Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A.

Transkrypt

1 Orange 23 lutego 2016 r. Warszawa Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A. Zbigniew Sujecki Administrator Bezpieczeństwa Informacji Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji 1

2 Dane Osobowe złoto XXI wieku generujemy ją wszyscy, niezależnie od miejsca i czasu ułatwiają nam to wszechobecne rozwiązania technologiczne urządzenia zbierają i monitorują nasze zachowania, upodobania i zainteresowania tworząc profile użytkowników umieszczamy szczegóły naszego życia w chmurze i publikujemy je na forach społecznościowych Totalna walka o dane osobowe wymaga należytej troski o ich bezpieczeństwo tzn.: utrzymania atrybutów poufności, integralności dostępności i rozliczalności na akceptowalnym poziomie. informacje, bazy danych - strategicznym towarem handlowym naszej epoki a bezpieczeństwo informacji normą nowoczesnej organizacji 2

3 Strategie Bezpieczeństwa Ochrony Danych Osobowych podejście zachowawcze make safety - działania reaktywne wdrażanie zabezpieczeń opartych o wymagania prawa, intuicję i wiedzę menagerów podejmowanie działań w następstwie zaistniałych incydentów myślenie w kategoriach mamy dobrych prawników, to damy radę podejście systemowe manage security best practices / oparcie się na wymaganiach ISO system zarządzania bezpieczeństwem informacji (SZBI): wdrażane zabezpieczenia wynikiem realnego zarządzania ryzykiem jednoznaczny podział ról i odpowiedzialności planowanie, wdrażanie, monitorowanie i korygowanie 14 obszarów wymagań ISO = ład korporacyjny (realne zarządzanie mechanizmami determinującymi bezpieczeństwo danych osobowych) oraz zapewnienie rynku (lepsze postrzeganie organizacji i zaufanie klientów certyfikat) 3

4 Komponenty SZBI - obszary normy ISO Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania 4 Zarządzanie incydentami bezpieczeństw a Relacje z dostawcami Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych Zgodność A16 A15 A17 A14 Bezpieczeństwo komunikacji Polityka bezpieczeństwa informacji A18 A13 A5 A6 Bezpieczna eksploatacja Organizacja bezpieczeństwa informacji 0. Wprowadzenie 1. Zakres normy 2. Powołania normatywne 3. Terminy i definicje 4. Kontekst organizacji 5. Przywództwo Przywództwo i zaangażowanie, Polityka, Role, odpowiedzialność i uprawnienia 6. Planowanie Działania odnoszące się do ryzyk i szans Cele bezpieczeństwa informacji i planowanie ich osiągnięcia 7. Wsparcie Zasoby, Kompetencje, Uświadamianie, Komunikacja, Udokumentowane informacje 8. Działania operacyjne Planowanie i nadzór nad działaniami operacyjnymi, szacowanie ryzyka, postępowanie z bezpieczeństwem informacji 9. Ocena wyników Monitorowanie, pomiary, analiza i ocena, Audyt wewnętrzny Przegląd zarządzania 10 Doskonalenie Niezgodności i działania korygujące, Ciągłe doskonalenie A12 A11 A7 A8 A10 Bezpieczeństwo zasobów ludzkich A9 Bezpieczeństwo fizyczne i środowiskowe Zarządzanie aktywami Kontrola dostępu Kryptografia

5 Wymagania normy ISO w zakresie audytu wewnętrznego vs. wymagania przepisów o ochronie danych osobowych w zakresie sprawdzeń planowych Wymagania normy ISO 27001:2013 Organizacja powinna: Zaplanować, ustanowić, wdrożyć i utrzymywać program audytów, w tym częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz raportowanie. Program audytów powinien uwzględniać znaczenie procesów objętych audytem oraz wyniki poprzednich audytów. Przepisy o ochronie danych osobowych Plan sprawdzeń Zdefiniować kryteria audytu i zakres każdego audytu. Określenie przedmiotu, zakresu sprawdzenia Wybierać audytorów i prowadzić audyty w sposób zapewniający obiektywność i bezstronność procesu audytu. Gwarancją - niezależność ABI Zapewnić przedstawianie wyników audytów właściwym członkom kierownictwa. Zachować udokumentowane informacje, jako dowód realizacji programu audytów i wyników audytów. 5 Przekazanie sprawozdania administratorowi danych Dokumentowanie czynności przeprowadzonych w toku sprawdzenia

6 Integracja sprawdzeń planowych z zasadami prowadzenia audytów wg. standardów ISO audyty realizowane w zakresie ochrony danych osobowych, które są sprawdzaniem zgodności przetwarzania danych osobowych w rozumieniu art. 36a ustawy o ochronie danych osobowych 6

7 Uchwała zarządu dot. zasad prowadzenia audytów wg standardów ISO Cel Zakres Powoływanie audytorów Rola i obowiązki audytorów Planowanie audytów Prowadzenie audytu Monitorowanie poaudytowych działań korygujących 7 Postanowienia końcowe

8 Realizacja audytów / sprawdzeń planowych w Orange Polska Program audytów tworzony jest na podstawie zebranych informacji i planowany jest z wyprzedzeniem na okres jednego roku. Program audytów w Orange Polska S.A. na dany rok akceptowany jest przez Zarząd Orange Polska S.A. Audyt danego obszaru przeprowadzany jest z uwagi na: 8 istotne zmiany struktury organizacyjnej, procesu lub zasad działania, istotne ryzyko wystąpienia problemów, status i wagę procesów oraz audytowanych obszarów, wyniki poprzednich audytów, wnioski z przeglądów zarządzania wymagania Ustawy z dnia 27 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienie przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji dotyczące sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Wybór audytorów powinien zapewnić obiektywność i bezstronność audytu. W szczególności audytorzy nie mogą audytować własnej pracy, tj. być bezpośrednio związanymi z badanym procesem czy obszarem. Audytor powinien zapewnić efektywność i bezstronność audytu; audytor jest niezależny od audytowanego obszaru, musi znać i rozumieć wymagania obowiązujących norm, dokumentację systemu jakości, cele i politykę jakości. Raport jest przedstawiany właścicielowi audytowanego procesu, dyrektorowi audytowanej jednostki, ZARZĄDOWI. Celem pracy audytora jest dokumentowanie niezgodności i zaleceń tak, aby: opis natury niezgodności i zaleceń był czytelny co do miejsca i czasu wystąpienia niezgodności było oczywiste jakie wymaganie ma zastosowanie w danej sprawie, a nie jest spełnione

9 9 Sprawozdanie ze audytu/sprawdzenia

10 Realizacja sprawdzeń doraźnych w przypadkach uzasadnionego podejrzenia naruszenia sprawdzenia doraźne prowadzone w przypadkach uzasadnionego podejrzenia wystąpienia takiego naruszenia, zgodnie z Polityką bezpieczeństwa Danych Osobowych w Orange Polska S.A. Źródła informacji zgłoszone incydenty, wyniki analizy ryzyka, informacje od zainteresowanych stron, informacje od uprawnionych organów państwowych, wiedza ekspercka 10

11 ISO (A16) Zarządzanie incydentami związanymi z bezpieczeństwem informacji 16. Zarządzanie incydentami związanymi z bezpieczeństwem informacji Cel: Zapewnić spójne i skuteczne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji, z uwzględnieniem informowania o zdarzeniach i słabościach Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami Odpowiedzialność i procedury Należy ustanowić odpowiedzialność kierownictwa oraz procedury zapewniające szybką, skuteczną i zorganizowaną reakcję na incydenty związane z bezpieczeństwem informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji Zdarzenia związane z bezpieczeństwem informacji należy zgłaszać odpowiednimi kanałami zarządczymi tak szybko, jak tylko to jest możliwe Zgłaszanie słabości związanych z bezpieczeństwem informacji Należy zobowiązać pracowników oraz kontrahentów korzystających z systemów i usług informacyjnych organizacji do odnotowania i zgłaszania wszelkich zaobserwowanych lub podejrzanych słabości związanych z bezpieczeństwem informacji

12 ISO (A16) Zarządzanie incydentami związanymi z bezpieczeństwem informacji Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem informacji Zdarzenia związane z bezpieczeństwem informacji należy ocenić i podjąć decyzję w sprawie zakwalifikowania ich jako incydentów związanych z bezpieczeństwem informacji Reagowanie na incydenty związane z bezpieczeństwem informacji Reakcja na incydenty związane z bezpieczeństwem informacji powinna być zgodna z udokumentowanymi procedurami Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji Wiedzę zdobytą podczas analizy i rozwiązywania incydentów należy wykorzystać do zredukowania prawdopodobieństwa wystąpienia lub skutków przyszłych incydentów Gromadzenie materiału dowodowego Organizacja powinna określić i stosować procedury identyfikacji, gromadzenia, pozyskiwania i utrwalania informacji, które mogą stanowić materiał dowodowy 12

13 13 Realizacja sprawdzeń doraźnych w ramach zarządzania incydentami

14 Rozdział 4. Polityki Bezpieczeństwa Danych Osobowych Rozdział 4 14 SPRAWDZENIE PRZETWARZANIA DANYCH OSOBOWYCH 1. Sprawdzenie zgodności przetwarzania Danych osobowych w OPL z przepisami o ochronie Danych osobowych obejmuje wszystkie jednostki/ komórki organizacyjne mające dostęp do Danych osobowych, w których przetwarzane są Dane osobowe, oraz podmioty zewnętrzne, którym powierzono Dane osobowe do przetwarzania. 2. Sprawdzenie zgodności przetwarzania Danych osobowych z przepisami o ochronie Danych osobowych prowadzi się w trybie: 1) sprawdzenia planowego zgodnego z zatwierdzonym przez Zarząd OPL planem audytów (sprawdzeń), 2) sprawdzenia doraźnego - prowadzonego w przypadkach naruszenia ochrony Danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia, 3) art. 19b ust. 1 Ustawy - na zlecenie GIODO. 3. Sprawdzenie planowe jest prowadzone: 1) przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji, 2) w formie planowych audytów wg standardów ISO Systemu Zarządzania Bezpieczeństwem Informacji, zatwierdzonych przez Zarząd OPL. 4. Sprawdzenie doraźne jest prowadzone: 1) przez pracowników Wydziału Zarządzania Incydentami Bezpieczeństwa w ramach realizacji zadań Systemu Zarządzania Bezpieczeństwem Informacji, zgodnie z Zasadami Zarządzania Incydentami Bezpieczeństwa Informacji w OPL, 2) przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji. 5. Sprawdzenie na zlecenie GIODO jest prowadzone przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji. 6. W Sprawdzeniach uczestniczą delegowani na wniosek ABI eksperci oraz pracownicy innych jednostek i komórek organizacyjnych OPL. Wniosek kierowany jest do ich przełożonych. Osoby prowadzące Sprawdzenie lub uczestniczące w nim w charakterze ekspertów, o których mowa w niniejszym ustępie, przekazują ABI raport ze Sprawdzenia niezwłocznie po jego zakończeniu, w oparciu o który ABI sporządza Sprawozdanie. 14

15 Zarządzanie Ryzykiem, Wdrażanie Zabezpieczeń lub Działań Korygujących dane wejściowe rejestr incydentów wyniki audytu BSI wyniki audytów wewn. i zewn. informacje od zainteresowanych stron nowy lub rozwijany projekt, proces, usługa, inicjatywa SZACOWANIE RYZYKA identyfikacja (ocena) zagrożeń, podatności i następstw analizy wstępne i pogłębione zestawienie ryzyk i wskazanie WR OCENA RYZYKA prawdopodobieństwo wystąpienia (P) następstwo wystąpienia (N) ankieta z propozycją oceny ryzyk dane wyjściowe P/N N N N Ś Ś 2 N N Ś Ś W 3 N Ś Ś W W 4 Ś Ś W W BW 5 Ś W W BW BW Raport z AR + propozycje postępowania z ryzykiem Plan Postępowania z Ryzykiem POSTĘPOWANIE Z RYZYKIEM wybór strategii zastosowanie zabezpieczeń 15

16 Centrum kompetencji ISO Pełnomocnik ds. SZBI Administrator Bezpieczeństwa Informacji 16