1. Przedstawienie Firmy:
Opis zakresu działalności wirtualnej firmy
Firma AGD.COM Sp. z o.o. istnieje od roku 1999, prowadząc od początku działalność opartą o dystrybucję sprzętu AGD/RTV. Jako jedna z pierwszych firm na naszym rynku wprowadziła zasadę – „TANIO I SOLIDNIE”. AGD.COM jest dużym dystrybutorem sprzętu AGD/RTV, który posiada hale magazynowe o łącznej powierzchni powyżej 600 metrów kwadratowych. Kontakt jak i przyjmowanie zamówień odbywa się zarówno drogą mailową jak i poprzez system zamówień działający na stronie WWW. Ponadto firma posiada zaawansowany system inwentaryzacji z bazą danych o klientach i ich zamówieniach. Aby AGD.COM było firmą o wysokim standardzie, wykorzystuje również profesjonalny komputerowy system księgowy. Ponadto całość firmy nadzorowana jest przez wyspecjalizowany dział IT, który dba o maksymalne bezpieczeństwo w placówce jak i na stronie WWW.
Prowadzona jest sprzedaż wysokiej klasy sprzętów AGD takich firm jak: Daewoo, Electrolux, Gorenje, Panasonic oraz wszelkich materiałów potrzebnych do zabudowy sprzętu codziennego użytku.
Wśród urządzeń RTV znajdują się np.: drukarki takich firm jak EPSON, CANON, HP, FUJITSU, OKI, LEXMARK, Samsung, Xerox, czy też telewizory firm Samsung, ChinaLong i Philips.
W skład firmy wchodzą działy:
- Backoffice
- Magazyn
- Recepcja
- IT
W firmie oprócz poszczególnych działów występują jednostki osób, jak:
- Zarząd
- Liderzy poszczególnych działów
- Kierownicy poszczególnych działów
- Managerowie
- ABI – Administratorzy bezpieczeństwa informacji
Schemat firmy:
- Pomieszczenie zarządu
- Pomieszczenie backoffice
- Hol – recepcja
- Pomieszczenia magazynowe
- Serwerownia
2. Objęte obszary polityk i procedur w dokumentacji organizacji:
- Bezpieczeństwo komunikacji
- Kontrola dostępu
- Bezpieczeństwo zasobów ludzkich
3. Analiza aktualnej dokumentacji organizacji
Skonstruowanie listy kontrolnej i przeprowadzenie jej na podstawie polityk i procedur bezpieczeństwa organizacji
- Polityki i procedury spełniające listę kontrolną:
- Pełne spełnienie wymagań w dziale: Bezpieczeństwo zasobów ludzkich
- Pełne spełnienie wymagań w dziale: Kontrola dostępu
- Niepełne spełnianie polityk i procedur w przeprowadzonej liście kontrolnej:
- Dział: Bezpieczeństwo komunikacji, braki w podrozdziałach:
- Bezpieczeństwo usług sieciowych
- Porozumienia dotyczące przesyłania informacji
- Wiadomości elektroniczne
- Umowy o zachowaniu poufności
- Dział: Bezpieczeństwo komunikacji, braki w podrozdziałach:
- Niepełne spełnianie polityk i procedur w przeprowadzonej liście kontrolnej:
- Dział: Zarządzanie incydentami związanymi z bezpieczeństwem informacji:
- Zgłaszanie słabości związanych z bezpieczeństwem informacji
- Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem informacji
- Gromadzenie materiału dowodowego
- Dział: Zarządzanie incydentami związanymi z bezpieczeństwem informacji:
- Osobne polityki i procedury spełniające wymagania dot. ISO:
- Kopie zapasowe
5. Lista kontrolna
- Lista kontrolna przeprowadzona w organizacji wykazała kompletny brak zagadnień z działów:
- Polityki bezpieczeństwa informacji
- Organizacja bezpieczeństwa informacji
- Zarządzanie aktywami
- Kryptografia
- Bezpieczeństwo fizyczne i środowiskowe
- Bezpieczna eksploatacja
- Bezpieczeństwo komunikacji
- Pozyskiwanie, rozwój i utrzymanie
- Relacje z dostawcami
- Zarządzanie incydentami związanymi z bezpieczeństwem informacji
- Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
- Zgodność
6. Analiza list kontrolnej pozwoliła na sformułowanie następujących wniosków:
- Brak istniejących polityk bezpieczeństwa zmusza do ich stworzenia i wdrożenia
- Nowe polityki bezpieczeństwa muszą zostać przetestowane w myśli podejścia procesowego SZBI:
- planuj
- wykonuj
- sprawdzaj
- działaj
- Problem polityk bezpieczeństwa polega na tym – że należy je ciągle udoskonalać – proces Deminga
7. Czynności wymagane do spełnienia wym. dot. ISO
- Należy wdrożyć metody/polityki bezpieczeństwa niezbędne do tego aby firma mogła funkcjonować zgodnie z istniejącym prawem oraz posiadała zabezpieczenie przed nadużyciami pracowniczymi;
- Należy monitorować przepływ danych w organizacji;
- Należy wdrożyć określenie obowiązków i procedur zarządzania urządzeniami sieciowymi
- Między sieciami i działaniami komputerów, należy korzystać z rozwiązań kryptograficznych w celu ochrony danych podczas ich przesyłu wewnątrz oraz poza organizacją (np. VPN)
- Należy korzystać z rozwiązań służących do monitorowania i rejestrowania wykonanych czynności sieciowych (np. za pomocą systemów wykrywania włamań – IDS)
- Dostęp do zasobów sieciowych powinien być ograniczany i podlegać uwierzytelnianiu
- Należy zaadresować klasyczne metody ochrony informacji, jak również nowe technologie które pozwalają na lepszą ochronę danych w przypadkach losowych (np. systemy biometryczne).
- Należy zdefiniować iż, w ramach każdego z poruszonych aspektów norm ISO 27001, kluczowym do zachowania zgodności jest ścisłe określenie osób odpowiedzialnych, kontrolujących oraz utrzymujących założenia w ramach organizacji
8. Jak doskonalić dokumentacje, polityki bezpieczeństwa i procedury
W celu doskonalenia polityk bezpieczeństwa należy stosować cykl Deminga:
- Planuj – cele, procesy i procedury tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
- Wykonuj – wdrożenie i eksploatacja zabezpieczeń, procesów i procedur.
- Sprawdzaj – monitoruj, mierz wydajności procesów, celów i doświadczenia praktycznego oraz dostarczaj raporty kierownictwu do przeglądu.
Działaj – utrzymuj i doskonal, podejmuj działania korygujące i zapobiegawcze na podstawie wyników wewnętrznego audytów i przeglądów realizowanych przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia
