wstęp - Tomasz Barbaszewski

Transkrypt

System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Jakość informacji i jej znaczenie
Pojęcie jakości informacji zostało wprowadzone stosunkowo niedawno (bezpośrednio po II
Wojnie Światowej w 1945 r.). Na potrzeby praktyki kierowania jakość informacji wygodnie jest
określać przy pomocy następujących atrybutów:
•
•
•
•
•
•
•
•
relatywność – informacja odpowiada potrzebom odbiorcy i ma dla niego znaczenie,
dokładność - informacja jest precyzyjna oraz dokładnie określa temat,
aktualność – informacja odpowiada aktualnemu stanowi wiedzy,
kompletność – informacja zawiera wszystkie dane niezbędne dla jej odbiorcy umożliwające
mu podjęcie lub kontynuowanie działań,
spójność – forma informacji odpowiada jej treści, elementy informacji współgrają ze sobą,
odpowiedniość – forma prezentacji informacji jest dostosowana do jej odbiorców i
zapewnia jej poprawną interpretację,
wiarygodność – informacja zawiera elementy uwierzytelniające poprawność przekazu,
przystawalność – informacja jest zgodna z innymi.
Zarządzanie i planowanie jest nierozerwalnie związane z informacją. Efektywna działalność nie
jest możliwa bez dysponowania informacją – dość często mamy do czynienia z tworzeniem się
nieformalnych kanałów informacyjnych, które w niektórych organizacjach uzupełniają skutecznie
pracę niezbyt sprawnie funkcjonujących formalnych systemów informacyjnych.
Sprawne kierowanie dowolną organizacją jest możliwe jedynie pod warunkiem dysponowania
informacją o możliwie wysokiej jakości.
Wielu informacjom można przypisać również wymierną wartość materialną. Na przykład
dokumentacja techniczna dowolnego urządzenia jest niezbędna do jego produkcji, zaś posiadanie
instrukcji serwisowej jest warunkiem poprawnego wykonywania usług. W obu przykładach
informacja jest zasobem niezbędnym do realizacji procesu biznesowego i jej brak może
uniemożliwić realizację podstawowych celów organizacji.
Informacji można więc przypisać atrybut wartości (cenności) dla organizacji i traktować ją jako
aktywo niezbędne do realizacji procesów biznesowych.
Wiele informacji (tajemnice państwowe i służbowe, bankowe, dane osobowe i medyczne,
utwory autorskie itp.) jest chronionych z mocy prawa. Od dawna również znane jest szpiegostwo –
zarówno militarne, jak i przemysłowe.
Rozdział 1: Wprowadzenie
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 1 z 8
Informacja w dobie komputeryzacji
Rozpowszechnienie się systemów komputerowych ma ogromne skutki dla zarządzania
informacją. Przejście na cyfrowe kodowanie informacji spowodowało, że kopia z informacji
cyfrowej (np. utworu muzycznego) jest nieodróżnialna od oryginału, a co najważniejsze może być
wykonana bardzo szybko oraz za pomocą niedrogich, powszechnie dostępnych urządzeń.
Zachwiało to poważnie całym biznesem muzycznym, który obecnie dość gorączkowo pracuje nad
zmianą sposobu dystrybucji.
Nowoczesne kopiarki (powszechnie dostępne np. na uczelniach) postawiły pod znakiem
zapytania skuteczność zakazów kopiowania podręczników, nut itp.
Jednak największy wpływ na zmianę stosunku do informacji miała lawinowo rosnąca pojemność
nośników informacji oraz prędkości jej przetwarzania przez urządzenia powszechnego użytku –
komputery PC. I choć pojemność pamięci i wydajność najnowszych modeli komputerów osobistych
to w dalszym ciągu nikły ułamek pojemności i mocy maszyn profesjonalnych zawierających ponad
200 000 rdzeni procesorowych, 300 TB pamięci RAM i pamięć dyskową rzędu 5000 TB, to ich
