ustalić akceptowalny poziom ryzyka. W przypadku zidentyfikowania ryzyka o poziomie nieakceptowanym można przyjąć różne warianty postępowania:

  • zaakceptować wykryte ryzyko (działania korygujące są zbyt kosztowne lub niewykonalne ze względu na charakter procesu);
  • wykonać transfer ryzyka;
  • ograniczyć ryzyko do akceptowalnego poziomu.

W normie PN-I-07799-2:2005 zalecane jest tworzenie planu postępowania z ryzykiem, czyli dokumentu wskazującego czynności podjęte dla zredukowania nieakceptowanych poziomów ryzyka i implementacji odpowiednich zabezpieczeń.

Plan postępowania z ryzykiem zawiera:

  • przyjętą metodę postępowania ze zidentyfikowanym ryzykiem;
  • wdrożone zabezpieczenie;
  • w razie potrzeby dodatkowe zabezpieczenie;
  • termin wdrożenia zabezpieczeń;
  • szczegółowy harmonogram pracy i zakresy obowiązków w trakcie implementacji zabezpieczeń, czyli w ramach fazy wykonania.
Faza wykonania

Na etapie wykonania ma miejsce wdrożenie i eksploatacja przyjętej polityki bezpieczeństwa oraz ustalonych zabezpieczeń i procedur. W celu zapewnienia skutecznego funkcjonowania ISMS należy przypisać odpowiednie zasoby (materialne i niematerialne) do implementacji zabezpieczeń oraz wdrożyć program uświadamiania i szkolenia pracowników w zakresie zarządzania ryzykiem i bezpieczeństwem. W zależności od podjętych w trakcie fazy planowania decyzji dotyczących postępowania z ryzykiem należy:

  • nie podejmować żadnych działań dotyczących ryzyka oszacowanego jako akceptowalne;
  • wykonać transfer ryzyka (zawrzeć umowę, ubezpieczyć się, utworzyć spółkę) i upewnić się, że instytucja przejmująca ryzyko będzie zdolna zarządzać nim w sposób efektywny;
  • wdrożyć zabezpieczenia zgodnie z planem postępowania z ryzykiem.

Po ograniczeniu lub przetransferowaniu ryzyka nieakceptowanego może pozostać ryzyko szczątkowe. Wdrożone mechanizmy kontrolne powinny zapewniać natychmiastową identyfikację i zarządzanie również tego rodzaju ryzykiem.

Faza sprawdzania

W fazie sprawdzania realizowany jest pomiar lub szacowanie wykonania procedur i wymogów polityki bezpieczeństwa. Działania sprawdzające mają poświadczyć, że wdrożone zabezpieczenia funkcjonują efektywnie i zgodnie z zamierzeniami, a ISMS pozostaje skuteczny. Jeśli mechanizmy zabezpieczające okażą się nieodpowiednie, należy podjąć działania naprawcze. Celem czynności korygujących jest utrzymanie spójności dokumentacji ISMS i niedopuszczenie do narażania instytucji na nieakceptowane ryzyko.

Faza sprawdzania powinna obejmować też opis procedur zarządzania i eksploatacji zabezpieczeń w ISMS oraz bieżącego przeglądu ryzyka z uwzględnieniem zmieniających się technologii, zagrożeń, podatności i wymagań biznesowych.

W zależności od rozważanego modelu PDCA w ramach fazy sprawdzania można wykorzystać następujące techniki testowania:

  1. Rutynowe sprawdzanie – procedury wykonywane regularnie w ramach procesu biznesowego, które pozwalają wykryć nieprawidłowości będące wynikiem przetwarzania.
  2. Samokontrolujące procedury – narzędzie umożliwiające natychmiastowe wykrycie każdego błędu pojawiającego się w trakcie wykonywania jakiegoś procesu (np. narzędzie monitorujące sieć, które powoduje uruchomienie alarmu w momencie wystąpienia defektu).
  3. Uczenie się od innych – zbadanie, jak inne instytucje radzą sobie z określonymi problemami dotyczącymi oprogramowania technicznego i działań zarządczych.
  4. Wewnętrzne audyty ISMS – działania wykonywane regularnie (przynajmniej raz w roku) w celu określenia poprawności funkcjonowania ISMS. Materiał dowodowy powinien potwierdzać, że:
    polityka bezpieczeństwa jest nadal aktualna i spełnia wymagania biznesowe;
    metodyka zarządzania ryzykiem jest odpowiednia;
    • udokumentowane procedury dotyczące ISMS spełniają zamierzone cele i są przestrzegane;
    • zabezpieczenia techniczne (np. zapory, zabezpieczenia dostępu fizycznego) są poprawnie zaimplementowane, skonfigurowane i działają zgodnie z zamierzeniami;
    • ryzyka szczątkowe są odpowiednio oszacowane i akceptowalne dla kierownictwa organizacji;
    • rekomendacje wynikające z poprzednich audytów zostały zrealizowane;
    • ISMS jest zgodny z PN-I-07799-2:2005.
    Audyty są realizowane z wykorzystaniem odpowiednio dobranej próby aktualnych zapisów i dokumentów oraz wywiadów z zaangażowanym w badany proces kierownictwem i personelem.
  5. Przeglądy wykonane przez kierownictwo – celem tych działań jest sprawdzenie efektywności działania ISMS, zidentyfikowanie elementów wymagających udoskonalenia i podjęcie odpowiednich prac korygujących.
  6. Analiza trendów – działania prowadzone regularnie, wskazujące obszary wymagające ulepszeń.
Faza działania

Celem fazy działania jest podjęcie odpowiednich czynności naprawczych oraz zapobiegawczych na podstawie wniosków kierownictwa wyciągniętych z przeprowadzonych w poprzedniej fazie testów. Wszystkie te działania mają prowadzić do ciągłego doskonalenia ISMS.

Według PN-l-07799-2:2005 zaleca się podejmowanie działań korygujących (lub reaktywnych) w celu eliminowania przyczyny niezgodności lub innych niepożądanych sytuacji i zapobiegania ich powtórzeniu.

Zaleca się podejmowanie działań naprawczych (lub prewencyjnych) w celu eliminowania przyczyny potencjalnych niezgodności lub innych niepożądanych sytuacji.

3. Cele stosowania zabezpieczeń i zabezpieczenia wg ISO/IEC 27001

Model Systemy Zarządzania Bezpieczeństwem Informacji został oparty o zdefiniowane w normie cele stosowania zabezpieczeń i zabezpieczenia i zawiera opisane poniżej zabezpieczane obszary działania organizacji.

  1. Polityka bezpieczeństwa
    • Polityka bezpieczeństwa informacji
      Cel: sprawienie, by kierownictwo wspierało bezpieczeństwo informacji i kierowało nim zgodnie z wymaganiami biznesowymi i właściwymi przepisami prawa oraz regulacjami wewnętrznymi
  2. Organizacja bezpieczeństwa informacji
    • Organizacja wewnętrzna
      Cel: zarządzanie bezpieczeństwem informacji w organizacji
    • Strony zewnętrzne
      Cel: utrzymanie bezpieczeństwa informacji należących do organizacji oraz środków przetwarzania informacji, do których mają dostęp, za pomocą których przetwarzają, komunikują się lub którymi zarządzają strony zewnętrzne
  3. Zarządzanie aktywami
    • Odpowiedzialność za aktywa
      Cel: osiągnięcie i utrzymanie odpowiedniego poziomu ochrony aktywów organizacji
    • Klasyfikacja informacji
      Cel: sprawienie, by informacje uzyskały ochronę na odpowiednim poziomie
  4. Bezpieczeństwo zasobów ludzkich
    • Przed zatrudnieniem
      Cel: sprawienie, by pracownicy, wykonawcy oraz użytkownicy reprezentujący stronę trzecią rozumieli swoje obowiązki, byli odpowiedni do wyznaczonych im ról; zredukowanie ryzyka kradzieży, naruszenia i niewłaściwego korzystania z urządzeń
    • Podczas zatrudnienia
      Cel: sprawienie, by pracownicy, wykonawcy oraz użytkownicy reprezentujący stronę trzecią byli świadomi zagrożeń i innych aspektów bezpieczeństwa informacji, swoich obowiązków i odpowiedzialności prawnej oraz byli wyposażeni podczas swej normalnej pracy w środki wspomagające politykę bezpieczeństwa organizacji oraz minimalizujące ryzyko błędów ludzkich
    • Zakończenie lub zmiana zatrudnienia
      Cel: sprawienie, by pracownicy, wykonawcy i użytkownicy reprezentujący stronę trzecią odeszli z organizacji lub zmienili stanowisko w sposób zorganizowany
  5. Bezpieczeństwo fizyczne i środowiskowe
    • Obszary bezpieczne
      Cel: zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami w siedzibie organizacji oraz w odniesieniu do informacji
    • Bezpieczeństwo sprzętu
      Cel: zapobieganie utracie, uszkodzeniu, kradzieży lub naruszeniu aktywów oraz przerwaniu działalności organizacji
  6. Zarządzanie systemami i sieciami
    • Procedury eksploatacyjne i zakresy odpowiedzialności
      Cel: zapewnienie prawidłowej i bezpiecznej eksploatacji środków przetwarzania informacji
    • Zarządzanie usługami dostarczanymi przez strony trzecie
      Cel: wdrożenie i utrzymanie odpowiedniego poziomu bezpieczeństwa informacji i dostaw usług zgodnie z umowami serwisowymi zawartymi ze stronami trzecimi
    • Planowanie i odbiór systemów
      Cel: minimalizowanie ryzyka awarii systemów
    • Ochrona przed kodem złośliwym i kodem mobilnym
      Cel: ochrona integralności informacji i oprogramowania
    • Kopie zapasowe
      Cel: zapewnienie integralności i dostępności informacji oraz środków przetwarzania informacji
    • Zarządzanie bezpieczeństwem sieci
      Cel: zapewnienie ochrony informacji w sieciach oraz ochrony infrastruktury wspomagającej
    • Obsługa nośników
      Cel: zapobieganie nieautoryzowanemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu aktywów oraz przerwom w działalności biznesowej
    • Wymiana informacji
      Cel: utrzymanie bezpieczeństwa informacji i oprogramowania wymienianego wewnątrz organizacji oraz z każdym podmiotem zewnętrznym
    • Usługi handlu elektronicznego
      Cel: zapewnienie bezpieczeństwa usług handlu elektronicznego oraz ich bezpiecznego używania
    • Monitorowanie
      Cel: wykrywanie nieautoryzowanych działań związanych z przetwarzaniem informacji
  7. Kontrola dostępu
    • Wymagania biznesowe wobec kontroli dostępu
      Cel: kontrolowanie dostępu do informacji
    • Zarządzanie dostępem użytkowników
      Cel: zapewnienie dostępu autoryzowanym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów informacyjnych
    • Odpowiedzialność użytkowników
      Cel: zapobieganie nieautoryzowanemu dostępowi użytkowników oraz naruszeniu bezpieczeństwa lub kradzieży informacji i środków przetwarzania informacji
    • Kontrola dostępu do sieci
      Cel: ochrona usług sieciowych przed nieautoryzowanym dostępem
    • Kontrola dostępu do systemów operacyjnych
      Cel: ochrona przed nieuprawnionym dostępem do systemów operacyjnych
    • Kontrola dostępu do aplikacji
      Cel: ochrona przed nieautoryzowanym dostępem do informacji przechowywanych w aplikacjach
    • Przetwarzanie mobilne i praca na odległość
      Cel: zapewnienie bezpieczeństwa informacji przy przetwarzaniu mobilnym i pracy na odległość
  8. Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych
    • Wymagania bezpieczeństwa systemów informacyjnych
      Cel: sprawienie, by bezpieczeństwo było integralną częścią systemów informacyjnych
    • Poprawne przetwarzanie w aplikacjach
      Cel: ochrona przed błędami, utratą, nieuprawnioną modyfikacją lub nadużyciem informacji w aplikacjach
    • Zabezpieczenia kryptograficzne
      Cel: ochrona poufności, autentyczności i integralności informacji poprzez mechanizmy kryptograficzne
    • Bezpieczeństwo plików systemowych
      Cel: zapewnienie bezpieczeństwa plików systemowych
    • Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej
      Cel: utrzymywanie bezpieczeństwa informacji oraz oprogramowania aplikacyjnego
    • Zarządzanie podatnościami technicznymi
      Cel: redukcja ryzyk wynikających z wykorzystania - opublikowanych podatności technicznych
  9. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
    • Zgłaszanie słabości i zdarzeń związanych z bezpieczeństwem informacji
      Cel: sprawienie, by zdarzenia związane z bezpieczeństwem informacji oraz słabości związane z systemami informatycznymi były zgłaszane w sposób umożliwiający szybkie podjęcie działań korygujących
    • Zarządzanie incydentami związanymi z bezpieczeństwem informacji i udoskonalenia
      Cel: sprawienie, by stosowane było spójne i efektywne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji
  10. Zarządzanie ciągłością działania
    • Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
      Cel: przeciwdziałanie przerwom w działalności biznesowej oraz ochrona krytycznych procesów biznesowych przed rozległymi awariami systemów informacyjnych lub katastrofami, a także zapewnienie wznowienia działalności w wymaganym czasie
  11. Zgodność
    • Zgodność z przepisami prawnymi
      Cel: unikanie naruszania jakichkolwiek przepisów prawa, zobowiązań wynikających z ustaw, regulacji wewnętrznych lub umów oraz jakichkolwiek wymagań bezpieczeństwa
    • Zgodność z politykami bezpieczeństwa i normami oraz zgodność techniczna
      Cel: zapewnianie zgodności systemów z normami i politykami bezpieczeństwa organizacji
    • Rozwiązania dotyczące audytu systemów informacyjnych
      Cel: maksymalizowanie efektywności procesu audytu systemu informacyjnego i minimalizowanie zakłóceń z niego wynikających lub na niego wpływających

4. Uwagi końcowe

Zarządzanie bezpieczeństwem informacji jest zjawiskiem stosunkowo nowym na rynku polskim, w przeciwieństwie do sytuacji w krajach rozwiniętych, i często niewłaściwie rozpoznanym oraz interpretowanym przez kierownictwo lub personel działów informatycznych organizacji. Systemy zarządzania bezpieczeństwem są coraz bardziej skomplikowane, a proces ich opracowania jest coraz bardziej kosztowny.

Znaczenia nabiera problem oceny jakości samych systemów, ale także prawidłowości procesu ich opracowania i wdrażania.
Celem artykułu jest wskazanie prawidłowego podejścia do zagadnienia zarządzania bezpieczeństwem informacji poprzez wykorzystanie mniej znanej, ale silnie umocowanej normatywnie metodyki opartej na ISO/IEC 27001.

Ze względu na ograniczony zakres opracowania przedstawiono jedynie podstawowe wytyczne dotyczące wdrożenia i utrzymania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Jak do tej pory brakuje wyczerpujących opisów dotyczących wdrażania systemów zarządzania bezpieczeństwem informacji. Istniejące modele systemów zarządzania dedykowane są wybranym podsystemom działania lub określonemu obszarowi funkcjonowania organizacji.
Sposoby wdrażania modelowych systemów zarządzania bezpieczeństwem działania nie są jeszcze w pełni ujednolicone (choć istnieje już w tej dziedzinie kilka uznanych standardów, np. omawiany w pracy ISO/IEC 27001).

Porównanie najważniejszych standardów wskazuje na dużą spójność prezentowanych przez różne organizacje podejść do problematyki zarządzania bezpieczeństwem, a także na zgodność zalecanych praktyk i procedur.

Ważnym problemem w SZBI jest prowadzenie audytów systemów informatycznych.

Do chwili obecnej nie ma w pełni ustandaryzowanej metodyki prowadzenia prac i dochodzenia do finalnych ocen audytu – w tym zakresie punktem odniesienia pozostają jedynie dobre praktyki.

Innym z błędów w procesach zarządzania jest skupienie się na obszarze podsystemu IT.

Obserwowany jest także brak elementów optymalizacji kosztów działania w obszarze bezpieczeństwa. Jednocześnie wzrasta zainteresowanie tym standardem, co zostało zaprezentowane na wykresie 1.

wyk1.gif
Wykres 1. Zrealizowane certyfikaty ISO/IEC w Polsce (stan na październik 2008 r.)

 

Na wykresie 2 przedstawiono z kolei rozkład uzyskanych certyfikatów wg branż. Z wykresu wynika, że nowe technologie i usługi są branżami wiodącymi w certyfikacji. Niespodzianką jest wzrost zainteresowania certyfikacją w administracji.

wyk2.gif
Wykres 2. Rozkład uzyskanych certyfikatów wg branż

5. Podsumowanie

W artykule przedstawione zostało zastosowanie wytycznych do podsystemu informatycznego organizacji, ale zgodnie z intencją normy nie ma ograniczeń branżowych i można ją stosować we wszystkich organizacjach. System Zarządzania Bezpieczeństwem Informacji, wdrożony zgodnie z ISO/ IEC 27001 w dowolnej organizacji, ma charakter uniwersalny. Zawarte w metodyce zasady są otwarte i można je uzu- pełnić o inne specjalistyczne wymagania i zabezpieczenia, adekwatne do prowadzonej przez organizację działalności. Przykładem tego może być uzupełnienie wymagań w zakresie zabezpieczenia przed ulotem elektromagnetycznym urządzeń i systemów teleinformatycznych przetwarzających informacje.

W artykule przedstawiono uznane standardy zarządzania bezpieczeństwem informacji oraz uregulowania prawne i wytyczne branżowe.
Na przykładzie modelu PDCA wskazane zostały zasady wykorzystania właściwych metodyk i standardów do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji, obejmujących wszystkie fazy wykorzystywane w procesach SZBI.

Interdyscyplinarny charakter zarządzania bezpieczeństwem informacji wymaga od specjalistów zajmujących się tym zagadnieniem rozległej wiedzy z różnych dziedzin zarządzania, informatyki, prawa, kryminalistyki, inżynierii systemów, psychologii itd. Jednocześnie wszystkie obszary wiedzy nie mogą funkcjonować w oderwaniu od siebie, muszą tworzyć jednolity, synergetyczny System Zarządzania Bezpieczeństwem Informacji. Koordynacją działań powinni zajmować się w organizacji specjalnie do tego powołani menedżerowie ds. bezpieczeństwa.

Należy wyrazić nadzieję, że zakres zagadnień przedstawionych w opracowaniu spotka się z akceptacją i pozwoli przybliżyć szerszemu kręgowi odbiorców problematykę zarządzania bezpieczeństwem informacji w organizacjach, a także pozwoli osobom zainteresowanym kontynuować poznawanie przedstawionych zagadnień w innych ujęciach tematycznych. Wszyscy zainteresowani zgłębieniem opisanych zagadnień mogą skorzystać ze specjalistycznej literatury i opisów zawartych w Internecie.
Poniżej przedstawiono wybór pozycji i źródła informacji na ten temat.

Literatura

  1. Marian Molski, Małgorzata Łacheta, Przewodnik audytora systemów informatycznych, Helion 2007.
  2. Andrzej Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WN-T 2006.
  3. Ross Anderson, Inżynieria zabezpieczeń, WNT 2005.
  4. Kevin Lam i inni, Ocena bezpieczeństwa sieciowego, Microsoft 2005.
  5. Eric Cole i inni, Bezpieczeństwo sieci, Helion 2005.
  6. Krzysztof Czerwiński, Audyt wewnętrzny, InfoAudit 2005.
  7. Edward Yourdon, Wojny na bity, WNT 2004.
  8. Krzysztof Liderman, Podręcznik administratora bezpieczeństwa teleinformatycznego, Mikom 2003.
  9. Krzysztof Liderman, Bezpieczeństwo teleinformatyczne, WSISiZ 2003.
  10. Marian Molski, Sebastian Opala, Elementarz bezpieczeństwa systemów informatycznych, Mikom 2002.
  11. Donald L. Pipkin, Bezpieczeństwo informacji, WNT 2002.
  12. Dorothy E. Denning, Wojna informacyjna i bezpieczeństwo informacji, WNT 2002.
  13. Eric Maiwald, Bezpieczeństwo w sieci. Kurs podstawowy, 2000, 2001.
  14. Tadeusz Kifner, Polityka bezpieczeństwa i ochrony informacji, Helion 1999.

Normy i standardy

  1. PN ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji. Wymagania.
  2. PN ISO/IEC 17799:2005 Praktyczne zasady zarządzania bezpieczeństwem informacji.
  3. PN ISO/IEC 15408-1:2001 Kryteria oceny zabezpieczenia systemów. Model ogólny oceny zabezpieczenia systemów.
  4. PN ISO/IEC 15408-3:2002 Kryteria oceny zabezpieczenia systemów. Wymagania uzasadnienia pewności.
  5. PN ISO/IEC 17799:2003 Praktyczne zasady zarządzania bezpieczeństwem informacji.
  6. PN-I-13335-1:1998 Wytyczne do zarządzania bezpieczeństwem systemów informacyjnych – Pojęcia i modele bezpieczeństwa systemów informatycznych.

Strony internetowe

Referaty

  • Prezentacja – Janusz Cendrowski, Krajowa Konferencja Zastosowań Kryptografii Enigma, 2005 r.
  • Prezentacja – Marek Blim, Ochrona informacji, 2006 r.
  • Prezentacja – Andrzej Wójcik, Polityka bezpieczeństwa. Wybrane zagadnienia, 2006 r.

dr inż. Andrzej Wójcik

Zabezpieczenia 6/2008

1) PDCA – z ang. Plan-Do-Check-Act (Planuj – Wykonuj – Sprawdzaj – Działaj)

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony