DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Transkrypt

1 Załącznik do Zarządzania Prezydenta Miasta Kędzierzyn-Koźle Nr 1624/BIO/2013 z dnia 4 października 2013 r. DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

2 Spis treści Deklaracja... 3 Definicje... 4 Cele i strategie bezpieczeństwa Urzędu Miasta Kędzierzyn-Koźle... 6 Struktura dokumentów Polityki Bezpieczeństwa Informacji... 9 Sposób funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji regulują dokumenty:... 9 Odpowiedzialność za bezpieczeństwo informacji Główny Administrator Informacji (GAI) Główny Administrator Bezpieczeństwa Informacji (GABI) Administratorzy Bezpieczeństwa Informacji (ABI) Administratorzy Informacji (AI) Administratorzy Systemów (AS) Administratorzy Bezpieczeństwa Systemów (ABS) Informacje przetwarzane przez system informatyczny Urzędu Infrastruktura systemu informacyjnego urzędu Opis Infrastruktury systemu informacyjnego urzędu Zarządzanie ryzykiem Procedura zarządzania ryzykiem Analiza ryzyka Identyfikowanie ryzyka Macierz Prawdopodobieństwo/wpływ Rejestr ryzyk Podsumowanie...21

3 Deklaracja Miarą skuteczności działania każdej jednostki organizacyjnej jest stopień osiągania zamierzonego celu. Mając świadomość znaczenia technologii, narzędzi i systemów informatycznych w tym procesie oświadczam, że podejmowane przez Urząd Miasta Kędzierzyn-Koźle działania dążą do zapewnienia bezpieczeństwa zasobów informacyjnych i są zgodne z wymogami obowiązującego prawa. W celu udokumentowania realizacji Systemu Zarządzania Bezpieczeństwem Informacji przyjmuję Politykę Bezpieczeństwa Informacji. Zasady, działania, kompetencje i zakresy odpowiedzialności opisane w dokumentach Polityki Bezpieczeństwa Informacji obowiązują wszystkich pracowników Urzędu Miasta Kędzierzyn- Koźle. Zobowiązuję się do podejmowania wszelkich niezbędnych działań zmierzających do ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji. Prezydent Miasta Kędzierzyn-Koźle.

4 Definicje 1) Bezpieczeństwo informacji- zachowanie poufności, integralności i dostępności informacji. 2) Poufność- właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom. 3) Integralność danych- funkcja bezpieczeństwa zapewniająca, że dane nie zostały zmodyfikowane, dodane lub usunięte w nieautoryzowany sposób. 4) Dostępność- właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu. 5) Analiza ryzyka- systematycznie wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. 6) Szacowanie ryzyka- proces oceny i analizy ryzyk. 7) Ocena ryzyka- proces porównania oszacowanego ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka. 8) Postępowanie z ryzykiem- wdrażanie środków modyfikujących ryzyko. 9) Zarządzanie ryzykiem- działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka. 10) Ryzyko szczątkowe- ryzyko pozostające po procesie postępowania z ryzykiem. 11) Akceptowanie ryzyka- decyzja aby zaakceptować ryzyko. 12) Bezpieczeństwo informacji- zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne właściwości, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 13) Zdarzenie związane z bezpieczeństwem informacji- zdarzenie związane z bezpieczeństwem informacji jako określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe naruszenie Polityki Bezpieczeństwa Informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem. 14) Incydent związany z bezpieczeństwem informacji- jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne zakłócenia zadań biznesowych i zagrażają bezpieczeństwu informacji.

5 15) System Zarządzania Bezpieczeństwem Informacji (SZBI)- to część całościowego systemu zarządzania odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. 16) Aktywa- wszystko co ma wartość dla organizacji. 17) Dane osobowe- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 18) Urząd- rozumie się przez to jednostkę organizacyjną gminy tj. Urząd Miasta Kędzierzyn-Koźle. 19) PBI- Polityka Bezpieczeństwa Informacji

6 Cele i strategie bezpieczeństwa Urzędu Miasta Kędzierzyn-Koźle Władze miasta, stojąc na stanowisku, że informacja jest priorytetowym zasobem każdej organizacji, wdrożyło System Zarządzania Bezpieczeństwem Informacji. Bezpieczeństwo informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych elementów Urzędu oraz warunkiem ciągłego jego rozwoju. Gwarancją sprawnej i skutecznej ochrony informacji jest zapewnienie odpowiedniego poziomu bezpieczeństwa oraz zastosowanie rozwiązań technicznych. Władze miasta wprowadzając Politykę Bezpieczeństwa Informacji, deklarują że wdrożony System Zarządzania Bezpieczeństwem Informacji będzie podlegał ciągłemu doskonaleniu zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007. Cele Urzędu Miasta w dziedzinie bezpieczeństwa informacji: 1) ochrona zasobów informacyjnych Urzędu i zapewnienie ciągłości działania procesów, 2) ochrona wizerunku Urzędu Miasta, 3) zapewnienie zgodności z prawem podejmowanych działań, 4) uzyskanie i utrzymanie odpowiednio wysokiego poziomu bezpieczeństwa zasobów Urzędu Miasta rozumiane jako zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienie rozliczalności podejmowanych działań, 5) wyznaczenie ogólnych kierunków rozwoju systemu informacyjnego, 6) podnoszenie kultury informatycznej i tworzenie bezpiecznego społeczeństwa informacyjnego. Cele osiągane są przez realizowane strategie: 1) zapewnienie wsparcia Zarządzających dla Systemu Zarządzania Bezpieczeństwa Informacji, 2) właściwa organizacja Systemu Zarządzania Bezpieczeństwem Informacji, 3) zarządzanie ryzykiem w celu ograniczania go do akceptowanego poziomu, 4) właściwa ochrona informacji, a w szczególności informacji prawnie chronionych,

7 5) zapewnienie odpowiedniego poziomu dostępności informacji i niezawodności systemów informatycznych, 6) właściwa ochrona informacji związanych z zawartymi umowami, 7) wdrażanie i rozwój systemów informacyjnych z zachowaniem zasad bezpieczeństwa, 8) eksploatowanie systemów informacyjnych zgodnie z zasadami bezpieczeństwa, 9) stała edukacja użytkowników systemu informacyjnego. Polityka bezpieczeństwa odnosi się do sposobu przetwarzania danych osobowych oraz środków ich ochrony określonych w: 1) ustawie z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101 poz. 926 z późniejszymi zmianami), 2) ustawie z dnia r. o podpisie elektronicznym (Dz.U. nr 130 poz.1450 z późniejszymi zmianami), 3) ustawie o świadczeniu usług drogą elektroniczną z dnia r. (Dz.U.nr 144 poz 1204 z późniejszymi zmianami), 4) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia r. w sprawie Biuletynu Informacji Publicznej (Dz.U. Nr 10, poz.68), 5) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 roku, Nr 100, poz. 1024), 6) rozporządzeniu Ministra Kultury z dnia r. (Dz.U. w sprawie postępowania z dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz.U. nr 167, poz.1375),

8 7) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. Nr 212, poz. 1766), 8) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia r. w sprawie niezbędnych elementów struktury dokumentów elektronicznych (Dz.U. Nr 206 poz. 1517), 9) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi (Dz.U. Nr 206 poz. 1518), 10) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia r. w sprawie sporządzenia i doręczania pism w formie dokumentów elektronicznych (Dz.U. nr 227 poz. 1664).

9 Struktura dokumentów Polityki Bezpieczeństwa Informacji Sposób funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji regulują dokumenty: 1. Polityka Bezpieczeństwa Danych Osobowych opisująca zasady przetwarzania danych osobowych w Urzędzie Miasta Kędzierzyn-Koźle. Polityka Bezpieczeństwa Danych Osobowych zawiera: - wykaz budynków, pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, - wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, - opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiazania miedzy nimi, - sposób przepływu danych pomiędzy poszczególnymi systemami, - określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. 2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz postępowania w przypadku naruszenia ochrony danych osobowych w Urzędzie Miasta Kędzierzyn-Koźle. Instrukcja reguluje: - procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, - stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, - procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, - procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, - sposób, miejsce i okres przechowywania:

10 a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, - sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 rozporządzenia, tj. informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych, - procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 3. Plan ochrony informacji niejawnych Urzędu Miasta oraz gminnych jednostek organizacyjnych wchodzących w skład pionu Ochrony, określający: - sposób postępowania z informacjami niejawnymi, - strukturę organizacyjną pionu ochrony, - zasady ewakuacji dokumentów niejawnych, - postępowanie w przypadku naruszenia ochrony informacji niejawnych.

11 Odpowiedzialność za bezpieczeństwo informacji Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik Urzędu. W szczególności odpowiada on za przestrzeganie zasad wynikających z PBI. Za nadzór nad przestrzeganiem postanowień PBI odpowiada Sekretarz Miasta. Zarządzanie bezpieczeństwem składa się z dwóch pionów: 1) pionu administracyjnego- zarządzającego informacją, 2) pionu bezpieczeństwa- zarządzającego bezpieczeństwem informacji. W ramach obydwu pionów wyróżnione zostały role: na poziomie PBI: Głównego Administratora Informacji (GAI), Głównego Administratora Bezpieczeństwa Informacji (GABI), na poziomie Grupy Informacji: Administratora Grupy Informacji- właściciela informacji (AI), Administratora Bezpieczeństwa Grupy Informacji (ABI) na poziomie Systemu Przetwarzania: Administratora Systemu (AS) Administratora Bezpieczeństwa Systemu (ABS) Główny Administrator Informacji (GAI) Głównym Administratorem Informacji w Urzędzie jest Prezydent Miasta Kędzierzyn-Koźle. GAI odpowiedzialny jest za: 1) określanie jakiego rodzaju informacje mogą być przetwarzane w Urzędzie, 2) określenie grup informacji przetwarzanych w Urzędzie, 3) określenie czy Urząd jest właścicielem danej grupy informacji, czy też należy ona do innego podmiotu, 4) ustalenie poprzez pełnomocnika ds. ochrony informacji niejawnych wykazu informacji stanowiących tajemnicę. Główny Administrator Bezpieczeństwa Informacji (GABI) Głównym Administratorem Bezpieczeństwa Informacji jest Kierownik Biura Informatyki i Ochrony Informacji. GABI odpowiedzialny jest za:

12 1) bezpieczeństwo informacji w organizacji, 2) identyfikację grup informacji podlegających ochronie, 3) przygotowanie dokumentu głównego PBI i przygotowanie dokumentów polityk informacji prawnie chronionych, 4) nadzór pod względem bezpieczeństwa nad pracą wszystkich grup informacji, administratorów bezpieczeństwa wszystkich grup informacji, administratorów wszystkich systemów przetwarzania, Administratorzy Bezpieczeństwa Informacji (ABI) Administratorami Bezpieczeństwa Informacji są pracownicy Biura Informatyki i Ochrony Informacji. ABI odpowiedzialni są za: 1) zapewnienie, że do informacji chronionych należących do administrowanej grupy mają dostęp wyłącznie osoby upoważnione oraz, że mogą one wykonywać wyłącznie uprawnione operacje, 2) prowadzenie rejestru osób dopuszczonych do grupy informacji chronionych (rejestr ten powinien zawierać: imię i nazwisko osoby, pełnioną rolę, czas trwania dostępu), 3) przygotowanie dokumentów polityki bezpieczeństwa danej grupy informacji chronionych, 4) szkolenie osób dopuszczonych do danej grupy informacji chronionych. Administratorzy Informacji (AI) Administratorami Informacji są Kierownicy wszystkich komórek organizacyjnych Urzędu oraz osoby zajmujące stanowiska samodzielne. AI odpowiedzialni są za: 1) określenie miejsca i czasu przetwarzania, przechowywania, tworzenia i niszczenia informacji należących do danej grupy, 2) określenie budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane należące do danej grupy,

13 3) określenie wrażliwości grupy informacji ze względu na jej poufność, integralność i dostępność, 4) określenie które osoby i na jakich prawach mają dostęp do danych informacji Praca AI jest nadzorowana pod względem bezpieczeństwa przez ABI. Administratorzy Systemów (AS) Administratorami Systemów są pracownicy Biura Informatyki i Ochrony Informacji AS odpowiedzialni są za: 1) zapewnienie przy wsparciu GAI ciągłości działania systemu informatycznego i optymalizację jego wydajności, 2) instalację i konfigurację sprzętu i oprogramowania, 3) konfigurację i administrację oprogramowaniem systemowym i sieciowym, 4) przydzielanie praw dostępu do systemu osobom upoważnionym. Administratorzy Bezpieczeństwa Systemów (ABS) Administratorami Bezpieczeństwa Systemów są Kierownicy komórek organizacyjnych Urzędu oraz osoby zajmujące stanowiska samodzielne ABS odpowiedzialni są za: 1) przestrzeganie PBI i innych dokumentów opisujących zasady bezpieczeństwa w stosunku do administrowanego systemu przetwarzania informacji chronionych, 2) Identyfikowanie i zgłaszanie do AS ewentualnych problemów z zakresu bezpieczeństwa informacji, 3) zapewnienie, że do informacji chronionych mają dostęp wyłącznie osoby upoważnione i że mogą one wykonywać wyłącznie uprawnione operacje, 4) całościowy nadzór nad zatrudnionymi w danej jednostce pracownikami w zakresie bezpieczeństwa informacji.

14 Informacje przetwarzane przez system informatyczny Urzędu Informacje przetwarzane przez system informatyczny Urzędu stanowią załącznik do Polityki Bezpieczeństwa danych osobowych. Infrastruktura systemu informacyjnego urzędu Opis Infrastruktury systemu informacyjnego urzędu zawarty jest w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz postępowania w przypadku naruszenia ochrony danych osobowy w Urzędzie Miasta Kędzierzyn-Koźle Zarządzanie ryzykiem Ryzyko to niepewne zdarzenie lub zbiór zdarzeń, które w przypadku ich wystąpienia będą mieć wpływ na bezpieczeństwo informacji. Zarządzanie ryzykiem odnosi się do systematycznego stosowania procedur dotyczących zadań identyfikowania i oceniania ryzyk, a następnie planowania i wdrażania reakcji na nie. Procedura zarządzania ryzykiem W Urzędzie stosuje się procedurę zarządzania ryzykiem zalecaną przez metodologię PRINCE2 obejmującą pięć następujących kroków: 1. Identyfikuj 2. Oceniaj 3. Planuj 4. Wdrażaj 5. Komunikuj

15 Rys. Procedura zarządzania ryzykiem Identyfikowanie ryzyk polega na możliwym rozpoznaniu zagrożeń, które mogą wpływać na bezpieczeństwo informacji. W tym celu przyjęto jako podstawową technikę mieszaną, będącą połączeniem technik przeglądu doświadczeń oraz burzy mózgów. Przegląd doświadczeń opiera się na wiedzy eksperckiej oraz analizie wcześniejszych incydentów związanych z naruszeniem bezpieczeństwa informacji. Burza mózgów opiera się na myśleniu grupowym, które może być bardziej produktywne niż indywidualne oraz umożliwia zrozumienie poglądów innych interesariuszy na temat zidentyfikowanych ryzyk. Ocenianie polega na oszacowaniu zagrożeń oraz możliwości ich zmaterializowania w przypadku nie podjęcia odpowiednich działań. Do tego celu wykorzystano macierz prawdopodobieństwo/wpływ. Zawiera ona wartości niezbędne do sklasyfikowania zagrożeń w ujęciu jakościowym. Skale prawdopodobieństwa są miarami pochodzącymi z wartości procentowych, natomiast skale wpływu są wybrane w celu określenia miary oddziaływania na Urząd.

16 Planowanie polega na przygotowaniu określonych reakcji zarządczych w celu usunięcia lub zmniejszenia zagrożeń wynikających ze zmaterializowania się określonego ryzyka. Wprowadza się następujące możliwe reakcje na ryzyko: 1. Unikanie (prewencja)- jeżeli to możliwe podjęcie stosownych reakcji zarządczych tak aby zagrożenie (przypisane do danego ryzyka) nie mogło wpłynąć na bezpieczeństwo informacji lub nie mogło zaistnieć. 2. Redukowanie- działania podjęte w celu zmniejszenia prawdopodobieństwa wystąpienia zdarzenia lub ograniczenia jego wpływu (redukcja jednego lub dwóch parametrów z macierzy prawdopodobieństwo/wpływ). 3. Plan rezerwowy- opracowanie działań, które zostaną podjęte w celu zredukowania skutków zagrożenia dla ryzyka, które się zmaterializowało. Wdrażanie polega na zapewnieniu, aby planowane reakcje na ryzyko zostały zrealizowane oraz aby podjęte zostały działania korygujące w przypadku gdyby reakcje te nie spełniły związanych z nimi oczekiwań. Istotnym elementem ról i obowiązków w zarządzaniu ryzykiem. Wprowadza się następujące role: 1. Właściciela ryzyka- wskazane stanowisko lub osoba odpowiedzialna zarządzanie, monitorowanie i kontrolowanie wszystkich aspektów przypisanego jej ryzyka łącznie z wdrożeniem wybranych reakcji na zagrożenie. 2. Wykonawca reakcji na ryzyko- stanowisko lub osoba wyznaczona do wykonywania działań związanych z reakcją na konkretne ryzyko. Wykonawca reakcji wspiera właściciela ryzyka i otrzymuje od niego polecenia. Komunikacja polega na zapewnieniu, aby wszystkie informacje o zagrożeniach docierały do wszystkich zainteresowanych. Jako podstawową formę komunikacji wprowadza się w Urzędzie drogę elektroniczną poprzez pocztę .

17 Analiza ryzyka Identyfikowanie ryzyka W Urzędzie zidentyfikowano następujące ryzyka Identyfikator Ryzyko 1 Włamanie do sieci Urzędu z zewnątrz 2 Włamanie do sieci Urzędu z wewnątrz 3 Błędy przesyłania, adresowania danych 4 Zawodność infrastruktury technicznej 5 Podsłuch 6 Błędy w oprogramowaniu 7 Pogorszenie jakości sprzętu i oprogramowania 8 Niepożądany ruch w sieci 9 Kopiowanie, podmiana lub niszczenie plików 10 Nieświadome udostępnienie informacji 11 Świadome udostępnienie informacji 12 Klęski żywiołowe

18 Macierz Prawdopodobieństwo/wpływ 0.9 B. wysokie % 0.7 Wysokie Prawdopodobieństwo 51-70% 0.5 Średnie 31-50% 0.3 Niskie 11-30% ID:7, ID:6 ID:3 ID: ID:1,4, B. niskie <10% ID:5 ID:8,9,11 B. mały Mały Średni Duży B. duży Wpływ

19 Rejestr ryzyk ID Zdarzenie Skutek P W Reakcja Działanie Właściciel ryzyka 1 Nieuprawniony dostęp do systemów IT Urzędu Utrata integralności, poufności, dostępności informacji Unikanie Zapewnienie przez GAI środków finansowych niezbędnych do: odpowiedniego zabezpieczenia systemów IT, szkoleń pracowników. GAI, GABI, ABI 2 Nieuprawniony dostęp do systemów IT Urzędu Utrata integralności, poufności, dostępności informacji Redukowanie Prowadzenie szkoleń pracowników, określenie imiennych zakresów odpowiedzialności, zobowiązanie do przestrzegania obowiązujących w Urzędzie wewnętrznych instrukcji i procedur ochrony informacji. AI, ABS 3 Błędne zaadresowanie informacji Możliwy dostęp do informacji osób nieuprawnionych Redukowanie Podniesienie świadomości pracowników. AI, ABS 4 Możliwy brak ciągłości pracy systemów IT Utrudnienia pracy Urzędu i obsługi petentów Redukowanie, Plan rezerwowy Zapewnienie przez GAI odpowiednich środków finansowych, prowadzenie systematycznych przeglądów infrastruktury technichnej. GAI, GABI, ABI, Kierownik Wydziału AG 5 Nieuprawniony dostęp do informacji Utrata informacji poufności Plan rezerwowy Powiadomienie właściwych służb o możliwym zaistnieniu zdarzenia. GAI, AI 6 Możliwy brak ciągłości pracy systemów IT Utrudnienia pracy Urzędu i obsługi petentów Redukowanie Zapewnienie przez GAI środków finansowych na umowy serwisowe i asysty techniczne. GAI, GABI, ABI 7 Możliwy brak ciągłości pracy systemów IT Utrudnienia pracy Urzędu i obsługi petentów Unikanie Zapewnienie przez GAI środków finansowych na zakup nowego sprzętu i oprogramowania. GAI, GABI, ABI 8 Możliwe wprowadzenie do Utrata, zniszczenie lub udostępnienie Redukowanie Monitorowanie ruchu sieciowego GABI, ABI

20 sieci potencjalnie niebezpiecznych kodów lub aplikacji 9 Nieuprawnione udostępnienie lub zniszczenie informacji 10 Przypadkowe udostępnienie informacji 11 Celowe udostępnienie informacji informacji w całości lub części. Niewłaściwa praca systemów. Utrata, zniszczenie lub udostępnienie informacji w całości lub części. Nieuprawniony dostęp do informacji Nieuprawniony dostęp do informacji Redukowanie Podnoszenie świadomości pracowników AI, ABS Redukowanie Podnoszenie świadomości pracowników AI, ABS Podnoszenie świadomości pracowników AI, ABS 12 Pożar, powódź, uderzenie pioruna Zniszczenie infrastruktury, utraty informacji Redukowanie, Plan rezerwowy Opracowanie procedur reagowania, oraz zabezpieczenie budynku Urzędu oraz jego aktywów Kierownik WZK, Kierownik Wydziału AG ID- Identyfikator P-Prawdopodobieństwo W-Wpływ

21 Podsumowanie Macierz prawdopodobieństwo/wpływ ilustruje obszary różnego poziomu zagrożenia. Z punktu widzenia Urzędu najbardziej istotne są wyrazy (będące iloczynem prawdopodobieństwa i wpływu) o największej wartości które oznaczone zostały kolorem czerwonym. Obejmują one następujące ryzyka: 1. Włamanie do sieci z zewnątrz. 2. Włamanie do sieci z wewnątrz. 3. Zawodność infrastruktury technicznej. 4. Pogorszenie się jakości sprzętu i oprogramowania. 5. Nieświadome udostępnienie informacji. 6. Klęski żywiołowe. Należy stwierdzić, że ryzyka, o których mowa wyżej znajdują się na poziomie nieakceptowalnym. W związku z powyższym są one traktowane w sposób szczególny i ciągle monitorowane. Zmaterializowanie się ich może zagrażać funkcjonowaniu jednostki i jej aktywów. Kolorem pomarańczowym oznaczono obszar o średnim zagrożeniu. W jego skład wchodzą następujące ryzyka: 1. Błędy przesyłania, adresowania danych. 2. Niepożądany ruch w sieci. 3. Kopiowanie, podmiana lub niszczenie plików. 4. Świadome udostępnienie informacji. Kolor zielony oznacza obszar ryzyk, w którym zmaterializowanie się zdarzeń jest mało prawdopodobne lub ich wpływ na Urząd jest niewielki. 1. Podsłuch. 2. Błędy w oprogramowaniu W Urzędzie podejmowane są działania zgodne z procedurą zarządzania ryzykiem. Istotnym ich elementem jest zabezpieczanie środków finansowych niezbędnych do redukowania zagrożeń polegających na zmniejszeniu wystąpienia prawdopodobieństwa zdarzenia oraz w przypadku jego wystąpienia ograniczeniu wpływu na Urząd. Dotyczy to wszystkich obszarów i zidentyfikowanych ryzyk.