wydajność i pojemność jest dla przeciętnego użytkownika ogromna. Łatwość składowania dużej
ilości informacji, wydajne systemy baz danych powodują również znaczny przyrost wymagań
związanych ze sprawozdawczością.
Współczesny popularny komputer PC dysponuje dyskiem twardym o pojemności rzędu 250 GB
(lub większej). Taka pojemność może pomieścić ponad 50 000 000 (pięćdziesiąt milionów!) stron
maszynopisu. Zarządzanie taką ilością informacji stanowi prawdziwe wyzwanie. Popularne
przenośne nośniki informacji (PenDrive) mają pozornie mniejszą pojemność, ale i tak są w stanie
pomieścić około 1 mln stron maszynopisu. Właśnie taki nośnik wykorzystano do wyniesienia z
Instytutu Pamięci Narodowej listy współpracowników SB. Szybkość przesyłania danych dla
standardu USB 2.0 może wynosić do 60 Mbajtów na sekundę, a dla nowego USB 3.0 nawet 10 razy
więcej do 600 Mbajtów na sekundę. Dla porównania krążek CD ma pojemność rzędu 700 MB.
Nośnik typu PenDrive o pojemności 2 GB (lub większej) można kupić
w dowolnym sklepie komputerowym i jest on niewiele większy od
wtyczki USB i można go z łatwością przenieść przez punkty kontroli.
Efektywne i pojemne przenośne nośniki dużej ilości danych (a więc
informacji) to również nowoczesne telefony komórkowe, cyfrowe
aparaty fotograficzne i inne, podobne urządzenia.
Kolejnym wyzwaniem jest łatwość i szybkość dystrybucji informacji. Współczesne rozległe
sieci komputerowe (również w Polsce) coraz częściej korzystają z technologii 10 Gigabit Ethernet,
która zapewnia bardzo szybkie przesyłanie danych na znaczne odległości. Plany Unii Europejskiej
zakładają, że za 10 lat 80% gospodarstw domowych będzie dysponować szybkim (~100 Mbps)
dostępem do Internetu. Jest to prędkość, która dziś jest typowa dla firmowych sieci lokalnych.
Rozwój sieci bezprzewodowych oraz ich powszechna dostępność (hotele, kawiarnie, popularne Hot
Spots) również sprzyja powstawaniu nowych zagrożeń.
str. 2 z 8
Opisany powyżej pobieżnie rozwój technologii teleinformatycznych (zwanych w skrócie IT)
znacznie wyprzedza zmiany w świadomości osób korzystających z informacji – również dla celów
profesjonalnych. Ogromna pojemność nośników danych powoduje zanik naturalnych zahamowań,
które poprzednio stanowiły istotny czynnik sprzyjający naturalnej ochronie informacji.
Prawdopodobieństwo, że nielojalny pracownik
zdecyduje się na wyniesienie teczki z cenną
dokumentacją w postaci pliku dokumentów jest
niewielkie ze względu na znaczne związane z tym
ryzyko. Wykonanie kopii takiej dokumentacji
również nie jest proste i szybkie.
Jeśli jednak taką dokumentację można skopiować
na malutki nośnik PenDrive sytuacja się zmienia.
W wielu firmach i instytucjach praktykuje się wykorzystywanie przenośnych nośników danych
lub komputerów przenośnych typu notebook w celu zwiększenia wykorzystania pracowników
(praca w domu) nie zwracając większej uwagi na nieuchronnie związane z tym zagrożenia. Mały
nośnik łatwo może być zagubiony, zaś komputer przenośny jest zawsze atrakcyjnym łupem dla
złodzieja. W moim przekonaniu jest to związane z brakiem ugruntowanej świadomości, jak wielką
ilość informacji może pomieścić malutki PenDrive, popularna komórka lub przenośny komputer
czy tablet i jak łatwo mogą być one utracone.
Nie można również nie doceniać zagrożeń związanych z wykorzystywaniem komputerów
(zwłaszcza przenośnych) do celów niezwiązanych z realizacją zadań służbowych. I nie chodzi tu
bynajmniej jedynie o korzystanie z Internetu. W wielu przypadkach użytkownicy tych komputerów
wymieniają się plikami (np. zdjęciami z imprez – również firmowych!). Jeśli podczas audytu
zadamy pytanie o takie praktyki, to otrzymamy zazwyczaj odpowiedź: „przecież żaden haker nie
zaatakuje mojego komputera, bo nie łączyłem się z Internetem”. Jest to wynik jednostronnej
propagandy, którą uprawiają popularne media, a tymczasem znany jest przypadek, gdy ściśle tajne
dane dotyczące najnowszych systemów obronnych marynarki japońskiej zostały przypadkowo
upublicznione przez jej marynarzy, którzy wymieniali się zdjęciami pornograficznymi! Podobne
przykłady można mnożyć. Znany jest szereg podobnych zdarzeń w Polsce. Udokumentowane straty
w wyniku pojedynczego incydentu wynoszą od kilku do kilkuset milionów złotych.
Zarządzanie bezpieczeństwem informacji stało się potrzebą chwili. Znajduje do wyraz w już
obowiązujących (Ustawa o Ochronie Danych Osobowych oraz towarzyszące jej Rozporządzenia
wykonawcze) aktach prawnych, jak i ich projektach znajdujących się w końcowym etapie
uzgodnień – na przykład w dokumencie, którego fragmenty cytuję na następnej stronie:
str. 3 z 8
Projekt 22‐04‐2011
ROZPORZ DZENIE
RADY MINISTRÓW
z dnia ……………………………… 2011 r.
w sprawie Krajowych Ram Interoperacyjno ci, minimalnych wymaga dla rejestrów
publicznych i wymiany
informacji w postaci elektronicznej oraz minimalnych wymaga dla systemów
teleinformatycznych
Na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji
dzia alno ci podmiotów
realizuj cych zadania publiczne (Dz. U. Nr 64, poz. 565, z pó n. zm. 1))
zarz dza si , co nast puje:
...
§ 14. 1. Podmiot realizuj cy zadania publiczne opracowuje i ustanawia, wdra a i
eksploatuje, monitoruje i
przegl da oraz utrzymuje i doskonali system zarz dzania bezpiecze stwem
informacji zapewniaj cy poufno ,
dost pno
i integralno
informacji z uwzgl dnieniem takich atrybutów jak
autentyczno , rozliczalno ,niezaprzeczalno
i niezawodno .
...
3. System zarz dzania bezpiecze stwem informacji spe nia wymogi, o których mowa w ust. 1
i 2, je eli
zosta opracowany na podstawie Polskiej Normy PN ISO/IEC 27001:2007 „Technika
informatyczna – Techniki
bezpiecze stwa – Systemy zarz dzania bezpiecze stwem informacji – Wymagania” wraz z
normami
uzupe niaj cymi lub normy go zast puj cej, a ustanawianie zabezpiecze , zarz dzanie
ryzykiem oraz
audytowanie odbywa si na podstawie Polskich Norm zwi zanych z t norm , w tym:
1) PN‐ISO/IEC 17799:2007 “Technika informatyczna – Techniki bezpiecze stwa – Praktyczne
zasady zarz dzania bezpiecze stwem informacji”,
2) PN‐ISO/IEC 27005:2010 “Technika informatyczna – Techniki bezpiecze stwa – Zarz dzanie
ryzykiem w bezpiecze stwie informacji”
3) PN‐ISO/IEC 24762:2010 “Technika informatyczna – Techniki bezpiecze stwa – Wytyczne dla
us ug odtwarzania techniki teleinformatycznej po katastrofie”.
Podobne ustalenia znajdziemy także w innych aktach prawnych – np. dotyczących zasad
prowadzenia dokumentacji medycznej w postaci elektronicznej, gdzie również zaleca się
stosowanie zaleceń publikowanych w Polskich Normach.
Pojawienie się zagadnień związanych z zarządzaniem bezpieczeństwem informacji w oficjalnych
aktach prawnych należy powitać z dużym zadowoleniem. Konsekwentne wprowadzanie
standardów bezpieczeństwa informacji opartych o techniki zarządzania przez jakość na pewno
wpłynie korzystnie na podniesienie zaufania do polskich systemów informacyjnych.
str. 4 z 8
Doktryna jakości i zarządzanie bezpieczeństwem informacji
Termin „Doktryna Jakości” to hasło (i równocześnie tytuł książki) Prof. Andrzeja Jacka Blikle, z
której również pochodzi poniższy rysunek ilustrujący trzy zasady Doktryny Jakości:
Zasada stałego doskonalenia
doskonalimy wszystko, wszyscy i stale
Zasada racjonalności
myślenie systemowe
Zasada współpracy
budowanie relacji
Wręcz zadziwiające, jak znakomicie mogą (i powinny) być one zastosowane przy ustanawianiu
Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). System ten nie może być złożony z
niezależnych od siebie elementów – bezpieczeństwo nie jest bowiem pojęciem podzielnym – musi
tworzyć spójny system, w którym wszystkie ogniwa łańcucha są ważne.
Zasada stałego doskonalenia
O bezpieczeństwie informacji nie decydują konsultanci, audytorzy czy jednostki certyfikujące.
Każdy pracownik musi dbać osobiście i świadomie o bezpieczeństwo i jakość informacji – jeśli
warunek ten nie będzie spełniony SZBI stanie się zbiorem martwych procedur, które pracownicy
będą starali się omijać, lub w najlepszym przypadku lekceważyć.
Na przykład:
W wielu instytucjach wywieszone są szczegółowe Instrukcje Przeciwpożarowe. Są one dostępne w
różnych wersjach – i zawierają na ogół kilkanaście punktów spisanych (z konieczności) drobnym
drukiem. Obowiązek został więc spełniony – audytor odnotuje to w swoim arkuszu.
Ale czy rzeczywiście poziom bezpieczeństwa pożarowego wzrósł jeśli na tablicy ogłoszeń
umieszczono taką Instrukcję?
Prowadzę zajęcia (z Zarządzania Bezpieczeństwem Informacji) na nowym, pięknym Kampusie UJ
w klimatyzowanej sali bez okien. Do sali prowadzi dwoje drzwi. Przed rozpoczęciem zajęć nikt nie
udzielił mi żadnej instrukcji – oczywiście, kiedyś bardzo dawno odbyłem na uczelnie obowiązkowe
przeszkolenie BHP i PPoż.
str. 5 z 8
Ale gdy prowadziłem zajęcia na podobnym Kampusie w innym kraju otrzymywałem krótką i jasną
instrukcję:
•
•
•
•
Prowadzący powinien zanotować liczbę osób będących na sali,
Wszystkie wejścia do sali powinny być łatwe do natychmiastowego otwarcia (nie mogą być
zamknięte na klucz),
Osoby z sali XXX zbierają się w razie konieczności jej awaryjnego opuszczenia w
określonym miejscu na parkingu,
Prowadzący zajęcia przelicza osoby i zgłasza dowódcy akcji ratunkowej liczbę osób, które
nie stawiły się na zbiórce.
Każdy z punktów tej instrukcji i jego znaczenie dla bezpieczeństwa P-Poż można bardzo łatwo
uzasadnić. A w ilu salach w trakcie wykładów są otwarte jedynie jedne drzwi? Co się wówczas
stanie, gdy wybuchnie panika? Skąd prowadzący akcję gaśniczą ma się dowiedzieć, czy w budynku
nie pozostali jeszcze studenci?
Nieprzestrzeganie zasady otwierania wszystkich drzwi wielokrotnie doprowadziło już do
tragedii (np. podczas pożaru hali widowiskowej Stoczni Gdańskiej lub zawalenia się hali Targów
Katowickich). Jeśli wszyscy pracownicy nie będą troszczyć się o bezpieczeństwo – bezpieczeństwa
po prostu nie będzie.
Wykłady za granicą spowodowały, że zawsze starannie otwieram wszystkie drzwi do sal
wykładowych i przeliczam przed rozpoczęciem zajęć studentów obecnych na sali...
Zasada współpracy
Już w latach sześćdziesiątych ubiegłego wieku Deming i Juran, zwani „Kings of Quality”
przeprowadzili w USA badania, których wynik wykazał, że jeśli pracownik pracuje źle, to w 95%
przypadków przyczyna leży po stronie organizacji, w której pracuje. Karanie (np. utratą premii) za
nieprzestrzeganie procedur bezpieczeństwa zawartych z SZBI nie ma więc większego sensu, bo w
niczym nie zmieni sytuacji. Pracownicy powinni kierować się motywacją wewnętrzną, która może
wyniknąć jedynie z przekonania o słuszności tych procedur (podobnie, jak mnie przekonały zajęcia
prowadzone za granicą).
Bezpieczeństwo (w tym także bezpieczeństwo informacji) powinno posiadać wysoki (a na ogół
najwyższy) priorytet. Pracownicy, przełożeni, kierownictwo oraz konsultanci i audytorzy powinni
ściśle współpracować w celu osiągnięcia wysokiego poziomu bezpieczeństwa. Współpraca może
mieć charakter pozytywny lub negatywny:
Wzmocnienie negatywne:
Zatłoczoną drogą jedzie samochód wiozący ważną w organizacji osobę, która spieszy się na
spotkanie. Ważna osoba wydaje kierowcy polecenie wyprzedzania pomimo że zasady
bezpieczeństwa tego zabraniają.
Następnym razem z dużym prawdopodobieństwem kierowca sam podejmie decyzję o przekroczeniu
przepisów i podjęciu ryzyka, ponieważ liczy na uznanie ze strony swego pasażera – przełożonego.
str. 6 z 8
Wzmocnienie pozytywne:
Zatłoczoną drogą jedzie samochód wiozący ważną w organizacji osobę, która spieszy się na
spotkanie. Kierowca przekracza dozwoloną prędkość i wykonuje ryzykowne manewry.
Ważny pasażer protestuje przeciwko takiemu stylowi jazdy stwierdzając „proszę Pana, nasze życie
jest najważniejsze”.
Następnym razem z dużym prawdopodobieństwem kierowca będzie przestrzegał przepisów ruchu
drogowego i nie podejmie zbędnego ryzyka, ponieważ liczy na uznanie ze strony swego pasażera –
przełożonego.
Zasada racjonalności
Podstawowa zasada racjonalności zakłada, że nie należy próbować podejmować działań dopóki
nie poznamy mechanizmów rządzących zjawiskami, na które mamy zamiar wpłynąć. Tymczasem w
przypadku bezpieczeństwa systemów informacyjnych najczęściej znajdujemy się w sytuacji
określanej przez Prof. A.J.Blike jako „nie wiem, że nie wiem”. Skutkuje to próbami wprowadzania
przeróżnych rozwiązań, decyzjami o zakupach podejmowanymi jedynie w oparciu o agresywne
działania marketingowe. W sytuacji „nie wiem, że nie wiem” najczęściej dążymy do znalezienia jak
najprostszego rozwiązania problemu, którego istoty nie znamy. W rezultacie najczęściej spotka nas
niepowodzenie.
Poczta elektroniczna jest dostarczana metodą „store and forward”. Włączając komputer
uruchamiamy odpowiedni program (Outlook Express, Thunderbird, Evolution itp.). Program łączy
się z serwerem poczty i po chwili na naszym komputerze „lądują” wszystkie skierowane do nas
wiadomości. Równocześnie wysyłane są wiadomości, które wcześniej przygotowaliśmy do wysłania.
Mamy jednak problem – wraz z pocztą elektroniczną na naszym komputerze osobistym lądują
wszelkie załączniki mogące zawierać wirusy i inne złośliwe programy oraz najczęściej spora ilość
spamu. Większość uważa to za „dopust Boży” i instaluje programy antywirusowe, antyspamowe itp.
Mało osób zadaje sobie jednak pytanie – czy tak musi być? Odpowiedzi udzieliła choćby firma
Google oferując usługę gmail, w której skierowaną do nas pocztę elektroniczną przeglądamy przy
użyciu przeglądarki WWW nie ściągając wszystkiego „jak leci” na nasz komputer!
Przecież system „store and forward” powstał głównie w tym celu, aby efektywnie korzystać z linii
telefonicznych! W zamierzchłych (dla niektórych) czasach wnosiło się opłaty za czas połączenia z
Internetem, zaś sama transmisja była powolna (30-50 kbps!). Maszyny więc przesyłały pocztę
między sobą jak najszybciej się dało, a po zakończeniu transmisji rozłączały połączenie. Post Office
Protocol miał więc jak najbardziej sens.
Ale dziś? W sieci lokalnej dysponujemy stałym łączem o prędkości 100Mbps. W domu lub w sieci
rozległej >1Mbps to dość popularna prędkość transmisji danych. Poza tym – nie płacimy za czas
połączenia – już raczej (jeszcze w niektórych sieciach i taryfach) za ilość przesłanych danych. Czy
w tej sytuacji ściąganie całej poczty ma sens? Czy nie lepiej (i znacznie bezpieczniej!) uruchomić
przeglądarkę, sprawdzić pocztę na zdalnym serwerze i ściągnąć jedynie te listy, które są nam
niezbędne na naszej maszynie? Poczta Google zapewnia za darmo przestrzeń 7 GB. O filtrowanie
spamu, blokadę wirusów martwią się (i to bardzo skutecznie) fachowcy-administratorzy. Dlaczego
więc nie stosujemy podobnego rozwiązania w naszej korporacji? Obawiam się, że prawdziwy
powód to „nie wiemy, że nie wiemy”...
str. 7 z 8
Zrozumienie zasad Doktryny Jakości oraz ich zastosowanie przy ustanawianiu SZBI prowadzi
do rzeczywistego wzrostu poziomu bezpieczeństwa informacji. Następuje to dzięki:
•
ścisłemu powiązaniu procedur Systemu Zarządzania Bezpieczeństwem Informacji z
procesami biznesowymi realizowanymi przez pracowników (w podanym przykładzie z
wykładem akademickim).
Dzięki temu procedury stają się proste i przejrzyste – a konieczność ich przestrzegania
oczywista.
•
Uruchomieniu mechanizmów współpracy zmierzających do zachowania bezpieczeństwa
informacji. Jeśli nawet jedna z osób pracujących w systemie złamie reguły bezpieczeństwa
(np. zapisując koleżance lub koledze swoje hasło) to ta koleżanka powinna zaprotestować –
podobnie, jak powinna zaprotestować, gdy kolega po powrocie z urlopu zaprosi ją na
oglądanie zdjęć z wakacji na komputerze służbowym.
•
Sprawdzeniu, czy wykorzystywanych mechanizmów nie da się udoskonalić lub zastąpić
innymi, bezpieczniejszymi. Jedną z podstawowych zasad zarządzania przez jakość jest stałe
doskonalenie. Podnoszony niekiedy argument, że zmiany są kosztowne bardzo często po
przeprowadzeniu rzetelnej kalkulacji okazuje się po prostu nieprawdziwy - np. koszt
rocznej eksploatacji zabezpieczeń klasycznego systemu poczty elektronicznej może się
okazać znacznie wyższy niż koszt zmiany jej konfiguracji lub skorzystania z usług
zewnętrznych.
Zasadę racjonalności staram się od dawna stosować w praktyce przygotowując testy egzaminacyjne
i oceniając je według recepty: Dobra odpowiedź – 1 pkt., brak odpowiedzi – 0 pkt., zła odpowiedź
-1 punkt!
•
•
•
Inżynier, który wie – to dobry fachowiec.
Inżynier, który „wie, że nie wie” - zawsze może się dowiedzieć.
Inżynier, który „nie wie, że nie wie” może być niebezpieczny, ponieważ nie widzi swych
słabości i dlatego nie ma szans na korygowanie popełnianych przez siebie błędów.
Oczywiście, bardzo często przyzwyczajamy się się do warunków i „sytuacji”. Aby zapobiec
chociaż w pewnym stopniu temu zjawisku w zarządzaniu przez jakość wprowadzono zasadę „pytaj
pięć razy dlaczego” (5 Why Sakichi Toyoda). W tym procesie powinni uczestniczyć zainteresowani
pracownicy, ponieważ tylko oni mogą udzielić rzetelnych i prawdziwych odpowiedzi na pytania
zadawane przez konsultanta.
Połączenie tej zasady ze powszechnie wykorzystywaną w biznesie analizą What-If (ale w
odniesieniu do zagrożeń bezpieczeństwa informacji – a nie np. zmian kursowych) to zadania,
któremu powinien sprostać konsultant zarządzania bezpieczeństwem informacji. Samo wypełnienie
kwestionariuszy i wygenerowanie procedur bez współpracy z kierownictwem i pracownikami
organizacji wdrażającej SZBI nie wystarczy.
str. 8 z 8

wstęp - Tomasz Barbaszewski

Transkrypt

Podobne dokumenty

Bezpieczeństwo prawne

Akwizycja i modernizacja systemu

Bezpieczeństwo fizyczne i środowiskowe

Bezpieczeństwo informacji – wdrożenie, certyfikacja i

Zasady zarządzania bezpieczeństwem informacji przy realizacji

PDF by LASER

PDF by LASER

PDF by LASER

Zarządzanie aktywami informacyjnymi

Program Kontroli Jakości Bezpieczeństwa Informacji