Standaryzacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)



Podobne dokumenty
Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Krzysztof Świtała WPiA UKSW

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

PRELEGENT Przemek Frańczak Członek SIODO

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Marcin Soczko. Agenda

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Promotor: dr inż. Krzysztof Różanowski

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Zdrowe podejście do informacji

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Szkolenie otwarte 2016 r.

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Normalizacja dla bezpieczeństwa informacyjnego

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Czy wszystko jest jasne??? Janusz Czauderna Tel

Umowa nr.. zawarta r. w Warszawie pomiędzy: Ministerstwem Kultury i Dziedzictwa Narodowego reprezentowanym przez MKiDN, zwanego dalej

Kompleksowe Przygotowanie do Egzaminu CISMP

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

I. O P I S S Z K O L E N I A

Krajowe Ramy Interoperacyjności obowiązkowe wyzwanie dla JST w

Amatorski Klub Sportowy Wybiegani Polkowice

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Zarządzenie nr 1/2017 Dyrektora Przedszkola nr 20 w Rybniku z dnia 17 stycznia 2017 roku

Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII

Społeczeństwo informacyjne Rola normalizacji. Jerzy Krawiec Warszawa,

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Bezpieczeństwo informacji. jak i co chronimy

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

KRAJOWE RAMY INTEROPERACYJNOŚCI

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Informatyka w kontroli i audycie

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

dr Beata Zbarachewicz

Zarządzenie nr 2/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 12 czerwca 2015 roku

Standard ISO 9001:2015

Zarządzenie nr 8/2015 Dyrektora Zespołu Szkół nr 2 w Rybniku z dnia 11 czerwca 2015 roku

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

ISO nowy standard bezpieczeństwa. CryptoCon,

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU

* 1. Rozporządzenie określa szczegółowe wymagania techniczne i organizacyjne

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ISO bezpieczeństwo informacji w organizacji

POLITYKA E-BEZPIECZEŃSTWA

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

ZARZĄDZENIE Starosty Bielskiego

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

WYSTĄPIENIE POKONTROLNE

Normy ISO serii Normy ISO serii Tomasz Greber ( dr inż. Tomasz Greber.

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

ZARZĄDZENIE Nr 58/2014 Starosty Bielskiego z dnia 23 grudnia 2014 r.

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Transkrypt:

Standaryzacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) Każda technologia przechodzi okres burzliwego rozwoju, w czasie którego powstaje szereg różnych, konkurencyjnych rozwiązań. W następnym etapie niektóre rozwiązania uzyskują przewagę i mamy do czynienia z pojawianiem się standardów de-facto, z których część (jak np. sieć Ethernet lub protokół TCP/IP) zostaje powszechnie zaakceptowana i rozpoczyna się proces normalizacyjny. Zagadnienia związane z bezpieczeństwem systemów informatycznych nie były początkowe brane pod uwagę, pomimo spektakularnej utraty jednej z sond kosmicznych MARINER 1, która została spowodowana błędem oprogramowania. Dopiero głośna sprawa śmierci pacjentów, która była skutkiem awarii systemu komputerowego wykorzystywanego do terapii radiacyjnej w leczeniu raka oraz rezygnacji ze stosowania zabezpieczeń przez producenta (ograniczenie kosztów) doprowadziła do zwrócenia szczególnej uwagi na zagadnienia związane z bezpieczeństwem korzystania z systemów komputerowych. O ile przed aferą Therac-25 bezpieczeństwem systemów komputerowych interesowały się przede wszystkim organizacje wojskowe, czego efektem było opublikowanie w 1983 r. słynnej Pomarańczowej Książeczki (Orange Book), której oficjalny tytuł brzmiał Trusted Computer System Evaluation Criteria powstałej z inicjatywy NSA DoD. Warto zwrócić uwagę na tytuł, który nie używa pojęcia Bezpieczny Komputer, lecz Komputer godny zaufania. Orange Book zawierała konkretne zalecenia techniczne. Europa (a tak naprawdę Wielka Brytania, Niemcy oraz Holandia) opracowując w 1990 r. własne kryteria ewaluacji bezpieczeństwa systemów zrezygnowała z takiego podejścia wprowadzając w opracowanym przez siebie systemie oceny ITSEC pojęcie ToE (Target of Evaluation). Zostało to umotywowane chęcią zachowania neutralności technologicznej. Standard ITSEC jest stopniowo zastępowany przez Common Criteria, który został objęty także polską normą PN-ISO/IEC 15408. Common Criteria (i w dalszym ciągu używany system oceny ITSEC) pozwalają na formalną ocenę skuteczności zabezpieczeń wprowadzonych przez producenta do konkretnego urządzenia. Urządzenie jest dostarczane uprawnionej Jednostce Certyfikującej. Na przykład opracowane w naszej firmie i produkowane przez OPTIMUS S.A. urządzenie OPTIMUS ABA IPsec Gateway zostało dostarczone wraz z dokumentacją zabezpieczeń Jednostce Certyfikującej Agencji Bezpieczeństwa Wewnętrznego i po przeprowadzeniu weryfikacji otrzymało odpowiedni certyfikat ochrony kryptograficznej i zostało dopuszczone do ochrony transmisji informacji niejawnych. Certyfikat Common Criteria lub ITSEC dotyczy jednak konkretnego urządzenia i potwierdza fakt, że zostało ono poddane niezależnym badaniom mającym na celu sprawdzenie deklaracji producenta co do skuteczności zastosowanych zabezpieczeń. Bezpieczeństwo teleinformatyczne wymaga jednak kompleksowego podejścia do zagadnienia ochrony informacji. Oprócz wprowadzania zabezpieczeń do samych urządzeń i oprogramowania aż do przeprowadzania formalnej weryfikacji poprawności projektu (wymagana na najwyższym poziomie certyfikacji EAL7 przez Common Criteria) wprowadzono pojęcie zarządzania bezpieczeństwem informacji. Strategia ta polega głównie na ograniczaniu funkcji systemu, które w wyniku analizy ryzyka uznane zostały za niebezpieczne. Takie podejście, określane niekiedy jako celowe ograniczenie interakcji z systemem informatycznym (klasycznym przykładem jest (C) Tomasz Barbaszewski str. 1 z 6

