Cytaty i parafrazy (0 - 20 z 30)

• (cytat, str. 13) BS 7799:2002 to dwuczęściowa norma:
  
  1. BS 7799-1:2002 - standardowy kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji(Code of practice for International Security Management);
  2. BS 7799-2:2002 - standardowa specyfikacja dla systemów zarządzania bezpieczeństwem informacji (ISMS-Information Security Management Systems).
  
  Podstawą systemu zarządzania bezpieczeństwem informacji, która może zostać poddana akredytowanej certyfikacji jest norma BS 7799, część 2.
  
Słowa kluczowe: system informacji, bezpieczeństwo informacji
Komentarze i źródła pierwotne: 3. BS 7799-3 - trzecia część została opublikowana w 2005 roku. Dotyczy ona zagadnień związanych z analizą i zarządzaniem ryzykiem bezpieczeństwa informacji, również w ujęciu ryzyka biznesowego.(Źródło: Wikipedia)

• (parafraza, str. 13) Norma BS 7799 stanowi podstawę systemów zarządzania bezpieczeństwem informacji. Została ona opracowana przez BSI-DISC, strukturę BSI funkcjonującą pod nazwą BDD/2 Information Security Management. BDD/2 skupia przedstawicieli wielu organizacji brytyjskich, żywo zainteresowanych rozwojem e-biznesu.
  
Słowa kluczowe: bsi, BS7799
Komentarze i źródła pierwotne: BSI(British Standards Institution) - najstarsza na świecie jednostka zajmująca się tworzeniem norm. Uznawana jest za wiodącą instytucję w zakresie normalizacji i certyfikacji.

• (cytat, str. 14) BS 7799-2:2002 ilustruje, w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji system zarządzania bezpieczeństwem informacji(ISMS).
  
Słowa kluczowe: bezpieczeństwo informacji

• (cytat, str. 15) Etapy projektowania i wdrażania ISMS(system zarządzania bezpieczeństwem informacji)
  
  1. Opracowanie polityki bezpieczeństwa informacji i danych, najważniejszych elementów systemu bezpieczeństwa informacji w odniesieniu do specyfiki organizacji, jej zasobów i potrzeb.
  2. Dokonanie identyfikacji ryzyk dotyczących informacji związanych z prowadzoną działalnością.
  3. Ocena ryzyk-identyfikacja zagrożenia utraty aktywów informacyjnych i danych, słabości oraz nastawienia organizacji dla określenia ryzyk.
  4. Zarządzanie ryzykiem z wykorzystaniem przystających elementów z BS 7799-2.
  5. Opracowanie bilansu adekwatności (Statement of Applicability)- zapisy wskazują na wybór określonych elementów BS 7799 oraz przyczyny uznania za nieodpowiednie pozostałych.
  6. Udokumentowanie procedur dotyczących zarządzania i elementów operacyjnych ISMS wskazujących na odpowiedzialności oraz podstawowe działania.
  
Słowa kluczowe: system informacji, bezpieczeństwo informacji, isms
Komentarze i źródła pierwotne: ISMS(Information Security Management Systems)- System zarządzania bezpieczeństwem informacji.

• (cytat, str. 16 - 17) Do najważniejszych elementów wymagań BS 7799 należy zaliczyć:
  - polityka bezpieczeństwa informacji w firmie,
  - organizacja systemu bezpieczeństwa informacji,
  - klasyfikacja oraz nadzór środków i zasobów wykorzystywanych dla realizacji
  bezpieczeństwa,
  - polityka bezpieczeństwa w odniesieniu do polityki kadrowej i metod rekrutacji
  pracowników,
  - techniczne środki ochrony i kontroli dostępu do bezpieczeństwa danych i
  infrastruktury IT,
  - formy i zasady korzystania z sieci i komputerów w firmie w odniesieniu do
  polityki bezpieczeństwa,
  - zasady kontroli i monitorowania dostępu do systemów i informacji,
  - utrzymanie, rozwój i rozbudowa systemu w odniesieniu do polityki
  bezpieczeństwa,
  - planowanie strategii firmy wobec zagrożeń krytycznych,
  - ochrona danych a regulacje prawne i wymogi formalne.
  
