norma 15408 - norma pozwalająca w sposób formalny weryfikować bezpieczeństwo systemów teleinformatycznychwymagania bezpieczeństwa, jakośiowe- to śa oceny opisowe, art. 267, outsourcing - powierzenie przez organizację realizacji określonego procesu (własności procesu – process ownership) usługodawcy określając szczegółowo efekty, jakie zleceniodawca zamierza uzyskać, ale bez instrukcji dotyczących sposobu wykonywania poszczególnych zadań, pozostawiając inicjatywę w tym zakresie zleceniobiorcyretencja – zbieranie i przechowywanie informacji np. nr ip, itp. Audyt informatyczny - jest to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowanePoufność –zapewnieniu, że informacja nie jest udostępniana
lub ujawniana nieautoryzowanym osobom, podmiotom
lub procesom,
Integralność –zapewnieniu, że dane nie zostały zmienione lub
zniszczone w sposób nieautoryzowany,
Dostępność –zapewnieniu bycia osiągalnym i możliwym do wykorzystania
na żądanie, w założonym czasie, przez
autoryzowany podmiot,
Rozliczalność –zapewnieniu, że działania podmiotu mogą być
przy pisane w sposób jednoznaczny tylko temu
podmiotowi,
Autentyczność –zapewnieniu, że tożsamość podmiotu lub zasobu
jest taka, jak deklarowana (autentyczność dotyczy
użytkowników, procesów, systemów i informacji),
Niezaprzeczalność – braku możliwości wyparcia się swego uczestnictwa
w całości lub w części wymiany danych przez
jeden z podmiotów uczestniczących w tej wymianie,
Niezawodność –zapewnieniu spójności oraz zamierzonych zachowań i skutków
ISO/IEC 27001:2007 jest specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą mogą być prowadzone audyty, na podstawie których są wydawane certyfikaty[1].W normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji:1. Polityka bezpieczeństwa;2. Organizacja bezpieczeństwa informacji;3. Zarządzanie aktywami;4. Bezpieczeństwo zasobów ludzkich;5. Bezpieczeństwo fizyczne i środowiskowe;6. Zarządzanie systemami i sieciami;7. Kontrola dostępu;8. Zarządzanie ciągłością działania;9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji;11. Zgodność z wymaganiami prawnymi i własnymi standardami.1) ubezpieczenie czegoś to -> transfer ryzyka2) aplikacja sandbox zapewnia -> integralność3) informacja zawarte są w normie -> iso 270014) Podpis cyfrowy - odpowiedź A5) Pracownik ma przydzielone prawa -> zasada minimalnego środowiska6) Dokument plan bezpieczeństwa jest -> tajny7) Przez opracowanie planu -> minimalizujemy straty8) cechy -> integralność, tajność, dostępność9) audyt teleinformatyczny -> testy penetracyjne10) najdłuższa odpowiedź z dywersyfikacją
1. Ubezpieczenie jest .... -> transferem ryzyka. 2. Polityka bezpieczeństwa -> dokument jawny. 3. Atrybuty informacji. 4. Cechy podpisu elektronicznego. 5. Pracownicy powinni mieć dostęp do sprzętu, oprogramowania,itp. zgodnie z... zasadą minimalnego środowiska pracy 6. Czy pliki są usuwane całkowicie z dysku...? -> odpowiedź z flagami 7. Audyt informatyczny vs. audyt teleinformatyczny 8. Pytanie o normę PN-ISO/IEC 27001 9. Cechy sytemu informatycznego (czy jakoś tak) 10. Ogólnie chodziło o to, że poprzez plan awaryjny minimalizujemy skutki powstałe na wskutek kryzysu.
Zestaw C: 1. Ubezbieczenie zalicza sie do.... kontroli ryzyka retencji ryzyka transferu ryzyka 2. Co sie dzieje z plikiem po usunieciu z dysku: wpis w $MFT jest usuwany, dane zostaja wpis w $MFT zostaje, dane zostaja i zmieniaja sie dwie flagi wpis w $MFT jest usuwany, dane sa usuwane wpis w $MFT zostaje, dane zostaja 3. W ktorym dokumencie opisano System zarzadzania bezpieczenstwem informacji: ISO 27001 ISO 15408 4. Podpis cyfrowy zapewnia: niezaprzeczalnosc, autentycznosc i integralnosc 5. Minimalny zestaw wymagan na system zabezpieczen: dywersyfikacja i spojnosc dywersyfikacja, niezaprzeczalnosc i organizacja wg zasady ochrony "w glab" dywersyfikacja, niezaprzeczalnosc, spojnosc i organizacja wg zasady ochorny "w glab" dywersyfikacja i organizacja wg zasady ochory "w glab" (chyba) 6. Zasada, zeby pracownik do wykonywania pracy mial tylko dostep do tych programow i uslug, ktorych potrzebuje, to: zasada minimalnego srodowiska pracy zasada wiedzy koniecznej zasada dwoch ludzi 7. Atrybuty informacji w kontekscie bezpieczenstwa: poufnosc, integralnosc, dostepnosc 8. Costam o audycie bezpieczenstwa teleinformatycznego: zawiera sie w audycie informatycznym (jest podzbiorem audytu informatycznego cos takiego) 9. Poprzez sporzadzenie i w razie potrzeby wdrozenie planu odzyskiwania: minimalizujemy ryzyko minimalizujemy zagrozenia minimalizujemy podatnosci minimalizujemy straty wynikle z wykorzystania podatnosci przez zagrozenia 10. Dokument "Polityka bezpieczenstwa dla ..." powinien byc: jawny
Bayaniss