Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r.
System Zarządzania Bezpieczeństwem Informacji SZBI Część zintegrowanego systemu zarządzania, oparta na podejściu wynikającym z ryzyka, odnosząca się do ustanowienia, wdrażania, eksploatacji, monitorowania, utrzymania i doskonalenia bezpieczeństwa informacji.
Kiedy został certyfikowany system i dla jakiego obszaru działania? Certyfikacja systemu zarządzania bezpieczeństwem informacji jako elementu zintegrowanego systemu zarządzania obejmującego: zarządzanie Urzędem Miejskim, w zakresie realizacji i koordynacji zadań administracji publicznej wynikających z ustawy o samorządzie gminnym i powiatowym oraz zadań zleconych ustawowo z zachowaniem bezpieczeństwa informacji w odniesieniu do aktualnej wersji Deklaracji Stosowania Audit dwustopniowy: - Audit dokumentacji sierpień 2009 r. - Audit spełnienia wymagań normy 27001 wrzesień 2009 r.
Jakie aspekty miały zasadniczy wpływ na podjęcie decyzji o wdrożeniu systemu? wyjście naprzeciw wymaganiom interesantów podniesienie prestiżu Urzędu poprawa komunikacji wewnętrznej zagwarantowanie przestrzegania uregulowań zewnętrznych i wewnętrznych
Oczekiwania Kierownictwa wobec Systemu Zarządzania Bezpieczeństwem Informacji SZBI decyzja Prezydenta Miasta o wdrożeniu wymagań normy PN-ISO/IEC 27001 powołanie Zespołu wdrożeniowego oraz Pełnomocnika Prezydenta Miasta ds. Systemu Zarządzania wybór firmy konsultingowej
O czym warto wiedzieć na etapie rekomendowania decyzji o wdrożeniu systemu i jak dobrze przygotować jednostkę do wdrożenia normy? Problemy Dostosowanie się do nowych wymagań wynikających z procedur SZBI Nakłady finansowe związane z wdrażaniem zabezpieczeń szczególnie w obszarze bezpieczeństwa informatycznego (jeżeli takie nie istnieją), Zaangażowanie i świadomość pracowników
POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU MIEJSKIEGO W BIELSKU-BIAŁEJ Kierownictwo Urzędu uznając, że informacja jak i jej przepływ jest obecnie jednym z najważniejszych aktywów sprawnie działającego Urzędu, wdrożyło w ramach funkcjonującego Zintegrowanego Systemu Zarządzania, System Zarządzania Bezpieczeństwem Informacji zgodny z PN-ISO/IEC 27001. Głównym celem wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji jest zapewnienie integralności, dostępności, poufności przetwarzanych informacji jak i ochrony danych osobowych.
POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU MIEJSKIEGO W BIELSKU-BIAŁEJ Poufność, integralność i dostępność informacji są podstawą do sprostania wzrastającym wymaganiom władz ustawodawczych jak i klientów, zgodności z prawem i dbania o wizerunek Urzędu. Szczególnie dużą wagę dla bezpieczeństwa informacji w Urzędzie ma bezpieczeństwo zasobów informatycznych przechowujących i przetwarzających dane, które mają być chronione.
POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU MIEJSKIEGO W BIELSKU-BIAŁEJ Politykę Bezpieczeństwa realizujemy poprzez osiąganie następujących celów strategicznych: zabezpieczenie systemów przetwarzających informacje przed nieautoryzowanym dostępem, utrzymanie zdolności do efektywnej obsługi klientów, minimalizowanie ryzyka i ograniczanie skutków utraty bezpieczeństwa informacji, zaangażowanie wszystkich pracowników w ochronę informacji oraz zwiększenie świadomości pracowników.
POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU MIEJSKIEGO W BIELSKU-BIAŁEJ Wszyscy pracownicy zobowiązani są do aktywnego udziału w utrzymaniu i doskonaleniu Systemu Zarządzania Bezpieczeństwem Informacji oraz stosowania przyjętych zasad postępowania. Realizacja Polityki Bezpieczeństwa oraz funkcjonowanie systemu są systematycznie nadzorowane poprzez: monitorowanie funkcji zabezpieczeń, audity wewnętrzne, przeglądy zarządzania
System Zarządzania Bezpieczeństwem Informacji SZBI Bezpieczeństwo informacji = Bezpieczeństwo teleinformatyczne
Poufność Dostępność Integralność
Elementy bezpieczeństwa informacji Poufność właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom Integralność właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Dostępność właściwość bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot Rozliczalność właściwość odnosząca się do szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system służący do identyfikacji użytkowników
Analiza Polityka Zasady A Procedury, instrukcje B D C E
Dokumentacja systemu SZBI Udokumentowana polityka bezpieczeństwa oraz cele i zakres stosowanych zabezpieczeń Deklaracja stosowania Proces zarządzania bezpieczeństwem informacji wraz z procedurami Regulaminy, instrukcje i zabezpieczenia służące realizacji SZBI Raport z analizy ryzyka, plan postępowania z ryzykiem Plan Ciągłości Działania i Scenariusze awaryjne
Procedury: Postępowanie z ryzykiem Postępowanie z informacją Utrzymanie i monitorowanie BI Postępowanie z incydentem Zarządzanie ciągłością działania Cele: Zabezpieczenie aktywów Utrzymanie zdolności do efektywnej obsługi interesantów Minimalizowanie ryzyka i ograniczanie skutków utraty danych Zaangażowanie wszystkich pracowników w utrzymanie SZBI
Organizacja bezpieczeństwa informacji Cele i procedury BI Delegacja odpowiedzialności Zasoby Kierownictwo Audyt techniczny Monitorowanie Rozwiązywanie Ocena niezależna Audyty Testy Forum Zarządzania BI Pełnomocnik ZSZ Administratorzy obszarów bezp.: IT, osob., fiz. Utrzymanie i monitorowanie Koordynacja Pracownicy Stosowanie zasad
Przyjęta klasyfikacja informacji Klasa informacji Oznaczanie dokumentów i nośników Dostęp Informacje niejawne * * Informacja stanowiąca tajemnicę skarbową Informacja objęta ochroną Urzędu Tajemnica skarbowa Dokument wewnętrzny Wybrani pracownicy Wybrani pracownicy Informacja ogólnodostępna - Wszyscy Informacja zawierająca/ stanowiąca dane osobowe * Wybrani pracownicy * - wykorzystywane są inne wymagania prawne (ustawy, rozporządzenia)
Metodyka szacowania ryzyka bezpieczeństwa informacji Zastosowano metodykę analizy ryzyka opartą na podejściu procesowym Określono kluczowe grupy informacji w Wydziałach Zidentyfikowano zasoby przetwarzające informacje Określono zagrożenia i podatności dla poufności, integralności, dostępności i rozliczalności na każdym etapie procesu przetwarzania informacji Zidentyfikowano typy zagrożeń dla pracowników i wyposażenia Określono wpływ i prawdopodobieństwo wystąpienia zagrożeń Wyliczono globalne zagrożenie dla rozpatrywanych zasobów Oszacowano ryzyko przetwarzanej informacji
Plan postępowania z ryzykiem bezpieczeństwa informacji Na podstawie wyników analizy ryzyka w Wydziałach, decyzją Prezydenta Miasta, przyjęto Plan postępowania z ryzykiem bezpieczeństwa informacji Zgodnie z Planem zostały zrealizowane zalecenia w poszczególnych Wydziałach Rozliczenie zaleceń jest zawarte w Raporcie na Przegląd SZBI przez Kierownictwo
Jakie są koszty audytu certyfikującego i audytów recertyfikujących oraz koszty realizowania audytów wewnętrznych? Koszty auditu certyfikacyjnego zwiększona liczby dni auditu strony trzeciej zależna od liczby systemów oraz od wielkości organizacji (wzrost kwoty za audit zewnętrzny o ok. 20%) Koszty auditów wewnętrznych koszty auditów wewnętrznych uległy zmianie z powodu liczby przeprowadzonych auditów w roku certyfikacji o ok. 20% w kolejnych latach utrzymują się na poziomie poprzednim
Jakie są (jeżeli występują) najistotniejsze problemy z utrzymaniem systemu? Zapewnienie środków finansowych: koszty certyfikacji, koszty wynagrodzeń za audity wewnętrzne, koszt audytu technicznego zabezpieczeń informatycznych, koszty zabezpieczeń fizycznych Zaangażowanie pracowników świadome przestrzeganie przez pracowników opracowanych i opisanych zasad bezpieczeństwa szkolenia wewnętrzne, spotkania zespołów tematycznych
Jakie są najistotniejsze pozytywne skutki wdrożenia systemu z punktu widzenia kierownika jednostki? Uporządkowanie struktur organizacyjnych Przypisanie czytelnych i jasnych odpowiedzialności Podniesienie świadomości pracowników w zakresie ochrony informacji Poprawa zaangażowania pracowników w doskonalenie organizacji pracy na swoim stanowisku Podniesienie poziomu samokontroli na stanowisku pracy
Czy wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji są wykorzystywane również w innych obszarach działalności jednostki? Wyniki analizy ryzyka są podstawą opracowania scenariuszy postępowania w Planie ciągłości działania Wyniki analizy ryzyka są wykorzystywane przy opracowywaniu Polityki ochrony danych osobowych Wyniki analizy ryzyka są wykorzystywane przy planowaniu procesów wydziałowych
System Zarządzania Bezpieczeństwem Informacji SZBI w Urzędzie Miejskim w Bielsku-Białej został wdrożony w 2009r. ( ) od 31 maja 2012r. Obowiązuje Rozporządzenie Ministra Cyfryzacji i Informatyzacji ws. Krajowych Ram Interoperacyjności Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 3. Wymagania określone w ust.1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania ( ).
Dziękuję za uwagę Dorota Płonka Pełnomocnik Prezydenta Miasta ds. Systemu Zarządzania Urząd Miejski w Bielsku-Białej