Identyfikatory
Warianty tytułu
Teaching information security management: standards and practice
Konferencja
Konferencja e-Technologie w Kształceniu Inżynierów eTEE’2016 (III; 11.04.2016; Kraków, Polska)
Języki publikacji
Abstrakty
Pracownicy są najważniejszym ogniwem w ochronie informacji wewnątrz organizacji, gdyż to właśnie oni posiadają regularny dostęp do jej zasobów informacyjnych. Fakt ten jest dobrze rozpoznany przez krajowe oraz międzynarodowe instytucje standaryzujące, które w publikowanych normach zalecają kształcenie, szkolenia i podnoszenie świadomości pracowników jako kluczowy element strategii ochrony informacji przedsiębiorstw. W artykule przedstawiono obowiązujące standardy zarządzania bezpieczeństwem informacji i wskazano miejsca, gdzie definiowane są właściwe polityki, role, odpowiedzialności i działania związane z kształceniem i podnoszeniem świadomości. Następnie zaprezentowano przykład realizacji tych zaleceń w postaci włączenia do programu nauczania Wydziału Zarządzania i Ekonomii Politechniki Gdańskiej przedmiotu „Zarządzanie bezpieczeństwem informacji”. Opisano też doświadczenia i obserwacje wynikające z prowadzenia przedmiotu.
Security experts agree that people are the critical factor in protection of organisations’ cyber assets. The end-users access the assets on a regular basis and in most cases either they lack the security knowledge necessary to protect them or they know how to avoid protection mechanisms – in both cases the result is the same, namely the exposure of the cyber assets to threats. At the same time the majority of organisations concentrate their information security budget on technical solutions. This is because technical methods are well-defined (thus – comprehensible) and give an illusion that when applied all security issues will be solved. Acquire a “box” – an anti-virus, a firewall or an anti-malware – install it, and consider the problem solved. This approach tends however to be ineffective. Surveys show that despite the gradually increasing investments in technical controls the number of intrusions reported annually also continues to rise. Interestingly, there are reports claiming that the majority of breaches were caused by insiders. Technical solutions cannot make a network more secure than activities of people who use it, because poor user practices overcome the even the most carefully planned security system. Educating and raising security awareness among personnel is like expanding the information security department into the whole organisation. Instead of few security experts trying to protect the network, security manager has at his/her support each employee of the organisation taking care of the security interests of the company. This establishes some sort of a “human firewall” that will be very likely more efficient than a technical solution, and in contrast to it, able to recognise unknown, previously undetected threats. The importance of Security Education, Training and Awareness (SETA) is today widely recognised in the cybersecurity domain. The relevant security requirements and controls are described in majority if not all of security standards. The number of SETA initiatives continues to grow. In this paper security requirements and controls in the information security management standards are presented, followed by the description of an example of their realisation: teaching information security management at the Faculty of Management and Economics of Gdańsk University of Technology.
Rocznik
Tom
Strony
47--53
Opis fizyczny
Bibliogr. 14 poz., rys., wykr.
Twórcy
Bibliografia
- 1. Hight S. D.: The importance of a security, education, training and awareness program, 2005.
- 2. Motorola: The User Role in Information Security, 2010.
- 3. Bowen P., Hash J., Wilson M.: NIST SP 800-100 Information Security Handbook: A Guide for Managers, 2006.
- 4. ISO/IEC: ISO/IEC 27002:2005: Information technology — Security techniques — Code of practice for information security management, 2005.
- 5. ISO/IEC: ISO/IEC 27005:2011: Information technology — Security techniques — Information security risk management, 2011.
- 6. Humphreys E.: Information security management system standards, Datenschutz und Datensicherheit - DuD 35, 2011, s. 7–11.
- 7. ISO/IEC: ISO/IEC 27001:2013: Information technology – Security techniques – Information security management systems – Requirements, http://shop.bsigroup.com/ProductDetail/?pid=000000000030313534, 2013.
- 8. Polski Komitet Normalizacyjny: PN-ISO/IEC 27001:2014-12: Technika informatyczna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji — Wymagania, 2014.
- 9. Ross R., Katzke S., Toth P.: The New Fisma Standards and Guidelines Changing The dynamic of Information Security for the Federal Government. In: MILCOM 2005 - 2005 IEEE Military Communications Conference. pp. 1–7. IEEE 2005.
- 10. Siponen M., Willison R.: Information security management standards: Problems and solutions, Inf. Manag. 46, 2009, s. 267–270.
- 11. ENISA: Protecting Industrial Control Systems - Recommendations for Europe and Member States, ENISA 2011.
- 12. Humphreys E.: Information security management standards: Compliance, governance and risk management, Inf. Secur. Tech. Rep. 13, 2008, s. 247– 255.
- 13. Polski Komitet Normalizacyjny: PN-ISO/IEC 27001:2007: Technika informatyczna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji — Wymagania, 2007.
- 14. National Institute of Standards and Technology (NIST): NIST SP 800-53 Rev. 4 Recommended Security Controls for Federal Information Systems and Organizations, U.S. Government Printing Office 2013.
Uwagi
PL
Opracowanie ze środków MNiSW w ramach umowy 812/P-DUN/2016 na działalność upowszechniającą naukę.
Typ dokumentu
Bibliografia
Identyfikator YADDA
bwmeta1.element.baztech-e642c8ab-9586-455f-be27-1ee2c7edf5c6
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.