AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Transkrypt

1 AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013

2 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagańdla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. W 20ust.2pkt14tego rozporządzenia wskazano obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niżraz na rok. Stanowisko Ministerstwa Finansów - Komunikat Departamentu Audytu Sektora Finansów Publicznych Ministerstwa Finansów :? w tak ukształtowanym stanie prawnym audytor wewnętrzny/ usługodawca niezaleŝnie od wyników analizy ryzyka powinien corocznie objąć audytem wewnętrznym powyŝszy obszar, chyba Ŝe zostaną spełnione warunki określone w 20 ust. 3 ww. rozporządzenia. JeŜeli realizacja zadania audytowego we wskazanym obszarze będzie konieczna ze względu na niespełnienie rzeczonych warunków, wówczas zadanie to jako obligatoryjne naleŝy ująć w rocznym planie audytu.

3 Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji (25 kwietnia 2013 r.) 1. Intencją projektodawcy było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. 2. Ustawa o informatyzacji działalności podmiotów realizujących zadania publicznenienie określa sposobu, trybu, rodzaju audytu, ani teżosób czy komórek organizacyjnych, którym należałoby powierzyć prowadzenie ww. audytu. 3. Decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu. 4. Nie należy automatycznie przypisywaćzadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego 5. Użycie w rozporządzeniu sformułowania audyt wewnętrzny nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym w JSFP na mocy ustawy o finansach publicznych.

4 Jakie mamy pole manewru aby wypełnić obowiązek zawarty w rozporządzeniu w sprawie KRI? WARIANT 1 Jednostka musi wdrożyći utrzymaćsystem zarządzania bezpieczeństwem informacji, który zostałopracowany na podstawiepolskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie norm: 1) PN-ISO/IEC w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. + norma ISO wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji + norma ISO bezpieczeństwo informacji i ciągłośćdziałania + norma ISO zarządzanie usługami IT WARIANT 2 W jednostce musi byćzapewniony okresowy audytu wewnętrznyw zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

5 Działania w wariancie 1 systemowe 1) Certyfikacja w zakresie spełniania wymagań normy PN-ISO/IEC ) Zakup i wdrożenie norm we własnym zakresie. Włączenie bezpieczeństwa informacji do własnego systemu kontroli zarządczej ustanowionego w jednostce (bez kosztownej certyfikacji). Należy pamiętać, że w obu przypadkach mamy do czynienia PROCESEM! Cykl -począwszy od ustalenia, wdrożenia,monitorowania, a skończywszy na ulepszeniu systemu bezpieczeństwa informacji. Działania w wariancie 2 doraźne Audyt sytemu bezpieczeństwa informacji może byćprzeprowadzony w dwóch wariantach: 1) sprawdzenie spełnienia wymagań zawartych w 20 ust. 2* rozporządzenia 2) sprawdzenie zgodności z normą PN-ISO/IEC *Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analiząryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.

6 Kto powinien przeprowadzać audyty bezpieczeństwa informacji? Punktem wyjścia sązasady odnoszące siędo każdego audytu (wynikające obowiązujących w naszym kraju przepisów i przyjętych standardów audytu wewnętrznego): audytorzy nie powinni audytować swojej pracy, musi być zapewniona obiektywność i bezstronność, audyt przeprowadzany jest na podstawie analizy ryzyka, za wdrożenie zaleceń odpowiada kierownictwo, powinny zostać podjęte działania poaudytowe(czynności sprawdzające). 1. Badanie audytowe może być wykonane przez: - audyt wewnętrzny - odpowiednio przygotowanych własnych pracowników - podmiot zewnętrzny w ramach outsourcingu tej usługi. 2. Kryteriami, jakimi należy siękierowaćprzy wyborze osób / podmiotów prowadzących audyt w zakresie bezpieczeństwa informacji są: odpowiednie kwalifikacje, doświadczenie, znajomośćmetodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego.

7 (sugestia) Patrz: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych 1. Audytor systemu zarządzania bezpieczeństwem informacji według normy PN ISO/IEC lub jej odpowiednika międzynarodowego. 2. Audytor systemu zarządzania usługami informatycznymi według normy PN ISO/IEC lub jej odpowiednika międzynarodowego. 3. Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001 lub jej odpowiednika międzynarodowego. 4. Certified Information System Auditor (CISA). 5. Certified in the Governance of Enterprise IT (CGEIT). 6. Certified Internal Auditor (CIA). 7. Certified Information Systems Security Professional (CISSP). 8. Europejski Certyfikat Umiejętności Zawodowych Informatyka - EUCIP Professional specjalizacja Audytor Systemów Informacyjnych. 9. Systems Security Certified Practitioner (SSCP) Rozporządzenie KRI odnosi się wprost do norm ISO, więc jeśli funkcjonuje w jednostce audyt jakości, audyt bezpieczeństwa informacji mogą realizować audytorzy z tzw. listy audytorów wewnętrznych systemu zarządzania jakością ISO wg normy PN-EN ISO 9001

8 Audyt bezpieczeństwa informacji wymaga specyficznej wiedzy m.in. dlatego, że większość informacji przetwarzana jest w systemach informatycznych. Audytorzy bez specjalistycznych umiejętności i uprawnień mogą jednak z powodzeniem oceniać m.in.: wykonywanie okresowych analizy ryzyka w zakresie bezpieczeństwa informacji, zapewnienie aktualizacji regulacji wewnętrznych, utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania, posiadanie, adekwatność i aktualności uprawnień w systemach, szkolenia osób zaangażowanych w proces przetwarzania informacji. czyli bardzo istotne elementy składowe SYSTEMU bezpieczeństwa informacji.

9 Czym jest bezpieczeństwo informacji? System zarządzania bezpieczeństwem informacji powinien zapewniać: Poufność informacji (tylko osoby uprawnione mogą mieć dostęp do danej informacji); Dostępność informacji (informacja powinna być cały czas dostępna dla osób uprawnionych); Integralność informacji (informacje nie mogą zostać zmienione w sposób nieuprawniony, informacja ma być zgodna oczekiwaniami i kompletna). Punktem wyjścia jest polityka bezpieczeństwa informacji (PBI) -zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania.

10 Propozycja struktury dokumentów PBI: Dobra polityka bezpieczeństwa informacji to polityka, którą rozumiemy.

11 Punkt wyjścia PBI / zarządzania bezpieczeństwem Zapewnienie racjonalnego bezpieczeństwa informacji. INWENTARYZACJA - Co posiadamy? zasoby/zbiory informacji zasoby sprzętowe i programowe służące przetwarzaniu informacji. KLASYFIKACJA - Dlaczego powinniśmy to chronić? zasoby wrażliwe zasoby kluczowe zasoby wspomagające zasoby neutralne ANALIZA RYZYKA 1. Zagrożenia 2. Podatności Ryzyka Skutki Środki zapobiegawcze

12 W systemach informacyjnych (także informatycznych) kluczowe znaczenie ma określenie WŁAŚCICIELA zasobu : Właściciel informacji: Role i odpowiedzialności decydujący o przetwarzaniu informacji zawartej w systemie, decydujący o nadawaniu uprawnień do zasobu informacyjnego, dla którego informacja (jej przetwarzanie) stanowi podstawęfunkcjonowania. Zgodnie z normąpn-iso/iec właściciel, w postaci wydzielonej części organizacji, jest odpowiedzialny za codzienną ochronę zasobu informacyjnego. Właścicielem nie jest administrator systemu informatycznego. W większości przypadków nie jest nim także komórka IT.

13 Dziękuj kujęza uwagę