Normy prawne dotyczące zarządzaniem ryzykiem w sieci komputerowej

[Mexis]

Witam,
Od dłuższego czasu błądzę po sieci i szukam informacji dotyczących tego jakie normy prawne są brane pod uwagę przy zarządzaniu ryzykiem. Z racji tego że większość informacji jakie znajduje związane jest z normą ISO/IEC TR 13335 zasadniczo stanąłem w ślepym punkcie. Dla tego też postanowiłem poprosić o pomoc. Może użytkownicy tego forum mają jakiś szersze spojrzenie na to zagadnienie.
Z góry dziękuje za pomoc.

[TQM]

Normy prawne jak rozumiem chodzi Ci o to jakie przepisy organizacja moze naruszyc jesli nie bedzie (lub bedzie zle) zarzadzac ryzykiem i np ich dane zostana ujawnione?

Jesli dobrze rozumiem pytanie, to odpowiedz bedzie zalezec od tego co robi organizacja w sensie w jakim sektorze dziala. Np instytucje finansowe obslugujace platnosci maja PCI DSS i podobne, medyczne maja swoje standardy (zapomnialem akronimu) i to nie mowie nawet o tych z serii ISO bo to nie sa przepisy (choc przepisy prawne czasami przywoluja normy ISO). Do tego dochodzi legislacja krajowa pod wzgledem prywatnosci danych osobowych itp itd. Jesli organizacja dziala w paru krajach zaczyna sie prawdziwy balet :-)

[Mexis]

W głównej mierze właśnie o to chodzi. Choć przede wszystkim skupiam się nad tymi związanymi w sieci, ale jak napisałeś jest to "prawdziwy balet". Na chwilę obecną znalazłem normy i metodyki takie jak:
BS 7799-1
PD ISO/IEC Guide 73:2002
BS 7799-2
COBIT
MARION
Norma ISO 17799
Norma ISO 19011
Norma ISO 20000
Norma ISO 24762
I cała rodzina 27000
Norma ISO 27000
Norma ISO 27001
Norma ISO 27002
Norma ISO 27003
Norma ISO 27004
Norma ISO 27005
Norma ISO 27006

Podsumowując bardzo nudna lektura na niedzielny wieczór...

[TQM]

BS 7799 przeszlo w ISO 17799 i teraz jest 27001.
COBIT jest popularny itd... ale zadne z tej listy ktora podales to nie sa przepisy - to sa normy i standardy a nie przepisy. Mozesz zobaczyc tez amerykanskie HIPAA, FERPA, PCI DSS (caly swiat) itd.

Roznica miedzy norma/standardem a przepisem jest taka, ze przepis wymaga okresla co wolno a co nie wolno i moze przywolywac norme/standard jako metodologie osiagniecia celu lub oceny zgodnosci. Przepisy moga okreslac tez sankcje za nie spelnienie wymogow - to jest cos czego standardy nie moga.

[Mexis]

Dziękuje bardzo przyjże się tym podanym przez ciebie.

[selina]

Dziwi mnie w tym mailu jedna rzecz, czy była kierowana stricte do naszej firmy z jakimś konkretnym zamiarem, czy po prostu poszedł jakiś spam po wcześniejszym wyciągnięciu bazy mailowej z jakieś panoramy firm czy innego badziewia. Może znajdzie się na forum jakaś osobą, którą jarają takie rzeczy i ogarnie co to mogło być, na jakimś starym IBM-ie pozdrawiam

[Piatkosia2010]

Normy, czy to ISOwskie, czy PNki nie mają nic wspólnego z prawem i nie są obowiązkowe (do dobrowolnego stosowania o ile odpowiednia ustawa nie stanowi inaczej). Jeżeli infrastruktura przechowuje informacje niejawne, warto by było się zapoznać ze stosowną ustawą (Internetowy System Aktów Prawnych oraz Internetowy System Aktów Prawnych) i rozważyć stworzenie kancelarii akredytowanej przez ABW/SKW. Wtedy już SWBSy (szczególne wymagania bezpieczeństwa systemu) i pilnowanie procedur. Jeśli cię same normy (niekoniecznie) interesują, rzuć jeszcze okiem na IN - Zarządzanie ryzykiem bezpieczeństwa informacji niejawnych
A może zamiast czytać norm (które kosztują) spróbuj skombinować sobie książkę „Szacowanie ryzyka oraz zarządzanie ryzykiem w świetle nowej ustawy z dnia 5 sierpnia
2010 r. o ochronie informacji niejawnych - przykład metody analizy ryzyka opartej na gotowych macierzach”? W bibliotekach majo.