wprowadzanie bastionu Firewall) nie koncentruje się na doskonaleniu samego systemu pod kątem bezpieczeństwa jego pracy (a więc i informacji), lecz wprowadza procedury i wynikające z nich rozwiązania celowo ograniczające jego funkcjonalność. Szczególnie dobrze zdaje ono egzamin jeśli zamierzamy do celów profesjonalnych stosować rozwiązania, które zostały tak naprawdę przygotowane dla przeciętnego użytkownika. Powodzenie rynkowe maszyn klasy PC zależy przecież przede wszystkim od ich jak największej funkcjonalności od centrum rozrywki przez maszynę do pisania aż po urządzenie telekomunikacyjne i domową stację obliczeniową. Funkcjonalność takich systemów dynamicznie rośnie dotyczy to zarówno MS Windows jak i Linuksa czy MacOS, wymusza coraz większą wydajność sprzętu co w konsekwencji nie sprzyja wzrostowi bezpieczeństwa informacji i samego oprogramowania. Konieczne staje się więc ograniczanie dostępu do systemu mające na celu ochronę informacji. Strategie producentów (oraz zespołów tworzących dystrybucje Linuksa) muszą być strategiami prorynkowymi. Znajduje to wyraz z ironicznym twierdzeniu Fellena-McGrawa: Musząc wybrać między obejrzeniem tańczących świnek a bezpieczeństwem, użytkownicy za każdym razem zdecydują się na świnki. Dodatkowo, kolejną praktyką budzącą znaczne kontrowersje jest zrzekanie się przez niemal wszystkich producentów oprogramowania jakiejkolwiek odpowiedzialności za straty spowodowane przez błędy zabezpieczeń, wliczając w to przypadki celowych zaniedbań ze strony autora. Niektórzy specjaliści, ze Schneierem na czele, argumentują, że jedynym sposobem podniesienia jakości oprogramowania jest wprowadzenie ustawowej odpowiedzialności na wzór regulacji w przemyśle samochodowym, gdzie producent ponosi niezbywalną odpowiedzialność cywilną i karną za nieprawidłowości, którym mógł zapobiec. Źródło: Wikipedia Wiele osób odpowiedzialnych za bezpieczeństwo informacji nie zwraca uwagi na wyłączenia odpowiedzialności w maksymalnym zakresie dozwolonym przez prawo lokalne poddając się agresywnej promocji Liderów rynku. O ile jeszcze uznać takie postępowanie za naturalne w przypadku Wolnego i Otwartego Oprogramowania, to trudno to zrozumieć jeśli za prawo do korzystania z oprogramowania musimy zapłacić niekiedy całkiem sporą kwotę. Cóż można w tej sytuacji w praktyce zrobić? Jeśli producent lub dostawca oprogramowania uchyla się od odpowiedzialności (naprawdę, warto czytać dołączane do oprogramowania licencje) musimy wziąć sprawę w swoje ręce zarówno w domu, jak i w pracy! Przecież każdy użytkownik PC stosuje różnego typu personal firewall czy programy antywirusowe. Fakt, że takie zabezpieczenia są dostarczane również przez producentów samych systemów można potraktować jako swoistą ironię losu. W przypadku dużych systemów profesjonalnych zawierających wprowadzenie zabezpieczeń powinno być poparte odpowiednią analizą. W tym celu British Standard Institute opracował (w 1995 r.) zestaw standardów BS 7799, które stały się podstawą norm ISO, a w konsekwencji również Polskich Norm poświęconych Systemom Zarządzania Bezpieczeństwem Informacji. (C) Tomasz Barbaszewski str. 2 z 6

Stosowanie polskich norm nie jest obowiązkowe! Obowiązek ten zlikwidowano wraz z PRL, jednakże dość szybko okazało się, że powoduje to określone problemy, których apogeum stała się katastrofa hali Targów Katowickich. Normy definiujące i opisujące System Zarządzania Bezpieczeństwem Informacji (rodzina ISO27000) też nie są obowiązkowe a jednak w Projekcie umieszczonym na stronach MSWiA czytamy: Projekt 22 04 2011 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 2011 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm. 1)) zarządza się, co następuje: 1. Rozporządzenie określa: 1) Krajowe Ramy Interoperacyjności; 2) minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej; 3) minimalne wymagania dla systemów teleinformatycznych, w tym: a) specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym, b) sposoby zapewnienia bezpieczeństwa przy wymianie informacji, c) standardy techniczne zapewniające wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej, d) sposoby zapewnienia dostępu do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych. i dalej: 14. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez: 1) zapewnienie przez kierownictwo podmiotu warunków umożliwiających realizację działań o których mowa w pkt 2) 15); 2) zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 3) utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; 4) przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowanie działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 5) podjęcie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 6) bezzwłoczną zmianę uprawnień, w przypadku zmiany zadań osób o których mowa w pkt 5, 7) zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; 8) zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, poprzez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z (C) Tomasz Barbaszewski str. 3 z 6

przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 9) ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 10) zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu ujawnienie, modyfikacje, usunięcie lub zniszczenie informacji; 11) zawarcie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziomu bezpieczeństwa informacji; 12) ustalenie zasad postępowania z informacjami, zapewniających maksymalne zmniejszenie wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji w tym urządzeń mobilnych; 13) zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowanie mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych, f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych. g) niezwłocznym podejmowanie działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa. 14) bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjecie działań korygujących; 15) zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. 3. System zarządzania bezpieczeństwem informacji spełnia wymogi, o których mowa w ust. 1 i 2, jeżeli został opracowany na podstawie Polskiej Normy PN ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania wraz z normami uzupełniającymi lub normy go zastępującej, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji, 2) PN ISO/IEC 27005:2010 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji 3) PN ISO/IEC 24762:2010 Technika informatyczna Techniki bezpieczeństwa Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie. 4. W przypadkach uzasadnionych określonych przepisem prawa lub analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne ustanawia się dodatkowe zabezpieczenia inne niż te, które wynikają z ust. 2. Pełny tekst Projektu Rozporządzenia: http://bip.mswia.gov.pl/portal/bip/218/19586/ Czas na spełnienie powyższych wymagań został wyznaczony na dwa lata. Mamy więc do czynienia z kolejnym etapem normalizacji wymuszeniem przez akty prawne. Nie ma w tym nic nowego podobnie było z ruchem drogowym. W średniowieczu nie było potrzeba żadnego kodeksu drogowego. Rosnąca mobilność społeczeństwa spowodowała, że na przełomie XVIII i XIX wieku (w zależności od kraju w Polsce pierwsze przepisy drogowe to rok 1825) zaczęto wprowadzać najpierw zalecenia, a potem wręcz prawa o ruchu drogowym (pierwszy polski Kodeks Drogowy to rok 1920). Ciekawostką jest, że przewidziano w nim Prawo Jazdy kategorii IIB uprawniające jedynie do prowadzenia Forda model T samochodu, który był bardzo prosty w obsłudze. Nieodparcie kojarzy się to z pewnym najpopularniejszym (ale jedynie na komputerach typu PC) systemem operacyjnym i tak zwanym komputerowym prawem jazdy. Cóż, historia lubi się powtarzać. (C) Tomasz Barbaszewski str. 4 z 6

Wracając jednak do rzeczy: Planowane zarządzenie wynika z wprowadzania tak zwanych Europejskich Ram Interoperacyjności. Znaczne poszerzenie zakresu wymienianych danych, projekty e-administracji, udostępnianie coraz większej ilości usług w Internecie skutkuje wzrostem ruchu, co z kolei wymusza podejmowanie działań mających na celu zapewnienie bezpieczeństwa. Nasza cywilizacja staje się coraz bardziej uzależniona od informacji została bowiem złapana we własne sidła. Ułatwienie składowania i przetwarzania ogromnej ilości informacji powoduje, że decydenci żadają coraz więcej ilości i coraz dokładniejszych informacji a to z kolei prowadzi do tworzenia nowych, coraz doskonalszych systemów teleinformatycznych. Projekt rozporządzenia konsultowanego przed MSWiA dotyczy jedynie podmiotów realizujących zadania publiczne. Lecz przecież pod tym kryptonimem ukrywa się cała Administracja Rządowa, Samorządowa a także sporo innych organizacji. Wszystko wskazuje więc na to, że pomimo iż stosowanie polskich norm nie jest obligatoryjne, to szybko może stać się obowiązkowe podobnie jak zasada pierwszeństwa z prawej strony. Rodzina norm ISO 27000: Dostępna nieodpłatnie (jako plik PDF) norma ISO 27000:2009 to podstawowy przewodnik po pozostałych normach rodziny. Znajdziemy w niej: zestawienie oraz opis przedmiotu poszczególnych norm, cele i zadanie standaryzacji SZBI, definicje terminów używanych w normach, właściwości, jakimi powinien charakteryzować się SZBI, opis podejścia procesowego i stosowania cyklu PDCA (koła Deminga), uzasadnienie celowości zarządzania bezpieczeństwem informacji, czynniki sukcesu, mapy rodziny standardów oraz ich opisy, bibliografię. Normy rodziny ISO 27000 można podzielić na kilka grup: Opis standardu i definicje używanych terminów: ISO 27000 Normy specyfikujące wymagania podlegające audytowi w procesie certyfikacji: ISO 27001 - wymagania stawiane SZBI, ISO 27006 wymagania wobec jednostek certyfikujących, Przewodniki opisujące standardy oraz praktyki ich implementowania: ISO 27002 (PN-ISO/IEC 17799) wdrażanie SZBI, ISO 27003 podejście procesowe we ustanawianiu i wdrażaniu SZBI, ISO 27004 metody pomiarowe i kontrolne dla SZBI, ISO 27005 analiza ryzyka dla potrzeb SZBI, (C) Tomasz Barbaszewski str. 5 z 6

ISO 27007 audyty SZBI Normy sektorowe: ISO 27011 SZBI w sektorze telekomunikacyjnym, ISO 27799 implementacja Zarządzania Bezpieczeństwem Informacji dla potrzeb organizacji służby zdrowia (adaptacja ISO 27002), Inne normy sektorowe znajdują się w opracowywaniu. Dla organizacji zainteresowanych ustanowieniem i wdrożeniem SZBI najistotniejsze są normy opisujące wdrażanie systemu a w szczególności ISO/IEC 27002 (w Polsce ciągle znana jako PN-ISO/IEC 17799, ponieważ według tych norm należy prowadzić proces wprowadzania SZBI, który może się zakończyć (lub nie) uzyskaniem certyfikatu ISO 27001. Bardzo ważną lekturą uzupełniającą dla wszystkich zainteresowanych ustanowieniem SZBI jest norma ISO 27005 opisująca zasady zarządzania ryzykiem w systemach IT. (C) Tomasz Barbaszewski str. 6 z 6

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres