Zaadresowanie bezpieczeństwa informacji w projektach podmiotów publicznych wymagania Krajowych Ram Interoperacyjności

HTML
DOWNLOAD

Wielkość: px

Rozpocząć pokaz od strony:

Download "Zaadresowanie bezpieczeństwa informacji w projektach podmiotów publicznych wymagania Krajowych Ram Interoperacyjności"

Filip Jóźwiak
9 lat temu
Przeglądów:

Zaadresowanie bezpieczeństwa informacji w projektach podmiotów publicznych wymagania Krajowych Ram Interoperacyjności Warszawa, 14 kwietnia 2014 Michał

1 Zaadresowanie bezpieczeństwa informacji w projektach podmiotów publicznych wymagania Krajowych Ram Interoperacyjności Warszawa, 14 kwietnia 2014 Michał Tabor Dyrektor ds. Operacyjnych CISSP Ekspert PIIT Konferencja Wybór właściwej metodyki zarządzania projektem oraz ryzykiem związanym z jego realizacją

2 Agenda Zarządzanie bezpieczeństwem infomracji Bezpieczeństwo informacji a projekt 2

3 Czy ten rower jest bezpieczny? 3

4 A może są nowe zagrożenia

5 Definicja bezpieczeństwa Koszty zabezpieczeń Wartość aktywów Prawdopodobieństwo utraty

6 INTEGRALNOŚĆ POUFNOŚĆ DOSTĘPNOŚĆ Filary bezpieczeństwa BEZPIECZEŃSTWO 6

7 Jak wygląda bezpieczeństwo w aktualnych projektach KRI Danych osobowych Ustawy System teleinformatyczny musi zapewnić bezpieczeństwo Standardy Najlepsze praktyki 7

8 Krajowe Ramy Interoperacyjności Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk. 2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury. 8

9 Krajowe Ramy Interoperacyjności 2. Zarządzanie bezpieczeństwem informacji Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system realizowane zarządzania bezpieczeństwem jest w szczególności informacji zapewniający przez poufność, dostępność zapewnienie i integralność przez informacji kierownictwo z uwzględnieniem podmiotu takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. publicznego warunków umożliwiających 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności realizację przez i egzekwowanie zapewnienie przez kierownictwo następujących podmiotu publicznego działań: warunków umożliwiających realizację i egzekwowanie następujących działań: 1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania 3) przeprowadzania okresowych analiz ryzyka 4) podejmowania działań. 9

10 Bezpieczeństwo a projekty Orgnanizacja (podmiot publiczny) Przywództwo Obszar bezpieczeństwa informacji Role i odpowiedzi alności Dokumenty Projekt Zarządzanie ryzykiem Produkt projektu system teleinform atyczny 10

11 11

12 Cykl Deminga Ustanowienie kontekstu Utrzymanie i doskonalenie procesu Szacowanie ryzyka Opracowanie planu postępowania Akceptowanie ryzyka Monitorowanie i przegląd Wdrożenie planu postępowania 12

13 Ustanowienie kontekstu Identyfikacja wymagań zewnętrznych i wewnętrznych dotyczących bezpieczeństwa przetwarzanych informacji Określenie zakresu funkcjonowania systemu bezpieczeństwa informacji Określenie celów i kierunków systemu zarządzania bezpieczeństwem informacji 13

14 Przywództwo Przywództwo i zaangażowanie Najwyższe kierownictwo powinno demonstrować działania nadzorcze i zaangażowanie Polityka Najwyższe kierownictwo powinno ustanowić politykę bezpieczeństwa informacji Role organizacyjne, odpowiedzialności i uprawnienia Najwyższe kierownictwo powinno zapewnić że odpowiedzialności i uprawnienia ról w zakresie zarządzania bezpieczeństwem informacji są przydzielone i zakomunikowane. 14

15 Planowanie 6.1 Działania w zakresie zarządzania ryzykiem i możliwości Ustanowienie procesu szacowania ryzyka Analiza i ocena ryzyka Ustanowienie procesu postępowania z ryzykiem 6.2 Cele w zakresie bezpieczeństwa informacji i planowanie działań umożliwiających ich osiągnięcie 15

16 Bezpieczeństwo a ryzyko Każda działalność obarczona jest ryzykiem Zarządzając ryzykiem zwiększamy bezpieczeństwo Zwiększając bezpieczeństwo redukujemy poziom ryzyka 16

17 Zarządzanie ryzykiem Zarządzanie ryzykiem jest procesem naturalnym! 17

18 Zarządzanie ryzykiem USTANOWIENIE KONTEKSTU Podejście procesowe! SZACOWANIE RYZYKA ANALIZA RYZYKA Ustanowienie kontekstu IDENTYFIKOWANIE RYZYKA Szacowanie ryzyka INFORMOWANIE O RYZYKU PUNKT DECYZYJNY RYZYKA 1 szacowanie satysfakcjonujące ESTYMOWANIE RYZYKA OCENA RYZYKA NIE MONITOROWANIE I PRZEGLĄD RYZYKA Identyfikowanie ryzyka Estymowanie ryzyka Ocena ryzyka Postępowanie z ryzykiem TAK Monitorowanie i przegląd POSTEPOWANIE Z RYZYKIEM Informowanie o ryzyku PUNKT DECYZYJNY RYZYKA 2 postępowanie satysfakcjonujące NIE TAK AKCEPTOWANIE RYZYKA KONIEC PIERWSZEJ LUB NASTEPNEJ ITERACJI 18

19 Zarządzanie ryzykiem USTANOWIENIE KONTEKSTU Podejście procesowe! SZACOWANIE RYZYKA ANALIZA RYZYKA Ustanowienie kontekstu IDENTYFIKOWANIE RYZYKA Szacowanie ryzyka INFORMOWANIE O RYZYKU PUNKT DECYZYJNY RYZYKA 1 szacowanie satysfakcjonujące ESTYMOWANIE RYZYKA OCENA RYZYKA NIE MONITOROWANIE I PRZEGLĄD RYZYKA Identyfikowanie ryzyka Estymowanie ryzyka Ocena ryzyka Postępowanie z ryzykiem TAK Monitorowanie i przegląd POSTEPOWANIE Z RYZYKIEM Informowanie o ryzyku PUNKT DECYZYJNY RYZYKA 2 postępowanie satysfakcjonujące NIE TAK AKCEPTOWANIE RYZYKA KONIEC PIERWSZEJ LUB NASTEPNEJ ITERACJI 19

20 Ustanowienie kontekstu 20

21 Szacowanie ryzyka 21

22 Postępowanie z ryzykiem 22

23 Monitorowanie i raportowanie ryzyka 23

24 Zarządzanie bezpieczeństwem informacji a projekty 24

25 Zarządzanie bezpieczeństwem informacji a projekty 25

26 Na koniec Kontekst bezpieczeństwa informacji powinien zostać zaplanowany na początku projektu 26

27 Q&A Pytania i odpowiedzi Dziękuję za uwagę Michał Tabor michal.tabor@ticons.pl 27

Podobne dokumenty

Nadzór nad systemami zarządzania w transporcie kolejowym

Nadzór nad systemami zarządzania w transporcie kolejowym W ciągu ostatnich lat Prezes Urzędu Transportu Kolejowego zintensyfikował działania nadzorcze w zakresie bezpieczeństwa ruchu kolejowego w Polsce,