Wytyczne i zalecenia dotyczące tworzenia polityk...
Transcript of Wytyczne i zalecenia dotyczące tworzenia polityk...
Bezpieczeństwo systemów komputerowych.
Wytyczne i zalecenia dotyczące tworzenia polityk bezpieczeństwa.
Normy i standardy.
1
Autor: Maciej Krysztofiak
Seminarium 2004 – PP, SKiSR
Temat seminarium: Wytyczne i zalecenia dot. tworzenia polityk
bezpiecze?stwa. Normy i standardy.
Seminarium 2004 – PP, SKiSR2
Plan prezentacji
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Polityka bezpiecze stwa:ń● Definicja● Dokument● Analiza ryzyka● Wdrażanie ● Korzyści z wdrażania polityki
Normy
Audyt
Outsourcing
Podsumowanie
Seminarium 2004 – PP, SKiSR3
Czym jest polityka bezpiecze stwa?ń
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Polityka bezpiecze stwań jest zbiorem spójnych, precyzyjnych i zgodnych z obowi zuj cym prawem przepisów, reguł i ą ąprocedur, według których dana organizacja buduje, zarz dza ąoraz udost pnia zasoby i systemy informacyjne i informatyczne. ęOkre la ona, które zasoby maj być chronione i w jaki sposób. ś ąOczywi cie jej postulaty musz odpowiadać oczekiwaniom ś ąwła ciciela systemów i zgromadzonych w nich informacji. śW polityce bezpiecze stwa nie chodzi tylko o sporz dzenie listy ń ązakupów i czynno ci, które trzeba wykonać obecnie, ale te ś żm.in. o wskazanie mo liwych rodzajów naruszenia żbezpiecze stwa w przyszło ci (np. utrata i kradzie informacji, ń ś żnieautoryzowany dost p), scenariuszy post powania w takich ę ęsytuacjach i działa , które pozwol unikn ć powtórzenia si ń ą ą ędanego incydentu.
Seminarium 2004 – PP, SKiSR4
Dokument bezpiecze stwań
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Wymiernym aspektem polityki bezpiecze stwa jest tak zwany ńdokument polityki bezpiecze stwań , który zawiera (okre la) śodpowiednie zasady, wytyczne, nakazy i zakazy, a tak e stopie ż ńswobody korzystania z sieci wewn trznej i zewn trznej.ę ę W ka dej firmie powinien znajdować si oficjalny dokument ż ępolityka bezpiecze stwa ń zawieraj cy jasn i precyzyjn definicj ą ą ą ębezpiecze stwa informacji i zwi zan z ni polityk ochrony. ń ą ą ą ę
Dokument polityki bezpiecze stwań jest podstaw dla rozpocz ciaą ę jakichkolwiek działa zwi zanych z ochron informacji w firmie.ń ą ą
O opracowaniu i wdro eniu polityki bezpiecze stwa decyduje ż ńzarz d, natomiast w jej tworzeniu oprócz personelu technicznego ąmusz uczestniczyć pracownicy ró nych działów - zwykli ą żu ytkownicy. To oni b d podlegać przyj tym regułom, ich opinia ż ę ą ęmo e wi c zapobiec np. nadmiernym, niemo liwym do ż ę żwprowadzenia restrykcjom w dost pie do zasobów. ę
Seminarium 2004 – PP, SKiSR5
Dokument bezpiecze stwa (2)ń
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Etapy tworzenie dokumentu polityki bezpiecze stwa w du ej cz ci s zbie ne z ń ż ęś ą żetapami tworzenia tej polityki. ● Etap pierwszy: zdefiniowanie zagro e ż ń● Etap drugi: konstruowanie zabezpiecze ńorganizacyjnych ● Etap trzeci: formowanie tre ci dokumentu ś
Seminarium 2004 – PP, SKiSR6
Analiza ryzyka
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Podstawą prac jest przeprowadzenie analizy ryzyka związanego z przetwarzaniem informacji.
Analiza ryzyka to systematyczny podział na kategorie zagro e danych i rodków im ż ń śprzeciwdziałaj cych oraz okre lenie planu ą śdziałania, który wi kszo ć zasobów (technicznych i ę śpozatechnicznych) skieruje przeciw najbardziej prawdopodobnemu ryzyku.
Dzi ki temu mo liwe jest zidentyfikowanie ę żzagro e oraz okre lenie tych elementów systemów ż ń śprzetwarzaj cych informacje, w których ryzyko jest ąnajwi ksze. Pozwoli to w trakcie dalszych prac na ęzaproponowanie zabezpiecze chroni cych ń ąnajbardziej zagro one procesy informacyjne.ż
Seminarium 2004 – PP, SKiSR7
Analiza ryzyka (2)
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Analiza ryzyka może być stosowana zarówno do nowych zasobów jak też do systemów będących już w trakcie eksploatacji. Można jej dokonać zarówno podczas projektowania systemu, przy planowaniu znacz cych zmian jak teą ż podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń.
Seminarium 2004 – PP, SKiSR8
Wdra anie polityki żbezpiecze stwań
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Pocz tkiem sukcesu wdro enia polityki bezpiecze stwa ą ż ńjest jego odpowiedni plan (strategia) zawieraj cy ąnast puj ce etapy: ę ą
● Rozpoznanie problemu przetwarzania informacji w organizacji ● Tworzenie dokumentów Polityki Bezpiecze stwań ● Audyt bezpiecze stwa grup przetwarzanych ńinformacji ● Wdro enie Polityki Bezpiecze stwa Informacjiż ń ● Okresowe audyty bezpiecze stwań
Seminarium 2004 – PP, SKiSR9
Korzy ci ś
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Korzy ci płyn ce z wdro enia ś ą ż polityki bezpiecze stwań to:
● Zgodno ć z wymaganiami prawnymi;ś● Pewniejsze działanie w sytuacji zagro eż ń powodowanych przez czynniki wewn trzne ię zewn trzne;ę● Ochrona ywotnych interesów organizacji;ż● Wysoka sprawno ć pracowników osi gana poprzez ś ą odpowiednie szkolenia;● Lepsza organizacja pracy;● Oszcz dno ci finansowe;ę ś● Utrzymanie przewagi nad konkurencj ;ą● Poprawa wizerunku firmy.
Seminarium 2004 – PP, SKiSR10
Straty wynikaj ce bezpo rednio z ą śbł dów zwi zanych z ę ą
niezabezpieczon informacj :ą ą
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
●Straty materialne (przeciek informacji do konkurencji, gorsze warunki kontraktu);●Odpowiedzialno ć karna lub cywilna;ś●Bałagan organizacyjny; ●Niezgodno ć lub sprzeczno ć danych;ś ś●Niewła ciwe decyzje; ś●Niezgodne z wymaganiami wykonanie pracy, niekompetencja.
Seminarium 2004 – PP, SKiSR11
Normy bezpiecze stwań
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
BS 7799-1:1999
BS 7799-2:1999
ISO / IEC 17799:2000
ISO / IEC TR 13335 PN-1 13335-1
ISO / IEC TR 13335 PN-1 13335-2
ISO / IEC TR 13335 PN-1 13335-3
Orange Book
Seminarium 2004 – PP, SKiSR12
BS 7799:1999
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
W roku 1995 BSI (British Standard Institute) przedstawił norm dotycz c zarz dzania bezpiecze stwem ę ą ą ą ńinformacji w przedsi biorstwach. Norma ta jest obecnie ęstosowana przez wiele firm, w których informacja stanowi podstawowy produkt (np. banki, towarzystwa ubezpieczeniowe, sieci sklepów). Ł cznie BS 7799 okre la ok. 130 szczegółowych ą śwymaga zwi zanych z szeroko rozumianym ń ąbezpiecze stwem informacji. ń Składa si z dwóch cz ci: ę ęśBS 7799-1:1999 i BS 7799-2:1999.Norma 7799 została zgłoszona do organizacji ISO (International Organization for Standardization), jako podstawa ustanowienia mi dzynarodowego standardu ęzarz dzania bezpiecze stwem informacjią ń w lutym 2000 roku. W sierpniu po uproszczonym procesie legalizacji nadany został jej numer ISO/IEC 17799:2000
BS 7799:1999 (2) BS 7799-1:1999 - standardowy kodeks praktyki, katalog zagadnie , jakie nale y realizować dla potrzeb bezpiecze stwa ń ż ńinformacji (Code of practice for Information Security Management); BS 7799-1:1999 definiuje 127 elementów kontroli i sterowania bezpiecze stwem informacji, ńpodporz dkowanych 10 grupom wymaga , co pozwala ą ńu ytkownikom na zidentyfikowanie najwła ciwszych ż śzabezpiecze w kontek cie specyfiki działalno ci, jak ń ś ś ąprowadz oraz otoczenia rynkowego i potrzeb w powy szym ą żzakresie. Aktualne, drugie wydanie normy kładzie szczególny nacisk na zarz dzanie ryzykiem, wskazuje tak e, e ą ż żu ytkownik nie jest zobowi zany do wdra ania wszystkich ż ą żtechnik przywołanych w cz ci pierwszej standardu, a tylko ęśtych uznanych za najistotniejsze i zapewniaj ce realizacj ą ęcelów. Katalog dotyczy wszystkich form informacji, w tym tak e ustnych i graficznych, powstaj cych z wykorzystaniem ż ątelefonów komórkowych i faksów. Standard uwzgl dnia ęnajnowsze formy działalno ci gospodarczej, np. gospodarka śelektroniczna, Internet, outsourcing, praca zdalna, urz dzenia ąprzeno ne. ś
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Seminarium 2004 – PP, SKiSR13
BS 7799:1999 (3) BS 7799-2:1999 - standardowa specyfikacja dla systemów zarz dzania bezpiecze stwem informacji (ISMS - Information ą ńSecurity Management Systems).
BS 7799-2:1999 ilustruje, w jaki sposób zaprojektować, wdro yć i poddać certyfikacji system zarz dzania ż ąbezpiecze stwem informacji (ISMS - Information Security ńManagement Systems).
Norma wskazuje na sze cioetapowy proces kreowania i śwdro enia zaprojektowanych rozwi za ; odwołuje si do ż ą ń ękonieczno ci okre lenia wszystkich aktywów informacyjnych i ś śoszacowania ich istotno ci dla organizacji. ś
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Seminarium 2004 – PP, SKiSR14
Seminarium 2004 – PP, SKiSR15
ISO / IEC 17799:2000 Praktyczne zasady zarz dzania bezpiecze stwem ą ń
informacji.
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
ISO 1799:2000, stworzona przez Mi dzynarodow ę ąOrganizacj Normalizacyjn (ISO), okre la ę ą ś sposoby post powania z informacj w firmie, zwracaj c uwag ę ą ą ęna poufno ć, dost pno ć i spójno ć danych. ś ę ś śJest to szczególnie wa ne w organizacjach żprzetwarzaj cych dane poufne, prowadz cych ą ąprodukcj specjaln oraz obawiaj cych si ę ą ą ęnieuczciwych działa konkurencji. Norma wskazuje ńpodstawowe zagadnienia i okre la metody i rodki ś śkonieczne dla zabezpieczenia informacji. Norma ta zawiera 10 działów maj cych krytyczny ąwpływ na bezpiecze stwo szeroko rozumianego ńsystemu informacji.
Seminarium 2004 – PP, SKiSR16
ISO / IEC 17799:2000 (2)
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Norma okre la wymagania dotycz ce konkretnych rozwi za w ś ą ą ńobszarach:
● odpowiedzialno ć kierownictwa (Policy) ś● organizacja systemu bezpiecze stwa (Organizational ń
Information Protection) ● skalowanie zabezpiecze i nadzór nad zasobami (Control and ń
sensitivity of assets) ● czynniki ludzki (People Issues) ● ochrona fizyczna zasobów (Physical Protection) ● zarz dzanie systemem i infrastruktur (System and ą ą
Infrastructure Management) ● kontrola dost pu do zasobów (System access control) ę● utrzymywanie i rozwój systemu (Systems development and
maintenance) ● planowanie zmian (Business continuity planning) ● zgodno ć z wymaganiami zewn trznymi (Compliance)ś ę
Seminarium 2004 – PP, SKiSR17
ISO/IEC TR 13335 Raport techniczny
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Normą związan z ISO/IEC 17799 jest raport ątechniczny czyli dokument ni szej wagi ni norma- ż żISO/IEC TR 13335 składaj cy si z pi ciu cz ci, z ą ę ę ęśktórych pierwsza jest polsk norm (PN-I 13335-1- ą ąWytyczne do zarz dzania bezpiecze stwem ą ńsystemów informatycznych: terminologia, zwi zki ąmi dzy poj ciami, podstawowe modele) .ę ęustanowion w 2001 roku. Raport ten jest ąprzeznaczony dla działów informatyki i dotyczy zagadnie technicznych a nie rozwi za ń ą ńorganizacyjnych.
Seminarium 2004 – PP, SKiSR18
ISO/IEC TR 13335 (2)
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
* ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwemsystemów informatycznych:- terminologia, związki między pojęciami,- podstawowe modele.* ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów IT- różne podejścia do prowadzenia analizy ryzyka,- plany zabezpieczeń,- rola szkoleń i działań uświadamiających,- stanowiska pracy w instytucji związane z bezpieczeństwem.
Seminarium 2004 – PP, SKiSR19
ISO/IEC TR 13335 (3)
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
* ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych:- formułowanie trójpoziomowej polityki bezpieczeństwa,- rozwinięcie problematyki analizy ryzyka,- rozwinięcie problematyki implementacji planu zabezpieczeń,- reagowanie na incydenty.* ISO/IEC/TR 13335-4: Wybór zabezpieczeń:- klasyfikacja i charakterystyka różnych form zabezpieczeń,- dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu.* ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi:- dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną.
Seminarium 2004 – PP, SKiSR20
Pozostałe normy bezpiecze stwa ń
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
PN-EN 60300-2:1998 - Zarz dzanie niezawodno ci . Elementy i ą ś ązadania programu niezawodno ci. Norma ta dotyczy urz dze i ś ą ńsystemów zawieraj cych oprogramowanie. ąPN-IEC 863:1996 - Przedstawienie wyników prognozowania nieuszkadzalno ci, obsługiwalno ci i gotowo ci. Norma zestawia ś ś śzagadnienia, które powinny być brane pod uwag podczas ęprzedstawiania informacji dotycz cych prognozowania ilo ciowych ą ścharakterystyk nieuszkadzalno ci, obsługiwalno ci i gotowo ci ś ś śsystemów, właczaj c w to sprz t, oprogramowanie i czynnik ludzkią ę .PN-ISO 9000-3:1994 oraz PrPN- ISO 9000-3 Wytyczne do stosowania normy ISO 9001 podczas opracowywania, dostarczania i obsługiwania oprogramowania. Wytyczne te powinny być stosowane podczas zawierania umów dotycz cych oprogramowania. ąPN- ISO/ IEC 2382-1: 1996 - Słownik terminologiczny.Zawiera 144 terminy z dziedzin : terminy ogólne, reprezentacja informacji, sprz t komputerowy, oprogramowanie, programowanie, ęaplikacje i ich u ytkownik ko cowym zabezpieczenia informacyjne i ż ńzarz dzanie danymią .
Seminarium 2004 – PP, SKiSR21
Orange Book
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Poj cie bezpiecznego (jest u ywany równie termin ę ż żwiarygodnego) systemu operacyjnego zostało sformułowane ju ż w 1985 roku, gdy ogłoszono ameryka sk ń ą Orange Book - Trusted Computer Systems Evaluation Criteria. Dokument ten opracowany został w Departamencie Obrony USA. Zawiera opis kryteriów przydziału analizowanych systemów do odpowiednich klas bezpiecze stwa, informacje nt. sposobu wykonywania ńanaliz bezpiecze stwa a tak e zalecenia dotycz ce ń ż ązapewniania bezpiecze stwa systemu informatycznego. ń
Seminarium 2004 – PP, SKiSR22
Orange Book (2)7 poziomów bezpiecze stwa ń
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
W dokumencie tym Departament Obrony USA zdefiniował siedem poziomów bezpiecze stwa ńkomputerowego systemu operacyjnego. Ró ne poziomy okre laj ró ne sposoby ż ś ą żzabezpieczania sprz tu, oprogramowania i ędanych. Klasyfikacja ma charakter „zawierania”, co oznacza, e wy sze poziomy ż żmaj wszystkie cechy poziomówą ni szych.ż
Orange Book zawiera równie ż rozdział o zaleceniach dotycz cą ych sposobów wykonywania analizy systemu. W ród zalece ś ńtych s informacje o składzie personelu ąwykonuj cego analiz , o czasie wykonywania ą ęanalizy i inne.
Seminarium 2004 – PP, SKiSR23
Audyt
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
W zakresie bezpiecze stwa teleinformatycznego ń AUDYTEM nazywa si post powanie sprawdzaj ce sposób wykonania i stan ę ę ązabezpiecze systemu teleinformatycznego na zgodno ć z ń śokre lonymi wymaganiami lub standardami (np. ISO/IEC ś17799), wykonywane przez stron niezale n (w Polsce np. ę ż ąprzez ABW), maj ce na celu m.in.: ą
- ocen jako ci systemu bezpiecze stwa, ę ś ń- wykazanie, e informacja przetwarzana w systemie żteleinformatycznym została zabezpieczona zgodnie z ustaleniami pomi dzy zleceniodawcę ą, a zespołem buduj cym ąsystem bezpiecze stwa, ń- wykazanie, e system bezpiecze stwa spełnia wymagania ż ńnorm i standardów w tym zakresie, - wydanie certyfikatu bezpiecze stwa teleinformatycznego dla ńsprawdzanego systemu.
Seminarium 2004 – PP, SKiSR24
Audyt (2)
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Zastosowanie dobrej polityki bezpieczeństwa i nawet najnowocześniejszych rozwi zaą ń technologicznych z zakresu bezpiecze stwa informacji - mogń ą okazać się niewystarczające. Zawsze pozostaje tzw. ,,czynnik ludzki'', a wi c bł dy w konfiguracji, nieumiej tne administrowanie ę ę ęczy te najzwyklejsze bł dy w działajż ę ącym oprogramowaniu lub pracy urządze sprz towych.ń ęDlatego te niezwykle wa ne staje si weryfikowanie ż ż ęu ywanych zabezpiecze , najlepiej przez specjalistów z ż ńzewnątrz, którzy gwarantują świe e spojrzenie na żzainstalowane zabezpieczenia i niejednokrotnie są w stanie wykryć miejsca wyst powania rozmaitych zagro e , co w ę ż ńefekcie umo liwi zapobiegni cie ewentualnym problemom w ż ęprzyszłości.
Seminarium 2004 – PP, SKiSR25
Outsourcing
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Outside Resource Using, czyli wykorzystywanie zasobów zewn trznych jest najlepsz metod pozwalaj c ę ą ą ą ąskoncentrować si na działaniach zwi zanych ci le z ę ą ś śkierunkiem działalno ci przedsi biorstwa.ś ęIstot ą Outsourcingu IT jest wyodr bnienie i zlecenie na ęzewn trz działa zwi zanych z infrastruktur ą ń ą ąinformatyczn . Istniej ró ne mo liwo ci wykorzystania ą ą ż ż śzalet outsourcingu. Niektóre firmy decyduj si na pełne ą ęprzekazanie działa i odpowiedzialno ci zwi zanych z ń ś ąinformatyk , podmiotowi zewn trznemu. Istnieje ą ęmo liwo ć przekazania tylko niektórych procesów w ż śfirmie jako wsparcie i odci enie istniej cego działu ąż ąinformatyki w przedsi biorstwie. Zdarza si równie , e ę ę ż żmened erowie firm decyduj si na wykorzystanie firm ż ą ęzewn trznych do realizacji konkretnych projektów. ę
Seminarium 2004 – PP, SKiSR26
Zagadnienie zabezpieczenia informacji staje się z każdym dniem coraz istotniejszym problemem prowadzenia biznesu. Zależno ćś firm od wiarygodno ci, śdost pno ci, spójno ci i poufno ci gromadzonych ę ś ś śdanych zwi ksza si w miar przenoszenia biznesu od ę ę ętradycyjnie rozumianej produkcji do wyrafinowanych usług. Zwiększa si te iloę ż ćś danych chronionych przez prawo. W szybko zmieniaj cym si wiecie biznesu, ą ę śwdro enie i utrzymanie systemu bezpiecze stwa ż ńinformacji staje si zadaniem krytycznym, od którego ęmog zale eć losy organizacji, jej działanie i ą żwiarygodno ć. ś Po wej ciu Polski do Unii Europejskiej śstworzenie i wdro enie polityki bezpiecze stwa stało si ż ń ęobowi zkowe dla wszystkich firm – tych du ych jak i ą żtych najmniejszych.
Podsumowanie:
Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń
Seminarium 2004 – PP, SKiSR27
1. "IT Security Magazine" nr 7 20022. Rozporządzenie Prezesa RM z dnia 25 lutego 1999 w sprawie
podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Dz. U. Nr 18 poz. 162. Ustawa z dnia 22 stycznia 1999 o ochronie informacji niejawnych, Dz. U. Nr 11, poz. 95.,
3. Zalecenia Urzędu Ochrony Państwa dotyczące bezpieczeństwa teleinformatycznego, wersja 1.1, sierpień 2000,
4. BS 7799:1995 Code of practice for Information Security Management, , British Standard Institute,
5. Janusz Cendrowski, Ochrona informacji niejawnych cz. 5, Szkolenia specjalistyczne administratorów systemów i pracowników pionów ochrony, IT Security Magazine, nr 4(8) kwiecień 2000,
6. „Ocal swoje dane” - Biuletyn POLCOM 5 czerwiec 2002,7. Białas A.: Wspólne Kryteria - koncepcja i model bezpieczeństwa, IT
Security Magazine nr 11 (15) listopad 2000,8. Gazeta IT nr5(24) kwiecie 2004 – ń „Polityka bezpiecze stwa danych ń
w firmie - aspekt organizacyjny i prawny”,9. www.prim.com.pl/referaty/wdrazanie_iso17799.htm - wykład, dr
Andrzej Niemiec,10. Inne zasoby WWW.
Bibliografia