Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Transkrypt

1 bezpieczeństwa informacji w jednostce Marcin Dublaszewski

2 Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek?

3 Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej analizy ryzyka i/lub wskazania potrzeby przez kierownika jednostki.

4 Obowiązek Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

5 Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

6 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:

7 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

8 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą,

9 Nie jest jasne czy twórca Rozporządzenia miał na myśli audyt wewnętrzny w rozumieniu UoFP czy SZJ. Nie jest jasne jak z obowiązku mają wywiązać się jednostki nie zatrudniające / zlecające audytu wewnętrznego.

10 Wsparcie kierownika jednostki przez komórkę audytu wewnętrznego: Zadanie zapewniające Czynności doradcze

11 Przykładowe obszary dla zadań zapewniających Rzetelność wykazu zasobów IT jednostki Zasadność przydzielania dostępu do zasobów informatycznych jednostki Bezpieczeństwo fizyczne

12 Przykładowe słabości Brak rzetelnej inwentaryzacji sprzętu IT Brak wiedzy co do miejsca przechowywania laptopów Brak wiedzy w zakresie zbiorów danych przechowywanych na jednostkach sprzętu

13 Przykładowe słabości cd. Brak kontroli nad przyznawaniem dostępu do danych wrażliwych (dane kadrowe rodzina, dochody współmałżonków) Brak kontroli nad ruchem pracowników zewnętrznych w obszarach chronionych

14 Przykładowe obszary dla czynności doradczych: Analiza procedur przyznawania dostępu do zasobów, rozrysowanie, identyfikacja słabych punktów

15 Przykładowe obszary dla czynności doradczych cd.: Udział w zespole tworzącym procedury systemu bezpieczeństwa. Wskazanie kierunków i obszarów wymagających.

16 Przykładowe efekty czynności doradczych: Zidentyfikowanie luki w postaci braku procedury cofania uprawnień, Wskazanie kolejności działań wymaganych dla zapewnienia minimalnych wymogów bezpieczeństwa.

17 Zamówienia o wartości nieprzekraczającej 30 tys. euro ocena audytora wewnętrznego Dziękuję za uwagę Marcin Dublaszewski T: E: m.dublaszewski@op.pl