Słowa kluczowe: system informacji, bezpieczeństwo informacji

• (cytat, str. 16) Norma BS 7799-2 została podzielona na siedem rozdziałów, w tym cztery podstawowe części tematyczne odnoszące się do polityki i organizacji bezpieczeństwa informacyjnego w organizacji. Najważniejsze z nich to:
  - system zarządzania bezpieczeństwem informacji,
  - odpowiedzialność kierownictwa,
  - przegląd zarządzania w zakresie systemu bezpieczeństwa informacji,
  - doskonalenie systemu zarządzania bezpieczeństwem informacji.
  
Słowa kluczowe: system informacji, bezpieczeństwo informacji

• (cytat, str. 20) W praktyce, w systemach zarządzania bezpieczeństwem informacji(ISMS) konieczne jest udokumentowanie:
  - treści polityki bezpieczeństwa oraz cele związane z bezpieczeństwem
  informacji,
  - opisy elementów systemu oraz procedury wsparcia w tym względzie,
  - raport oceny ryzyka,
  - plan bezpieczeństwa informacji,
  - procedury niezbędne w organizacji dla skutecznego planowania, działania i
  sterowania procesami bezpieczeństwa danych,
  - zapisy wynikające z normy BS 7799,
  - bilans adekwatności(wskazania dotyczące wyboru określonych elementów BS 7799
  oraz przyczyny uznania za nieadekwatne pozostałych).
  
Słowa kluczowe: system informacji, bezpieczeństwo informacji, isms

• (cytat, str. 20 - 21) Formalne procedury ISMS tworzone w ramach systemu bezpieczeństwa powinny obejmować takie aktywności jak, m.in.: rozwój systemu informatycznego, jego utrzymanie w ruchu(uruchamianie oraz zatrzymywanie systemu, archiwizacja danych, zasady obsługi sprzętu itd.), ochrona i kontrola dostępu do wyznaczonych obiektów, działanie w sytuacjach awaryjnych i inne.
  
Słowa kluczowe: system informacji, bezpieczeństwo informacji, isms

• (cytat, str. 21 - 22) Na etapie dokumentowania ISMS konieczne jest opracowanie procedur działania przygotowujących pracowników organizacji do postępowania w sytuacjach awaryjnych. Konieczne w tym wypadku jest zwrócenie uwagi na następujące aspekty:
  - awarie i uszkodzenia systemu,
  - błędy wynikające z próby przetwarzania niekompletnych, niepoprawionych lub uszkodzonych danych,
  - próby włamania do systemu z zewnątrz organizacji,
  - próby włamania do systemu z wewnątrz firmy,
  utratę wewnętrznych mechanizmów zabezpieczeń spowodowaną awarią sprzętu lub systemu.
  
Słowa kluczowe: system inforamacji, isms

• (cytat, str. 21) Procedury ISMS związane z podstawowymi działaniami obejmującymi planowanie i realizacją procesów mogą przywoływać precyzyjne instrukcje odnośnie wykonywania określonych czynności, krok po kroku, za szczególnym uwzględnieniem:
  - zasad posługiwania się i wykorzystania wszelkich danych zawartych w systemie,
  - wymagań odnośnie dokładności i regularności wykonywania powierzonych zadań
  wszędzie tam gdzie istnieją zależności pomiędzy różnymi systemami, procesami,
  aplikacjami czy procedurami,
  - reakcji na sytuacje krytyczne powstałe w wyniku błędów pojawiających się w
  trakcie pracy systemu,
  - zasad korzystania z wszelkich dostępnych w systemie aplikacji narzędziowych i
  wspomagających(system utilities),
  - reguł tworzenia, przechowywania i usuwania wszelkich drukowanych z systemu
  informacji uznanych istotne z punktu widzenia tworzonej polityki
  bezpieczeństwa systemu - również w przypadkach wydruków błędnych, niepełnych
  czy kontrolnych,
  - procedur uruchamiania systemu po awarii z dokładnym opisem czynności
  administratorskich.
  
Słowa kluczowe: system informacji, isms

• (parafraza, str. 22) Wszytkie procedury ISMS w ramach normy BS 7799 muszą być:
  - nadzorowane,
  - aktualne,
  - dostępne w miejscach stosowania,
  - autoryzowane,
  podobnie jak zmiany, którym podlegają.
  
Słowa kluczowe: BS7799, isms

• (cytat, str. 22) Przy opracowywaniu planów odbudowy systemu po awarii należy między innymi uwzględnić:
  - analizę i identyfikację przyczyn awarii systemu,
  - dokładną definicję przyczyny oraz określenie konkretnych planów i kroków mających w przyszłości wyeliminować skutki wystąpienia zdefiniowanej przyczyny.
  
  Procedury opracowane na potrzeby sytuacji odbudowy bezpieczeństwa systemu po próbie włamania się do systemu powinny w przypadku ich zastosowania gwarantować, że wyłącznie uprawnieni i dokładnie zidentyfikowani użytkownicy mają dostęp do danych i zasobów systemu:
  - wszystkie kroki przedsięwzięte po zaistnieniu sytuacji krytycznej zostały
  dokładnie udokumentowane i przedstawione do wglądu kierownictwu,
  - bezpieczeństwo systemu zostanie na powrót przywrócone w możliwie najkrótszym
  czasie.
  
Słowa kluczowe: system informacji, isms

• (cytat, str. 22 - 23) (...) c:cure jest brytyjską procedurą akredytowej certyfikacji systemów zarządzania bezpieczeństwem informacji(ISMS) zgodnych z BS 7799-2. Procedura została pierwotnie ustanowiona w 1998 przez Ministerstwo Handlu i Przemysłu Wielkiej Brytanii, jest natomiast rozwijana przez BSI-DISC. Procedura zobowiązuje jednostki certyfikujące do poddania się procesowi krajowej akredytacji w zakresie realizowanej działalności. Zgodnie z założeniami c:cure auditorzy powoływani przez jednostki certyfikujące są wcześniej akredytowani zgodnie z określonymi kryteriami przyjętymi przez International Register of Certified Auditors(IRCA).
  
Słowa kluczowe: system informacji, BS7799, isms
Komentarze i źródła pierwotne: DISC jest strukturą wewnętrzną British Standards Institution odpowiedzialną za rozwój i publikację BS 7799 oraz sprawującą za zgodą Ministerstwa Przemysłu i Handlu Wielkiej Brytanii nadzór nad procedurą c:cure.

• (cytat, str. 24) Etapy certyfikacji systemu zarządzania bezpieczeństwem informacji(ISMS).
  1. Weryfikacja zakresu ISMS przez jednostkę certyfikującą.
  2. Oferta jednostki certyfikującej.
  3. Formalny wniosek o przeprowadzenia auditu ISMS.
  4. Weryfikacja założeń ISMS, w tym dokumentacji.
  5. Audit ISMS.
  6. Działania poauditowe.
  
Słowa kluczowe: system informacji
Komentarze i źródła pierwotne: Źródło: materiały źródłowe BSI-DISC,2000

• (cytat, str. 26) Mapy zagrożeń każdej organizacji można zbudować z czterech podstawowych elementów:
  - pracowników, czyli nas samych;
  - procesów, którymi zarządzamy, technologii, które wykorzystujemy;
  - oraz struktury organizacyjnej, której się podporządkowujemy będąc jej elementami.
  
  Każdy z przedstawionych elementów może stanowić dla nas potencjalne źródło zagrożeń wewnętrznych.
  
Słowa kluczowe: mapa zagrożeń
Komentarze i źródła pierwotne: Źródło pierwotne: Thomas R. Peltier, Information security. Policies and Procedures. A. Practitioner's Reference, AUERACH, CRC Press LLC, 1999, s.334.

• (parafraza, str. 27 - 28) Do najbardziej znaczących aktów prawnych dotyczących ochrony danych i informacji w Europie zaliczyć należy Data Protection Act(1998) opracowany w Wielkiej Brytanii. Jest on uznawany za najlepszy dokument tego typu na świecie.
  
  DPA nakłada obowiązki na pracodawców- pracowników odpowiedzialnych za nadzorowanie danych personalnych, wskazuje konieczne zasady i regulacje w zakresie powyższych aktywności.
  DPA określa wymagania , jakim musi sprostać pracodawca w odniesieniu do danych personalnych; restrykcyjność postępowania jakie muszą być przyjęte w praktyce są związane z rodzajem i przeznaczeniem danych, źródłem ich pochodzenia oraz procesów jakim celowo są poddawane.
  
Słowa kluczowe: data protection act

• (parafraza, str. 28) Istotną cechą Data Protection Act jesy uwzględnienie transferu danych personalnych na zewnątrz EEA(European Economic Area). Konieczne jest w powyższym zakresie zapewnienie, że dane personalne nie będą transferowane do państwa na zewnątrz Europejskiej Strefy Ekonomicznej przed zapewnieniem przed zapewnieniem przez to państwo adekwatnego poziomu bezpieczeństwa oraz swobody w przetwarzaniu tego typu informacji.
  DPA definiuje także wymagania w zakresie pozyskiwania, rejestracji, archiwizowania tego typu informacji.
  
Słowa kluczowe: data protection act, eea

• (cytat, str. 28) Data Protection Act definiuje podstawowe zasady dotyczące bezpieczeństwa danych nakazujące postępowanie z danymi personalnymi w zgodzi z prawem. W podstawowym względzie zasady niniejsze stawiają ograniczenia, m.in.:
  - dane personalne nie mogą być wykorzystywane w żadnym innym celu poza tym dla
  jakich zostały zebrane,
  - dane personalne powinny być wierne i utrzymywane dłużej niż jest to konieczne w
  związku z celem dla osiągnięcia jakiego zostały pozyskane.
  
Słowa kluczowe: bezpieczeństwo informacji, data protection act

• (parafraza, str. 37) Za powzięciem decyzji o ustanowieniu systemu zarządzania bezpieczeństwem informacji(ISMS) przemawia kilka argumentów:
  - wymagania niniejszego standardu są związanie z koniecznością systemowych
  działań dotyczących oceny ryzyk oraz ustanawiania adekwatnych zabezpieczeń
  przed realizacją działań mogących spowodować utratę czy też uszkodzenie danyc
  organizacji.
  - standard stanowi zobowiązanie do periodycznej weryfikacji ryzyk dotyczących
  bezpieczeństwa informacji, związanych ze zmianami w otozceniu tynkowym,
  doświadczeń itd.
  - BS 7799 jest uznanym narzędziem, które z założenia zobowiązuje do
  respektowania prawa, prywatności danych i innych zasobów informacyjnych.
  
Słowa kluczowe: system informacji, bezpieczeństwo informacji

• (cytat, str. 39) Ryzyko w formie skonkretyzowanej przejawia się w przedsiębiorstwie w postaci określonego zagrożenia, które przejawia się w różnych formach i podlega zmianom w czasie. Może ono przybierać formę zewnętrzną (np. opóźnionej dostawy komponentów od kontrahenta) lub wewnętrzną (np. awarii bloku sterowania specjalizowaną linią produkcyjną czy sieci komputerowej).
  
Słowa kluczowe: ryzyko