Krzysztof Maćkowiak

Imie:
Krzysztof

Nazwisko:
Maćkowiak
Informacje o prelegencie:
Ukończył studia informatyczne na Wydziale Informatyki i Zarządzania Politechniki Poznańskiej. Od kilku lat interesuje się tematyką ochrony danych a w szczególności kryptologią. Jest autorem serwisu kryptograficznego www.kryptografia.com. Prezentował tematy związane z kryptografią kwantową i molekularną na konferencjach: ENIGMA, SECURE oraz CONFidence. Był redaktor prowadzącym numeru Software 2.0 poświęconego kryptografii. Jest autorem artykułów na temat bezpieczeństwa informacji oraz kryptologii publikowanych w czasopismach branżowych takich jak: CSO, Networld, Boston IT Security Review, Software 2.0. Od ponad dwóch lat współpracuje z firmą Doradztwo Gospodarcze DGA S.A. jako Konsultant ds. bezpieczeństwa informacji w zakresie przeprowadzania audytów bezpieczeństwa teleinformatycznego oraz wdrażania Systemów Zarządzania Bezpieczeństwem Informacji zgodnych z normą ISO/IEC 27001:2005 (wcześniej BS 7799-2). Uczestniczył w kilkunastu projektach w firmach branży energetycznej, finansowej, informatycznej oraz administracyjnej. Jest członkiem Polskiego Towarzystwa Informatycznego PTI, MENSA Polska oraz ISACA International. Uzyskał następujące certyfikaty: CISA (zdany egzamin, ścieżka uzyskiwania certyfikatu), audytor wiodący ISO/IEC 27001:2005, CompTIA Security+.


Temat wystąpienia:
Analiza ryzyka podstawą wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001:2005

Abstrakt:
Bezpieczeństwo teleinformatyczne jest bardzo ważnym, lecz nie jedynym aspektem wpływającym na bezpieczeństwo informacji przetwarzanych w organizacji. Odpowiednia konfiguracja oraz zarządzanie systemami informatycznymi jest kluczowym zadaniem IT, jednocześnie jednak nie można zapominać o innych obszarach bezpieczeństwa takich jak: bezpieczeństwo osobowe, bezpieczeństwo prawne, bezpieczeństwo fizyczne, szkolenia czy też zasady przetwarzania informacji na stacjach roboczych lub informacji w formie papierowej. Analizując nagłówki prasowe związane z głośnymi incydentami bezpieczeństwa możemy zauważyć, że często to brak określonych zasad i niska świadomość pracowników spowodowały, że dokumenty z danymi osobowymi znalazły się na śmietniku czy też uzyskano dostęp do systemy po tym jak użytkownik przekazał swoje hasło obcej osobie. Wydaję się zatem, że najlepszym rozwiązaniem w celu zwiększenia bezpieczeństwa informacji przetwarzanych w organizacji jest wdrożenie kompleksowego Systemu Zarządzania Bezpieczeństwem Informacji obejmującego obszary bezpieczeństwa teleinformatycznego, osobowego, prawnego oraz fizycznego.
Międzynarodowa norma ISO/IEC 27001:2005 wzorowana na brytyjskim standardzie BS 7799-2 jest ogólnoświatowym wzorcem stanowiącym podstawę wdrażania Systemów Zarządzania Bezpieczeństwem Informacji w organizacjach.
Norma ISO/IEC 27001:2005 zawiera wymagania w następujących obszarach:

  • Polityka bezpieczeństwa;
  • Organizacja bezpieczeństwa;
  • Klasyfikacja i kontrola aktywów;
  • Bezpieczeństwo osobowe;
  • Bezpieczeństwo fizyczne i środowiskowe;
  • Zarządzanie systemami i sieciami;
  • Kontrola dostępu do systemów;
  • Rozwój i utrzymywanie systemów;
  • Zarządzanie incydentami bezpieczeństwa;
  • Zarządzanie ciągłością biznesu odnośnie informacji;
  • Zgodność z prawem i własnymi wymaganiami.

Wdrożenie skutecznego SZBI w organizacji nie jest jednak rozwiązaniem prostym. Norma ISO/IEC 27001:2005 zawiera wymagania, jakie system powinien spełniać, lecz nie wskazuje dokładnie jak należy taki system wdrożyć. W normie wyraźnie wyróżniono rolę analizy ryzyka jako podstawowego elementu wymaganego do budowy i utrzymania SZBI. Opracowanie metody analizy ryzyka oraz przeprowadzenie takiej analizy w praktyce jest bez wątpienia kluczowym i jednocześnie najtrudniejszym elementem budowy Systemu Zarządzania Bezpieczeństwem Informacji. Jest to szczególnie trudne, gdyż większość znanych metod analizy ryzyka jest na tyle złożonych, że ich przeprowadzenie w praktyce jest bardzo pracochłonne a czasem nawet niemożliwe.
W trakcie referatu chciałbym przybliżyć m.in.:

  • podstawowe pojęcia z obszaru bezpieczeństwa informacji i analizy ryzyka,
  • zasady systemowego podejścia do bezpieczeństwa informacji (PDCA),
  • podstawowe informacje o normie ISO/IEC 27001:2005,
  • najważniejsze wymagania normy z poszczególnych obszarów,
  • wymagania normy w zakresie analizy ryzyka,
  • różne podejścia do przeprowadzenia analizy ryzyka,
  • proces wdrożenia SZBI oraz często spotykane problemy w trakcie jego realizacji.