Pokaż wyniki 1 do 7 z 7

Temat: Normy prawne dotyczące zarządzaniem ryzykiem w sieci komputerowej

  1. #1
    Zarejestrowany
    Aug 2013
    Postów
    5

    Domyślnie Normy prawne dotyczące zarządzaniem ryzykiem w sieci komputerowej

    Witam,
    Od dłuższego czasu błądzę po sieci i szukam informacji dotyczących tego jakie normy prawne są brane pod uwagę przy zarządzaniu ryzykiem. Z racji tego że większość informacji jakie znajduje związane jest z normą ISO/IEC TR 13335 zasadniczo stanąłem w ślepym punkcie. Dla tego też postanowiłem poprosić o pomoc. Może użytkownicy tego forum mają jakiś szersze spojrzenie na to zagadnienie.
    Z góry dziękuje za pomoc.

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Normy prawne jak rozumiem chodzi Ci o to jakie przepisy organizacja moze naruszyc jesli nie bedzie (lub bedzie zle) zarzadzac ryzykiem i np ich dane zostana ujawnione?

    Jesli dobrze rozumiem pytanie, to odpowiedz bedzie zalezec od tego co robi organizacja w sensie w jakim sektorze dziala. Np instytucje finansowe obslugujace platnosci maja PCI DSS i podobne, medyczne maja swoje standardy (zapomnialem akronimu) i to nie mowie nawet o tych z serii ISO bo to nie sa przepisy (choc przepisy prawne czasami przywoluja normy ISO). Do tego dochodzi legislacja krajowa pod wzgledem prywatnosci danych osobowych itp itd. Jesli organizacja dziala w paru krajach zaczyna sie prawdziwy balet :-)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Aug 2013
    Postów
    5

    Domyślnie

    W głównej mierze właśnie o to chodzi. Choć przede wszystkim skupiam się nad tymi związanymi w sieci, ale jak napisałeś jest to "prawdziwy balet". Na chwilę obecną znalazłem normy i metodyki takie jak:
    BS 7799-1
    PD ISO/IEC Guide 73:2002
    BS 7799-2
    COBIT
    MARION
    Norma ISO 17799
    Norma ISO 19011
    Norma ISO 20000
    Norma ISO 24762
    I cała rodzina 27000
    Norma ISO 27000
    Norma ISO 27001
    Norma ISO 27002
    Norma ISO 27003
    Norma ISO 27004
    Norma ISO 27005
    Norma ISO 27006

    Podsumowując bardzo nudna lektura na niedzielny wieczór...

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    BS 7799 przeszlo w ISO 17799 i teraz jest 27001.
    COBIT jest popularny itd... ale zadne z tej listy ktora podales to nie sa przepisy - to sa normy i standardy a nie przepisy. Mozesz zobaczyc tez amerykanskie HIPAA, FERPA, PCI DSS (caly swiat) itd.

    Roznica miedzy norma/standardem a przepisem jest taka, ze przepis wymaga okresla co wolno a co nie wolno i moze przywolywac norme/standard jako metodologie osiagniecia celu lub oceny zgodnosci. Przepisy moga okreslac tez sankcje za nie spelnienie wymogow - to jest cos czego standardy nie moga.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Aug 2013
    Postów
    5

    Domyślnie

    Dziękuje bardzo przyjże się tym podanym przez ciebie.

  6. #6
    Zarejestrowany
    Apr 2015
    Postów
    1

    Domyślnie

    Dziwi mnie w tym mailu jedna rzecz, czy była kierowana stricte do naszej firmy z jakimś konkretnym zamiarem, czy po prostu poszedł jakiś spam po wcześniejszym wyciągnięciu bazy mailowej z jakieś panoramy firm czy innego badziewia. Może znajdzie się na forum jakaś osobą, którą jarają takie rzeczy i ogarnie co to mogło być, na jakimś starym IBM-ie pozdrawiam
    Lily lara

  7. #7
    Zarejestrowany
    Oct 2008
    Skąd
    woj. Lubuskie. Dokładniej się nie da
    Postów
    405

    Domyślnie

    Normy, czy to ISOwskie, czy PNki nie mają nic wspólnego z prawem i nie są obowiązkowe (do dobrowolnego stosowania o ile odpowiednia ustawa nie stanowi inaczej). Jeżeli infrastruktura przechowuje informacje niejawne, warto by było się zapoznać ze stosowną ustawą (Internetowy System Aktów Prawnych oraz Internetowy System Aktów Prawnych) i rozważyć stworzenie kancelarii akredytowanej przez ABW/SKW. Wtedy już SWBSy (szczególne wymagania bezpieczeństwa systemu) i pilnowanie procedur. Jeśli cię same normy (niekoniecznie) interesują, rzuć jeszcze okiem na IN - Zarządzanie ryzykiem bezpieczeństwa informacji niejawnych
    A może zamiast czytać norm (które kosztują) spróbuj skombinować sobie książkę „Szacowanie ryzyka oraz zarządzanie ryzykiem w świetle nowej ustawy z dnia 5 sierpnia
    2010 r. o ochronie informacji niejawnych - przykład metody analizy ryzyka opartej na gotowych macierzach”? W bibliotekach majo.
    Jeśli nie będziesz mieć pod górke, nigdy nie dojdziesz na szczyt.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52