Zarządzanie bezpieczeństwem informacji w urzędach pracy

Transkrypt

1 Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP, CRISC Projekt Implementacja i rozwój systemu informacyjnego publicznych służb zatrudnienia

2 O bezpieczeństwie w mediach Źródło: zaufanatrzeciastrona.pl 2

3 Badania i statystyki Polska znajduje się obecnie w czołówce najbardziej zagrożonych krajów w regionie Europy, Bliskiego Wschodu i Afryki. Blisko 60% polskich firm ma do czynienia z atakami w cyberprzestrzeni 78% firm dostrzega zagrożenia związane z przekazywaniem danych stronom trzecim 74% firm obawia się wykorzystania urządzeń mobilnych 70% firm dostrzega problem braku świadomości zagrożeń wśród swoich pracowników Ponad 80% zagrożeń w Internecie nosi znamiona działań o charakterze zorganizowanym Źródło: Raporty na temat stanu bezpieczeństwa publikowane przez Symantec, Deloitte 3

4 Incydenty i zagrożenia 6 kwietnia 2014 roku ujawniona została bardzo poważna luka bezpieczeństwa (Heartbleed Bug) w bibliotece OpenSSL, wykorzystywanej przez większość szyfrowanych usług sieciowych np. www, poczta 18 marca 2014 roku przeprowadzono atak na pracowników gmin i powiatów dysponujące dostępem do rachunków bankowych urzędów. Celem ataku byli użytkownicy systemu BeSTi@ służącego do raportowania informacji dla Regionalnych Izb Obrachunkowych Na przełomie marca i kwietnia 2013 roku przeprowadzono ataki DDoS na witryny Allegro, BRE Bank, mbank, Multibank, ING Bank Śląski, Oktawave Na przełomie stycznia i lutego 2013 roku zaatakowany został polski rejestr domen prowadzony przez NASK, w którym nagle dokonano 2,3 mln rezerwacji (>100% dotychczasowej liczby zarejestrowanych domen) W styczniu 2012 roku celem ataków stały się witryny internetowe Sejmu, Ministerstwa Kultury i Dziedzictwa Narodowego, Kancelarii Premiera Rady Ministrów i Ministerstwa Obrony Narodowej 30 września 2011 r. 2 osoby dokonały podmiany treści około 300 witryn samorządowych 4

5 5 Czy nas to dotyczy?

6 Przegląd obserwacji audytowych w PUP i WUP Brak spójnej Polityki Bezpieczeństwa Informacji Brak regularnych testów podatności systemów informatycznych Brak sformalizowanego procesu zgłaszania incydentów Nie prowadzi się regularnych audytów bezpieczeństwa systemów informatycznych Informacje inne niż dane osobowe nie są klasyfikowane Zarządzanie zmianami nie obejmuje planowania i analizy wpływu zmiany Brak systemowego podejścia do zarządzania incydentami bezpieczeństwa Nie zdefiniowano procesu planowania ciągłości działania Brak analizy ryzyka przed rozpoczęciem współpracy ze stroną trzecią Niewłaściwe zarządzanie kopiami zapasowymi Niewystarczający nadzór nad użytkownikami Niewystarczające monitorowanie bezpieczeństwa systemów Niewystarczający nadzór nad aktywami Brak formalnych zasad bezpieczeństwa przy odbiorze systemów Niewystarczający nadzór nad usługami strony trzeciej Brak zasobów ludzkich dla zapewnienia właściwego poziomu bezpieczeństwa Brak procesu uświadamiania pracowników w zakresie bezpieczeństwa Niewłaściwe zabezpieczanie nośników w ruchu Brak monitorowanie wymagań dla bezpieczeństwa informacji Niewystarczający nadzór nad zasobami Utrata kontroli nad udostępnianiem informacji publicznych 6

7 Pierwsza linia obrony Skuteczny system zarządzania System zarządzania ryzykiem System zarządzania usługami IT System zarządzania bezpieczeństwem informacji System zarządzania ciągłością działania Podejście systemowe, oparte na obowiązujących powszechnie zasadach zarządzania i cyklu Deminga Podejście zgodne z cyklem kontroli zarządczej 7

8 Źródła wsparcia Raport o stanie bezpieczeństwa cyberprzestrzeni RP Rządowy Program Ochrony Cyberprzestrzeni RP na lata Ćwiczenia Cyber Europe (500 specjalistów z 29 państw członkowskich UE) i Cyber-EXE Polska (banki w Polsce) Rozporządzenie o Krajowych Ramach Interoperacyjności Centra wsparcia - CERT (Computer Emergency Response Team) 8

9 Budowanie odporności na ryzyko Odporność procesów zarządzania Polityka bezpieczeństwa informacji Plany ciągłości działania Plany awaryjne Podniesienie poziomu dojrzałości procesów Standaryzacja i certyfikacja Ciągłe doskonalenie Monitorowanie i wykrywanie incydentów Korelacja i wnioskowanie Usprawnienie podejścia Odporność zasobów Infrastruktura Systemy informatyczne Personel Dostawcy usług 9

10 Od czego zacząć? Przepisy prawa Ustawa o finansach publicznych Ustawa o informatyzacji i rozporządzenie o KRI Ustawa i rozporządzenia o ODO Międzynarodowe normy ISO IT Service Management System ISO Information Security Management Systems ISO Societal security Business continuity management systems ISO Risk management Principles and guidelines Regulacje wewnętrzne: Polityki, standardy, procedury, instrukcje System zarządzania bezpieczeństwem informacji Analiza ryzyka Opracowanie odpowiedzi na ryzyko Monitorowanie i ocena Ciągłe doskonalenie 10

11 Pytania i odpowiedzi Radek Kaczorek, CISA, CIA, CISSP, CRISC rkaczorek@immusec.com