AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Podobne dokumenty
AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Warszawa, 2 września 2013 r.

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Krzysztof Świtała WPiA UKSW

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zdrowe podejście do informacji

Prezydent Miasta Lublin

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Audyt funduszy strukturalnych

Audyt systemów informatycznych w świetle standardów ISACA

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Komunikat nr 115 z dnia r.

Zarządzanie relacjami z dostawcami

Bezpieczeństwo informacji dylematy związane z realizacją obowiązku prowadzenia audytu wewnętrznego

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Promotor: dr inż. Krzysztof Różanowski

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Agenda spotkania. 1. Urzędami Miast na prawach powiatu województwo śląskie. 2. Wybranymi zarządami dróg wojewódzkich. 3. Urzędami Marszałkowskimi.

Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji.

Bezpieczeństwo informacji. jak i co chronimy

Zarządzanie ryzykiem w IT

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

ISO w Banku Spółdzielczym - od decyzji do realizacji

Robert Meller, Nowoczesny audyt wewnętrzny

Przygotowanie do egzaminu na certyfikat CISA (Certified Information Systems Auditor)

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

Informację sporządzoną według poniższego wzoru należy przesłać do dnia 27 czerwca 2014 r. do godz na adres

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

IX KONWENT INFORMATYKÓW I ADMINISTRACJI POMORZA I KUJAW

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LEŚNICY

OCHRONA DANYCH OSOBOWYCH PO 1 STYCZNIA 2015

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

BANK SPÓŁDZIELCZY GRODKÓW-ŁOSIÓW z siedzibą w Grodkowie

Załącznik Nr 1 do SIWZ Załącznik nr 3 do Umowy Szczegółowy Opis Przedmiotu Zamówienia

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

NOSEK ( Narzędzie Oceny Systemu Efektywnej Kontroli ) Sporządzili: Bożena Grabowska Bogdan Rajek Anna Tkaczyk Urząd Miasta Częstochowy

Opis systemu kontroli wewnętrznej w mbanku S.A.

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

SPÓŁDZIELCZY BANK POWIATOWY w Piaskach

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Zapytanie ofertowe nr OR

BAKER TILLY POLAND CONSULTING

Standardy kontroli zarządczej

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Katalog szkoleń 2014

SPRAWOZDANIE Z WYKONANIA PLANU AUDYTU ZA ROK 2013

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

SZCZEGÓŁOWY HARMONOGRAM KURSU

NAZWA SZKOLENIA: SZKOLENIE PRZYGOTOWUJĄCE DO EGZAMINU SPECJALISTYCZNEGO CGAP (Certified Government Auditing Professional)

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

System kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU

PLAN AUDYTU NA ROK 2010

System Kontroli Wewnętrznej w Banku BPH S.A.

Rodzaje audytu. Artur Sierszeń

Karta audytu wewnętrznego w Uniwersytecie Mikołaja Kopernika w Toruniu

System kontroli wewnętrznej w Systemie Ochrony Zrzeszenia BPS

BAKER TILLY POLAND CONSULTING

System kontroli wewnętrznej w Banku Spółdzielczym w Białej

BANK SPÓŁDZIELCZY W WOLBROMIU

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

SKZ System Kontroli Zarządczej

Przegląd certyfikatów branŝowych

Normalizacja dla bezpieczeństwa informacyjnego

Warszawa, dnia 12 maja 2016 r. Poz. 20

Przygotowanie do egzaminu na certyfikat CISA (Certified Information Systems Auditor) KONSPEKT SZKOLENIA część 1.

SYSTEM KONTROLI WEWNETRZNEJ W BANKU SPÓŁDZIELCZYM W ZĄBKOWICACH ŚLĄSKICH

Efektywne i skuteczne zarządzanie ryzykiem

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Szkolenie otwarte 2016 r.

System kontroli wewnętrznej w Limes Banku Spółdzielczym

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

BANK SPÓŁDZIELCZY W ŻOŁYNI

Transkrypt:

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Piotr Wojczys CISA, CICA

Obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok ( 20 ust.2 pkt 14). Stanowisko Ministerstwa Finansów - Komunikat Departamentu Audytu Sektora Finansów Publicznych Ministerstwa Finansów :? w tak ukształtowanym stanie prawnym audytor wewnętrzny/ usługodawca niezależnie od wyników analizy ryzyka powinien corocznie objąć audytem wewnętrznym powyższy obszar, chyba że zostaną spełnione warunki określone w 20 ust. 3 ww. rozporządzenia. Jeżeli realizacja zadania audytowego we wskazanym obszarze będzie konieczna ze względu na niespełnienie rzeczonych warunków, wówczas zadanie to jako obligatoryjne należy ująć w rocznym planie audytu.

Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji (25 kwietnia 2013 r.) 1. Intencją projektodawcy było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. 2. Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne nie określa sposobu, trybu, rodzaju audytu, ani też osób czy komórek organizacyjnych, którym należałoby powierzyć prowadzenie ww. audytu. 3. Użycie w rozporządzeniu sformułowania audyt wewnętrzny nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym w JSFP na mocy ustawy o finansach publicznych.

Wypełnienie obowiązku zawartego w rozporządzeniu w sprawie KRI WARIANT 1 Jednostka musi wdrożyć i utrzymać system zarządzania bezpieczeństwem informacji, który został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie norm: 1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. Ale to tylko wierzchołek góry lodowej : + norma ISO 27006 - wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji + norma ISO 22301 - bezpieczeństwo informacji i ciągłość działania + norma ISO 20000 - zarządzanie usługami IT WARIANT 2 W jednostce musi być przeprowadzany okresowy JAKIŚ audyt w zakresie bezpieczeństwa informacji - nie rzadziej niż raz na rok.

Działania w wariancie 1 systemowe 1) Certyfikacja w zakresie spełniania wymagań normy PN-ISO/IEC 27001. 2) Zakup i wdrożenie norm we własnym zakresie. Włączenie bezpieczeństwa informacji do własnego systemu kontroli zarządczej ustanowionego w jednostce (bez kosztownej certyfikacji). Działania w wariancie 2 doraźne Audyt sytemu bezpieczeństwa informacji może być przeprowadzony w dwóch zakresach: 1) wąskim - sprawdzenie spełnienia wymagań zawartych w 20 ust. 2* rozporządzenia (14-15 punktów); 2) szerokim sprawdzenie zgodności z normą PN-ISO/IEC 27001 (obecnie 114 zabezpieczenia). * Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.

Kto powinien przeprowadzać audyty bezpieczeństwa informacji? 1. Badanie audytowe może być wykonane przez: - audyt wewnętrzny; - odpowiednio przygotowanych własnych pracowników*; - podmiot zewnętrzny w ramach outsourcingu tej usługi. 2. Kryteriami, jakimi należy się kierować przy wyborze osób / podmiotów prowadzących audyt w zakresie bezpieczeństwa informacji są: - odpowiednie kwalifikacje, - doświadczenie, - znajomość metodyki audytu w zakresie bezpieczeństwa informacji, - niezależność od obszaru audytowanego, - zapewniona obiektywność i bezstronność. I tu dość często zaczynają się schody. Bardzo często jedynymi osobami w organizacji, które posiadają wiedzę w zakresie stosowania norm ISO 27001/27002 są osoby odpowiedzialne za IT. Nierzadko są one także certyfikowanymi audytorami w zakresie wspomnianych norm, a sfinansowanie szkoleń i certyfikatów zawdzięczają pracodawcy Jednak trudno ich kompetencje w zakresie audytu BI skonsumować w organizacji wprost, ponieważ mamy do czynienia z oczywistym konfliktem interesów ( audytowanie samego siebie ).

Kto powinien przeprowadzać audyty bezpieczeństwa informacji cd? Teoretycznie JST mogą poprosić wojewodów USTAWA O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE (Art. 25 ust. 1 pkt 3) Kontroli działania systemów teleinformatycznych, używanych do realizacji zadań publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2, dokonuje: a) w jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych - właściwy wojewoda, z zastrzeżeniem ust. 3, b) w podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej - organ administracji rządowej nadzorujący dany podmiot publiczny, c) w podmiotach publicznych niewymienionych w lit. a i b - minister właściwy do spraw informatyzacji - pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych i wymiany informacji w postaci elektronicznej. KONTEKST! Zwróćmy uwagę na niemal identyczne do zapisów Ustawy sformułowanie tytułu rozporządzenia w sprawie KRI: Rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. W obu przypadkach użyte są TE SAME POJĘCIA tj.: - minimalne wymagania dla systemów teleinformatycznych - minimalne wymagania dla rejestrów publicznych - Minimalne wymagania wymianmy informacji w postaci elektronicznej Zatem w zakresie KRI mogą nas skontrolować, nawet na nasz wniosek, służby wojewody ponieważ: (Art. 25 ust. 3) W stosunku do organów i jednostek, o których mowa w ust. 1 pkt 3 lit. a, kontrola może dotyczyć wyłącznie systemów teleinformatycznych oraz rejestrów publicznych, które są używane do realizacji zadań zleconych z zakresu administracji rządowej. W pozostałych przypadkach kontrola przeprowadzana jest na wniosek.

USTAWA O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE (Art. 28) Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wykaz certyfikatów uprawniających do prowadzenia kontroli w rozumieniu art. 25, ( ) ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych 1. Audytor systemu zarządzania bezpieczeństwem informacji według normy PN ISO/IEC 27001 lub jej odpowiednika międzynarodowego. 2. Audytor systemu zarządzania usługami informatycznymi według normy PN ISO/IEC 20000 lub jej odpowiednika międzynarodowego. 3. Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001 lub jej odpowiednika międzynarodowego. 4. Certified Information System Auditor (CISA). 5. Certified in the Governance of Enterprise IT (CGEIT). 6. Certified Internal Auditor (CIA). 7. Certified Information Systems Security Professional (CISSP). 8. Europejski Certyfikat Umiejętności Zawodowych Informatyka - EUCIP Professional specjalizacja Audytor Systemów Informacyjnych. 9. Systems Security Certified Practitioner (SSCP)

Rekomendacja D Komisji Nadzoru Bankowego dotycząca zarządzania obszarami technologii informacyjnej bezpieczeństwa środowiska teleinformatycznego w bankach. Rekomendacja 22 Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów. 22.2. Osoby odpowiedzialne za przeprowadzanie audytów obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinny posiadać odpowiednie kwalifikacje. Audyty powinny być przeprowadzane z wykorzystaniem uznanych standardów międzynarodowych i dobrych praktyk w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, jak np.: standardy dotyczące audytowania systemów informatycznych ISACA (Information Systems Audit and Control Association), COBIT (Control Objectives for Information and related Technology), GTAG (Global Technology Audit Guide) oraz GAIT (Guide to the Assessment for IT Risk), normy ISO (International Organization for Standardization).

Rekomendacja D Komisji Nadzoru Bankowego dotycząca zarządzania obszarami technologii informacyjnej bezpieczeństwa środowiska teleinformatycznego w bankach. Ciąg dalszy - Rekomendacja 22 22.3. Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa środowiska teleinformatycznego. Częstotliwość i zakres audytów powinny wynikać z poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników ich wcześniejszych przeglądów. 22.4. Zlecanie dodatkowych audytów profesjonalnym instytucjom zewnętrznym specjalizującym się w badaniu obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego jest czynnikiem, który może wzmocnić w istotny sposób kontrolę nad ryzykiem związanym z tym obszarem. W związku z tym, bank powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą uzupełnienia działań audytu wewnętrznego przez audyty zewnętrzne przeprowadzane przez tego rodzaju podmioty, w szczególności w zakresie obszarów o wysokim poziomie ryzyka.

Audyt bezpieczeństwa informacji wymaga specyficznej wiedzy m.in. dlatego, że większość informacji przetwarzana jest w systemach informatycznych. Audytorzy bez specjalistycznych umiejętności i uprawnień mogą jednak z powodzeniem oceniać m.in.: wykonywanie okresowych analiz ryzyka w zakresie bezpieczeństwa informacji, zapewnienie aktualizacji regulacji wewnętrznych, utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania, posiadanie, adekwatność i aktualności uprawnień w systemach, szkolenia osób zaangażowanych w proces przetwarzania informacji. czyli bardzo istotne elementy składowe SYSTEMU bezpieczeństwa informacji.

1. Audytorzy wewnętrzni ZASOBY KOMPETENCJE KOSZTY 2. Inni specjaliści z wewnątrz (zwłaszcza auditorzy ISO) 3. Specjaliści z zewnątrz 4. Kombinacja powyższych (system!)

Punkt wyjścia PBI / zarządzania bezpieczeństwem Klasyczne podejście do racjonalnego zapewnienia bezpieczeństwa informacji. INWENTARYZACJA - Co? zasoby/zbiory informacji zasoby sprzętowe i programowe służące przetwarzaniu informacji. KLASYFIKACJA - Dlaczego? zasoby wrażliwe zasoby kluczowe zasoby wspomagające zasoby neutralne ANALIZA RYZYKA - Jak? 1. Zagrożenia 2. Podatności Ryzyka Skutki Środki zapobiegawcze

Role i odpowiedzialności podejście tradycyjne W systemach informacyjnych (także informatycznych) kluczowe znaczenie ma określenie WŁAŚCICIELA (zasobu / procesu lub po prostu ryzyka) : Np. właściciel informacji: decydujący o przetwarzaniu informacji zawartej w systemie, decydujący o nadawaniu uprawnień do zasobu informacyjnego, dla którego informacja (jej przetwarzanie) stanowi podstawę funkcjonowania. Przedmiotem własności może być: a) proces biznesowy*; b) określony zbiór działań; c) aplikacja; d) określony zbiór danych. Klasyfikowanie informacji z uwzględnieniem: - ich wartości; - wymagań prawnych; - wrażliwości i krytyczności. UWAGA. W najnowszej edycji norm ISO serii 27000:2013 pojęcie właściciel zasobów/aktywów zastąpiono pojęciem właściciel ryzyka. * w dobrze opisanych procesach dobrze widać wartość i krytyczność informacji!

Dziękuję za uwagę piotr.wojczys@gdansk.gda.pl piotr.wojczys@gmail.com

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres