Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Podobne dokumenty
Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Krzysztof Świtała WPiA UKSW

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Marcin Soczko. Agenda

PRELEGENT Przemek Frańczak Członek SIODO

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Czy wszystko jest jasne??? Janusz Czauderna Tel

Promotor: dr inż. Krzysztof Różanowski

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Szkolenie otwarte 2016 r.

Zdrowe podejście do informacji

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Szczegółowy opis przedmiotu zamówienia:

Bezpieczeństwo informacji. jak i co chronimy

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

KRAJOWE RAMY INTEROPERACYJNOŚCI

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

WYSTĄPIENIE POKONTROLNE

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

POLITYKA E-BEZPIECZEŃSTWA

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Ale ile to kosztuje?

Normalizacja dla bezpieczeństwa informacyjnego

Kurs Inspektora Ochrony Danych z warsztatem wdrożenia Polityki Ochrony Danych Osobowych zgodnej z przepisami RODO

Warszawa, 2 września 2013 r.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Maciej Byczkowski ENSI 2017 ENSI 2017

Zapytanie ofertowe nr OR

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ISO nowy standard bezpieczeństwa. CryptoCon,

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Kryteria oceny Systemu Kontroli Zarządczej

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Prelegent : Krzysztof Struk Stanowisko: Analityk

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Umowa nr.. zawarta r. w Warszawie pomiędzy: Ministerstwem Kultury i Dziedzictwa Narodowego reprezentowanym przez MKiDN, zwanego dalej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Polityka Bezpieczeństwa ochrony danych osobowych

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Krajowe Ramy Interoperacyjności obowiązkowe wyzwanie dla JST w

DEKLARACJA STOSOWANIA

Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE

Transkrypt:

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST III PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 20-21 października 2016, Zamek Dubiecko w Rzeszowie 1

O czym będzie wystąpienie Podzielenie się doświadczeniami zebranymi w czasie przeprowadzanych kontroli w jst Nawiązanie do wytycznych MC Realizacja KRI i nie tylko na własnym podwórku w Rzeszowie 2

Przeprowadzanie kontroli w JST Podstawa prawna art. 25 ust. 1 pkt 3 lit. a w zw. z ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity z 2014 r., Dz. U. poz. 1114). Przedmiot kontroli Działanie systemów teleinformatycznych używanych do realizacji zadań zleconych z zakresu administracji rządowej. w Rzeszowie 3

Ważne w KRI 1/2 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 14 punktów w Rzeszowie 4

Ważne w KRI 2/2 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia. 21.. w Rzeszowie 5

Czego brakuje w JST? w Rzeszowie 6

PBI Brak wewnętrznych regulacji, które obejmowałyby system zarządzania bezpieczeństwem informacji zgodnie z 20 rozporządzenia KRI, a nie tylko system ochrony danych osobowych (ustanowiony, kompletny, działający) PBI główny dokument w SZBI Polityka bezpieczeństwa teleinformatycznego; Polityka bezpieczeństwa fizycznego; Polityka bezpieczeństwa danych osobowych. Procedury; Regulaminy; Instrukcje. w Rzeszowie 7

PBI c.d. Kluczowym dokumentem SZBI jest Polityka Bezpieczeństwa Informacji (PBI), która zawiera: wyrażoną przez kierownictwo deklarację stosowania zabezpieczeń, opisuje organizację i ustala osoby odpowiedzialne oraz ich zakresy odpowiedzialności, wprowadza klasyfikację informacji i sposób postępowania z poszczególnymi rodzajami informacji. PBI jest dokumentem nadrzędnym nad innymi politykami i procedurami w Rzeszowie 8

PBI c.d. W ramach SZBI funkcjonują inne polityki, instrukcja, regulaminy i procedury np.: Polityka bezpieczeństwa teleinformatycznego; Polityka bezpieczeństwa fizycznego; Polityka bezpieczeństwa danych osobowych. Inne regulacje wewnętrzne stanowiące dokumenty wykonawcze PBI to przykładowo: Procedura zarzadzania ryzykiem; Regulamin korzystania z zasobów informatycznych; Procedura zarządzania sprzętem i oprogramowaniem; Procedura zarządzania konfiguracją; Procedura zarządzania uprawnieniami do pracy w systemach teleinformatycznych; w Rzeszowie 9

PBI c.d. Procedura monitorowania poziomu świadczenia usług; Procedura bezpiecznej utylizacji sprzętu elektronicznego; Procedura zarządzania zmianami i wykonywaniem testów; Procedura stosowania środków kryptograficznych; Procedura określania specyfikacji technicznych wymagań odbioru systemów IT; Procedura zgłaszania i obsługi incydentów naruszenia bezpieczeństwa informacji; Procedura wykonywania i testowania kopii bezpieczeństwa; Procedura monitoringu i kontroli dostępu do zasobów teleinformatycznych, prowadzenia logów systemowych; Procedura zachowania ciągłości działania. w Rzeszowie 10

PAMIĘTAĆ O CYKLICZNYM SPRAWDZANIU PROCEDUR, INSTRUKCJI, REGULAMINÓW ITP. w Rzeszowie 11

Rejestr ryzyk Badane rejestry ryzyk nie odpowiadały w pełni potrzebom PBI, gdyż zawierały głównie ryzyka dotyczące zadań planowanych na potrzeby kontroli zarządczej. Rejestry często nie uwzględniały szeregu istotnych ryzyk informatycznych związanych z ochroną BI, np. ryzyka pożaru serwerowni, ryzyka włamania do systemu teleinformatycznego itp. AKTYWA IDENTYFIKACJA RYZYK w Rzeszowie 12

Okresowe audyty PBI - raz do roku Regulacje wewnętrzne Urzędu nie określały zasad przeprowadzenia okresowych przeglądów systemu bezpieczeństwa informacji, w tym wykonywania corocznych audytów w zakresie bezpieczeństwa informacji. Również w praktyce najczęściej nie występowały takie sprawdzenia. Obowiązek wynika z 20 ust. 2 pkt 14 KRI w Rzeszowie 13

Uprawnienia pracowników Nie zawsze była przestrzegana zasada minimalnych uprawnień pozwalających na wykonanie powierzonych zadań. Ponadto w badanych systemach nie były podejmowane niezwłocznie działania wyrejestrowujące użytkownika z systemu informatycznego w takich przypadkach jak: rozwiązanie umowy, utrata upoważnienia do przetwarzania danych osobowych, zmiana zakresu obowiązków. Pamiętać: cykliczne przeglądy uprawnień w Rzeszowie 14

Szkolenia pracowników Należy pamiętać aby szkolenia wewnętrzne lub zewnętrzne obejmowały tematykę nie tylko z zakresu ochrony danych osobowych ale również z zakresu bezpieczeństwa informacji. w Rzeszowie 15

Zapisy w umowach z firmami zewnętrznymi Service Level Agreement, SLA (pol. umowa o gwarantowanym poziomie świadczenia usług) umowa utrzymania i systematycznego poprawiania ustalonego między klientem a usługodawcą poziomu jakości usług. Powierzenie przetwarzania danych osobowych firmom zewnętrznym. Klauzule społeczne prawo zamówień publicznych w Rzeszowie 16

Urządzenia mobilne Ważne jest opisanie zasad określających sposoby zabezpieczenia urządzeń mobilnych i danych w nich zawartych przed kradzieżą i nieuprawnionym dostępem poza siedzibą jednostki, a także zasady korzystania z ogólnodostępnych sieci. W celu podniesienia bezpieczeństwa danych gromadzonych na urządzeniach mobilnych dobrą praktyką jest szyfrowanie dysków tych urządzeń. A co z telefonami komórkowymi? w Rzeszowie 17

Inwentaryzacja sprzętu i oprogramowania Należy wykorzystać oprogramowanie do automatycznej inwentaryzacji (audytu) sprzętu i oprogramowania. Nie jest ono tożsame z rejestrem księgowym. W praktyce chodzi o zapewnienie funkcjonowania rejestru zasobów teleinformatycznych, zwanych bazą konfiguracji CMDB. Czyli utrwalenie stanu dla innych osób, tak aby obejmował on bazę licencji, konfiguracji urządzeń sieciowych, historię, aktualizacje. w Rzeszowie 18

Zachowanie ciągłości działania Celem tworzenia kopii zapasowych jest możliwość odzyskania danych i przywrócenia do pracy użytkowej systemu teleinformatycznego. To również konfiguracja urządzeń sieciowych. Warto zastanowić się nad wirtualizacją serwerów. Nie zapominać o testowaniu wykonywanych kopii zapasowych (bezpieczeństwa) i czasie ich odtworzenia. Przechowywanie kopii w innej lokalizacji. w Rzeszowie 19

Zapewnienie rozliczalności Zapewnienie rozliczalności operacji polega na gromadzeniu informacji o tym, kto, kiedy i co wykonał w systemie teleinformatycznym. Obligatoryjnie podlegają dokumentowaniu w postaci zapisów w dziennikach systemów (logi) wszelkie działania dostępu do systemu teleinformatycznego z uprawnieniami administracyjnymi, w zakresie konfiguracji systemu i jego zabezpieczeń, a także działania, gdy przetwarzanie danych podlega prawnej ochronie (np. zgodnie z ustawą o ochronie danych osobowych). Należy również systematycznie przeglądać dzienniki oraz przechowywać je co najmniej 2 lata. w Rzeszowie 20

Szkolenia dla kadry IT Braki specjalistycznych szkoleń dla kadry informatycznej co w konsekwencji skutkowało: nie wykorzystaniem pełnych możliwości konfigurowanych urządzeń, brakiem wdrożenia nowych rozwiązań (np. AD), unikaniem sprawdzeń ustawień skonfigurowanych w przeszłości urządzeń i systemów na zasadzie jak działa to nie ruszam, nadmiernemu ufaniu firmom zewnętrznym bez zadbania o wpisy w umowie chroniące przetwarzane przez nich informacje. w Rzeszowie 21

Automatyzacja zadań Kamera zamiast rejestru wejść do serwerowni; System monitorujący warunki środowiskowe z modułem otwarcia drzwi; Systemy do automatycznego audytu sprzętu i oprogramowania; W dużych jednostkach zasadnym jest wdrożenie systemu typu Help Desk. w Rzeszowie 22

Bezpieczeństwo w systemach teleinformatycznych - 20 ust. 2 pkt 12 KRI dbałości o aktualizację oprogramowania; minimalizowaniu ryzyka utraty informacji w wyniku awarii; ochronie przed błędami, utratą, nieuprawnioną modyfikacją; stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa; zapewnieniu bezpieczeństwa plików systemowych; w Rzeszowie 23

Bezpieczeństwo w systemach teleinformatycznych - 20 ust. 2 pkt 12 KRI redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych; niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa; kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; w Rzeszowie 24

Organizacja pracy Serwerownia to nie składzik tam są najważniejsze dane jednostki; W dokumentacji nie należy umieszczać informacji o producencie i modelu zastosowanych urządzeń składowych sieci Urzędu; W przypadku administrowania infrastrukturą informatyczną w innych pomieszczeniach niż serwerownia należy pamiętać o podwyższonych zasadach bezpieczeństwa fizycznego i środowiskowego; Nie chwalić się serwerownią tabliczka informacyjna na drzwiach. w Rzeszowie 25

Aż tak źle nie jest w Rzeszowie 26

Warto zaglądnąć Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych http://mc.bip.gov.pl/ -> Kontrole Ministerstwa Cyfryzacji - > Wytyczne w Rzeszowie 27

Dziękuję za uwagę Źródło: - https://www.nik.gov.pl/kontrole/p/14/004/ - materiały PUW w Rzeszowie Wydział Organizacyjno - Administracyjny w Rzeszowie ul. Grunwaldzka 15 35-959 Rzeszów tel. (17) 867 19 25 fax (17) 867 19 66 informatyk@rzeszow.uw.gov.pl w Rzeszowie 28

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres