PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych

Podobne dokumenty
PLAN DZIAŁANIA KT 17 ds. Pojazdów i Transportu Drogowego

eidas Standardy de iure i de facto oraz rozwiązania niestandardowe

PLAN DZIAŁANIA KT 204 ds. Rysunku Technicznego i Dokumentacji Technicznej

PLAN DZIAŁANIA KT 242. ds. Informacji i Dokumentacji

PLAN DZIAŁANIA KT NR 184 ds. Klejów

PLAN DZIAŁANIA KT 246 ds. Ochrony Radiologicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

PLAN DZIAŁANIA KT 90 ds. Uprawy Roli i Ogrodnictwa

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PLAN DZIAŁANIA KT 51 ds. Pomiarów Przemysłowych Wielkości Nieelektrycznych

PLAN DZIAŁANIA KT 270. ds. Zarządzania Środowiskowego

Promotor: dr inż. Krzysztof Różanowski

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PLAN DZIAŁANIA KT 317 ds. Wentylacji i Klimatyzacji

PLAN DZIAŁANIA KT 56 ds. Maszyn Elektrycznych Wirujących oraz Narzędzi Ręcznych Przenośnych o Napędzie Elektrycznym

Jak uczestniczyć w procesie normalizacji? Jolanta Kochańska Zastępca Prezesa PKN

Strategianormalizacji europejskiej

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

PLAN DZIAŁANIA KT 137. ds. Urządzeń Cieplno-Mechanicznych w Energetyce

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

Polskie normy dotyczące ochrony informacji - najbliższe zmiany i dalsze potrzeby w tym zakresie Wdrożenie SZBI w podmiocie publicznym

Opis przedmiotu zamówienia

PLAN DZIAŁANIA KT 158 ds. Bezpieczeństwa Maszyn i Urządzeń Technicznych oraz Ergonomii Zagadnienia Ogólne

PLAN DZIAŁANIA KZ NR 503 ds. Facility Management

PLAN DZIAŁANIA KT 196. ds. Cementu i Wapna

PLAN DZIAŁANIA KT 33 ds. Metalurgii Proszków

PLAN DZIAŁANIA KT 155 ds. Barwników, Półproduktów Barwnikarskich, Pigmentów i Wypełniaczy

PLAN DZIAŁANIA KT 142. ds. GEOSYNTETYKÓW

PLAN DZIAŁANIA KT 157 ds. Zagrożeń Fizycznych w Środowisku Pracy

PLAN DZIAŁANIA KT 298 ds. Geodezji

PLAN DZIAŁANIA KT nr 324 ds. Zarządzania w Organizacjach Ochrony Zdrowia

PLAN DZIAŁANIA KT 263. ds. Sprzętu do Gromadzenia i Usuwania Odpadów Komunalnych

PLAN DZIAŁANIA KT 156 ds. Nawozów

PLAN DZIAŁANIA KT NR 315. ds. Facility Management

PLAN DZIAŁANIA KT 278 ds. Wodociągów i Kanalizacji

PLAN DZIAŁANIA KT 35 ds. Mleka i Przetworów Mlecznych

eidas od Rozporządzenia do technicznej implementacji

Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII

PLAN DZIAŁANIA KT 20 ds. Skóry i Obuwia

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

PLAN DZIAŁANIA KT 64 ds. Urządzeń Elektrycznych w Przestrzeniach Zagrożonych Wybuchem

PLAN DZIAŁANIA KT 267 ds. Elektrycznego Sprzętu Rolniczego oraz Elektrycznego Sprzętu dla Zakładów Zbiorowego Żywienia

e-administracja Uniwersytet Jagielloński Wydział Prawa i Administracji mgr inż.piotr Jarosz

PLAN DZIAŁANIA KT 181 ds. Gospodarki Leśnej

PLAN DZIAŁANIA KT 160 ds. Napędów i Sterowań Hydraulicznych

Tytuł prezentacji. Naukowa i Akademicka Sieć Komputerowa Transgraniczny Węzeł eidas Commonsign październik 2016 r. WIEDZA I TECHNOLOGIA

Data sporządzenia 11 maja 2016 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

(Tekst mający znaczenie dla EOG)

PLAN DZIAŁANIA KT 247. ds. Materiałów Medycznych i Biomateriałów

PLAN DZIAŁANIA NA ROK 2013 KT171 ds. Sieci Komputerowych i Oprogramowania

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

PLAN DZIAŁANIA KT 284 ds. Sprzętu, Narzędzi i Urządzeń Medycznych Mechanicznych

PLAN DZIAŁANIA KT NR 266 ds. Aparatury Jądrowej

* 1. Rozporządzenie określa szczegółowe wymagania techniczne i organizacyjne

Uwagi do projektów rozporządzeń związanych z platformą epuap

PLAN DZIAŁANIA KT 126 ds. Rur Stalowych

CSA STAR czy można ufać dostawcy

Bezpieczeństwo informacji. jak i co chronimy

Zespół do spraw Transformacji Przemysłowej Departament Innowacji

PLAN DZIAŁANIA Komitetu Technicznego KT 68 ds. Pomiarów i badań wysokonapięciowych

Wymagania dla środków zarządzania środowiskowego na przykładzie normy ISO 14001:2015. Identyfikacja aspektów środowiskowych.

Podpis elektroniczny. ale nie od strony X.509 schematu dla certyfikatów kluczy publicznych służącego do budowania hierarchicznej struktury PKI

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

DECYZJE. (Tekst mający znaczenie dla EOG)

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium. 1. Wnioskodawca przeprowadził inwentaryzację zasobów nauki objętych projektem.

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

PLAN DZIAŁANIA KT NR 320 ds. Technologii widowiskowej

PLAN DZIAŁANIA KT 173 ds. Interfejsów i Budynkowych Systemów Elektronicznych

PLAN DZIAŁANIA KT 105 ds. Elektroakustyki oraz Rejestracji Dźwięku i Obrazu

P.2.1 WSTĘPNA METODA OPISU I

Infrastruktura klucza publicznego w sieci PIONIER

ABI I OCHRONA DANYCH OSOBOWYCH ORAZ INFORMACJI W ADMINISTRACJI PUBLICZNEJ

ADMINISTRACJA ELEKTRONICZNA. Autor: Jacek Janowski

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

PLAN DZIAŁANIA KT 47. ds. Pomp i Turbin Wodnych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

PLAN DZIAŁANIA KT 256. ds. Terminologii, Innych Zasobów Językowych i Zarządzania Treścią

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Zarządzanie relacjami z dostawcami

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI [1]) z dnia r.

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

POPRAWKI PL Zjednoczona w różnorodności PL 2012/0146(COD) Projekt sprawozdania Marita Ulvskog (PE507.

PLAN DZIAŁANIA KT 319 ds. Produktów biobazowych

Transkrypt:

STRESZCZENIE PLAN DZIAŁANIA KT 182 Strona 1 PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych 1 ŚRODOWISKO BIZNESOWE KT 1.1 Opis środowiska biznesowego Na działalność gospodarczą objętą zakresem KT znaczący wpływ mają następujące uwarunkowania polityczne, gospodarcze, techniczne, prawne, społeczne i/lub aspekty regionalne/międzynarodowe: Uwarunkowania techniczne KT 182 działa w trzech głównych obszarach normalizacji międzynarodowej, będą komitetem lustrzanym dla następujących komitetów JTC1: SC27 IT Security Techniques SC34 Document Description and Processing Languages SC38 Distributed Application Platforms and Services (DAPS) W we wszystkich powyższych komitetach Polska ma status członka czynnego P. W obszarze technik zabezpieczeń teleinformatycznych działania Komitetu koncentrują się na następujących zagadnieniach: systemy zarządzania bezpieczeństwem informacji normy zawierające wymagania i wytyczne kryptograficzne i niekryptograficzne techniki i mechanizmy zapewniające poufność, uwierzytelnienie podmiotu, niezaprzeczalność, zarządzanie kluczami oraz integralność danych kryteria oceny bezpieczeństwa oraz metodyki testów bezpieczeństwa produktów, zarówno w odniesieniu do funkcji jak i poziomu wiarygodności oceny usługi i aplikacje wspierające wdrożenie celów stosowania zabezpieczeń i zabezpieczeń zgodnie z 27001 aspekty bezpieczeństwa w zarządzaniu tożsamością, w biometrii oraz ochronie danych osobowych W obszarze opisu oraz języków przetwarzania dokumentów prace Komitetu obejmują następujące zagadnienia: języki znacznikowe (SGML), interfejsy użytkownika, testowanie i rejestrowanie techniki przetwarzania dokumentów

architektury zarządzania oraz wymiany informacji PLAN DZIAŁANIA KT 182 Strona 2 formaty XML-owe plików dokumentów: Office Open XML oraz Open Document Format oraz interoperacyjność formatów W obszarze nowoczesnych technik informatycznych działania Komitetu są na wczesnym etapie i obejmują udział w pracach nad projektami norm dot. zagadnień, takich jak: Web Services Service Oriented Architecture (SOA) Przetwarzanie w chmurze (Cloud computing) Uwarunkowania prawne i biznesowe Normy opracowane w Komitecie lub znajdujące się w zakresie zainteresowania Komitetu na poziomie międzynarodowym (normy międzynarodowe nieprzeniesione do systemu Polskich Norm) są przywoływane w aktach prawnych. Wskazując normy jako najlepszą i najprostszą metodę spełnienia wymagań, Ustawodawca przyczynia się do wzrostu zainteresowania daną normą i wpływa na rozszerzenie kręgu jej zastosowań. W poniższej tabeli przedstawiono przywołania norm w aktach prawnych. Obowiązujący akt prawny Polskie akty prawne ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych ZAŁĄCZNIK WYKAZ CERTYFIKATÓW UPRAWNIAJĄCYCH DO PRZEPROWADZANIA KONTROLI W ROZUMIENIU ART. 25 USTAWY Z DNIA 17 LUTEGO 2005 R. O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Norma z zakresu prac Komitetu powołana w akcie prawnym PN- 27001 PN- 27001 PN- 27001 PN- 27001 PN- 17799 PN- 27005 PN- 24762 19757-2 29500 26300 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. PN- 15408 15946-2

Obowiązujący akt prawny ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 14 września 2011 r. w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych Akty prawne Unii Europejskiej ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR 1179/2011 z dnia 17 listopada 2011 r. ustanawiające specyfikacje techniczne w odniesieniu do systemów zbierania deklaracji on-line na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 211/2011 w sprawie inicjatywy obywatelskiej ROZPORZĄDZENIE KOMISJI (WE) NR 885/2006 z dnia 21 czerwca 2006 r. ustanawiające szczegółowe zasady stosowania rozporządzenia Rady (WE) nr 1290/2005 w zakresie akredytacji agencji płatniczych i innych jednostek, jak również rozliczenia rachunków EFGR i EFRROW ROZPORZĄDZENIE KOMISJI (UE) NR 73/2010 z dnia 26 stycznia 2010 r. ustanawiające wymagania dotyczące jakości danych i informacji lotniczych dla jednolitej europejskiej przestrzeni powietrznej PLAN DZIAŁANIA KT 182 Strona 3 Norma z zakresu prac Komitetu powołana w akcie prawnym 26300 27001 (PN- 27001) 27002 (PN- 17799) 27005 (PN- 27005) 27033 27002 (PN- 17799) 27002 (PN- 17799) W ślad za wprowadzeniem norm do aktów prawnych pojawia się powszechnie, zarówno w postępowaniach o udzielenie zamówień publicznych, jak i postępowaniach prowadzonych na podstawie innych uregulowań niż ustawa Prawo Zamówień Publicznych, wymaganie znajomości norm lub wdrożenia u potencjalnego dostawcy systemu zarządzania bezpieczeństwem informacji, zgodnego z normą PN- 27001 lub opracowania i wdrożenia takiego systemu w odniesieniu do przedmiotu zamówienia. Z uwagi na szeroki zakres zastosowania normy PN- 27001, zainteresowane jej wdrożeniem są organizacje ze wszystkich sektorów, niezależnie od wielkości organizacji czy specyfiki działania. 1.2 Wskaźniki ilościowe dotyczące środowiska biznesowego Poniższe wskaźniki ilościowe opisują środowisko biznesowe, w celu wsparcia działań KT poprzez zapewnienie niezbędnych danych: Certyfikacja na zgodność z Polską Normą Szczególnym zainteresowaniem rynku cieszą się normy zawierające wymagania z możliwością certyfikacji na zgodność. Z tego względu normy te funkcjonują nie tylko w sektorze administracji publicznej, ale także w sektorze przemysłu i usług. Do tej grupy należą dwie normy: PN- 15408:2002 Kryteria oceny zabezpieczeń informatycznych (cz. 1 i 3) PN 27001:2007 Systemy zarządzania bezpieczeństwem informacji. Wymagania Z uwagi na brak wdrożenia normy PN 15408 w Polsce, dalsze rozważania dotyczą jedynie normy PN 27001:2007.

Strona 4 Prezentowane poniżej dane dotyczące liczby certyfikatów zgodności systemów zarządzania bezpieczeństwem informacji nie są kompletne, ponieważ nie istnieje zarówno na świecie, jak i w Polsce obowiązkowy system informowania o wydanych certyfikatach. Wszelkie informacje dotyczące certyfikacji są przekazywane jedynie za wiedzą i zgodą certyfikowanych organizacji lub przez nie same. Niemniej jednak prezentowane zestawienia obrazują rozwój tej dziedziny bezpieczeństwa informacji i można wykazać wpływ tego zainteresowania na wolumen sprzedaży norm z tej dziedziny w PKN. Na kolejnych rysunkach przedstawiono wzrost liczby certyfikatów zgodności z normą 27001, na świecie i w Polsce. Rysunek 1 Liczba certyfikatów zgodności z normą 27001:2005 a źródło: opracowanie własne na podstawie informacji dostępnych na stronie http://www.iso27001certificates.com/ a Na wskazanej stronie są rejestrowane wyłącznie certyfikaty wydane przez akredytowane jednostki certyfikacyjne

Strona 5 Rysunek 2 Liczba certyfikatów zgodności z normą PN 27001 lub 27001 b źródło: opracowanie własne na podstawie informacji dostępnych na stronie http://www.iso27000.pl/sites/view/form=3=all Sprzedaż Polskich Norm opracowanych w Komitecie w latach 2009-2011 W poniższej tabeli przedstawiono sprzedaż najpopularniejszych 10 Polskich Norm, opracowanych w KT 182: Tabela 1 Zestawienie sprzedaży w latach 2009-2012 dla 10 najpopularniejszych Polskich Norm opracowanych w KT 182 2 OCZEKIWANE KORZYŚCI Z REALIZACJI PRAC KT Wsparcie dla opracowywanych przepisów prawa oraz odniesień referencyjnych z uwagi na wskazanie JTC1/SC27, a co za tym idzie KT 182 jako pierwotnego źródła normalizacji działań w zakresie bezpieczeństwa informacji Opracowanie norm referencyjnych dla sektorowych norm z bezpieczeństwa informacji c b Na wskazanej stronie są rejestrowane certyfikaty wydawane zarówno przez akredytowane, jak i nieakredytowane jednostki certyfikacyjne

Strona 6 Wzrost świadomości znaczenia ochrony informacji, zarówno w kontekście biznesowym, jak i bezpieczeństwa państwa, a także dla rozwoju społecznego (ochrona danych osobowych i prywatności, w szczególności przy użyciu środków komunikacji elektronicznej) Wypracowanie podstaw interoperacyjności dla zastosowań informatycznych (dokument elektroniczny, podpis elektroniczny, platformy usług informatycznych oraz przetwarzania w chmurze) 3 CZŁONKOSTWO W KT i STRUKTURA KT Każdy podmiot krajowy zainteresowany daną tematyką ma prawo zgłosić chęć uczestnictwa w KT i po spełnieniu wymogów proceduralnych (procedura SZJ nr Z2-P3 w powiązaniu z Z2-P1) stać się członkiem KT. Każdy członek KT realizuje zadania KT poprzez swoich reprezentantów. Komitet jest najliczniejszym z Komitetów Technicznych przy PKN, mając 37 członków i 50 d reprezentantów członków KT. Strukturę Komitetu przedstawiono na poniższym rysunku: Rysunek 3 Struktura członkowska KT 182 Z uwagi na dużą liczebność Komitetu oraz rozległość obszarów normalizacyjnych, Komitet działa merytorycznie, wykorzystując Grupy Ekspertów, wypracowujących rekomendacje dla całego Komitetu. Osoby funkcyjne w Komitecie: Przewodniczący: dr inż. Elżbieta Andrukiewicz c Przykładowo, w sektorze ochrony zdrowia podstawy dla prac ISO TC215 Health Informatics oraz Komitetu Technicznego nr 302 ds. Zastosowania Informatyki w Ochronie Zdrowia, czy systemów automatyki i sterowania produkcją działania IEC TC 65/WG 10 Security for Industrial process measurement and control - Network and system security oraz IEC TC57/WG15 Cyber Security for the Power Industry d stan na 17.09.2012r

Polskie Towarzystwo Informatyczne - Warszawa Zastępca: mgr Bogusław Ładoś Przedsiębiorstwo Państwowe Porty Lotnicze - Warszawa Sekretarz: mgr inż. Sławomir Wroński Polski Komitet Normalizacyjny - Warszawa email: slawomir.wronski@pkn.pl Konsultant KT: mgr inż. Sławomir Wroński tel.: 22 556 75 66 PLAN DZIAŁANIA KT 182 Strona 7 Aktualne dane nt. Komitetu znajdują się pod adresem strony internetowej: karta informacyjna lista członkówi reprezentantów http://kt.pkn.pl/?pid=kikt&id=182 http://kt.pkn.pl/?pid=czkt&id=182 4 CELE KT I STRATEGIA ICH REALIZACJI 4.1 Cele KT Cele działalności Komitetu: Wspieranie bezpieczeństwa państwa oraz bezpieczeństwa gospodarczego przez propagowanie powszechnie stosowanych rozwiązań z zakresu bezpieczeństwa informacji Przeciwdziałanie wykluczeniu elektronicznemu przez wspieranie interoperacyjności w komunikacji elektronicznej Propagowanie rozwiązań nowoczesnych, sprawdzonych w praktyce Ułatwienie współpracy transgranicznej dla zwalczania cyber-przestępczości Cele te Komitet zamierza osiągnąć w następujący sposób: Tłumaczenie norm z zakresu bezpieczeństwa informacji, prywatności i zgodności Wprowadzanie norm międzynarodowych do systemu PN metodą uznania specyfikacji technicznych z formatów dokumentów oraz algorytmów i technik kryptograficznych Organizowanie i uczestnictwo w konferencjach krajowych i międzynarodowych dotyczących normalizacji bezpieczeństwa informacji, prywatności i zgodności 4.2 Strategia ustalona do osiągnięcia celów KT Z uwagi na wolumen sprzedaży wyznaczający zainteresowanie rynku, przy ustalaniu Programu prac, Komitet za priorytet uznał tłumaczenie i wprowadzenie do systemu PN norm międzynarodowych z rodziny 2700x. Aby realizować cele swojej działalności Komitet aktywnie działa na w komitetach technicznych ISO przy opracowywaniu norm międzynarodowych, w szczególności w SC27 oraz SC38.

Strona 8 4.3 Aspekty środowiskowe [nie mają zastosowania] 5 CZYNNIKI WPŁYWAJĄCE NA REALIZACJĘ PROGRAMU PRAC KT I WPROWADZANIE NOWYCH TN DO PROGRAMU PRAC Istotnym czynnikiem ograniczającym możliwości realizacji celów Komitetu jest problem braku finansowania wprowadzania norm ISO-wskich do systemu PN. Brak jest na rynku podmiotów bezpośrednio zainteresowanych finansowaniem norm, a jednocześnie jest duże zainteresowanie ze strony różnych środowisk polskimi normami z zakresu bezpieczeństwa informacji, zwłaszcza normą 27001 oraz normami wspierającymi jej wdrożenie (rodzina norm 2700x). Ponadto, należy podkreślić, że korzystanie z tych norm jako podstaw dla wymagań wprowadzanych do aktów prawnych Rzeczypospolitej Polskiej powinno skutkować zapewnieniem finansowania wprowadzania tych norm do systemu PN. Kolejnym czynnikiem powodującym opóźnienie prac jest zbyt późne wprowadzanie do Programu prac normalizacyjnych opublikowanych już norm międzynarodowych. Z uwagi na charakter prac, do Programu powinny być wprowadzane projekty norm na etapie DIS lub FDIS. 6 WYKAZ PUBLIKACJI, AKTUALNIE OPRACOWYWANYCH PROJEKTÓW ORAZ PROPOZYCJI TEMATÓW NORMALIZACYJNYCH, DLA KTÓRYCH KT PRZEWIDUJE POZYSKANIE ZAMAWIAJĄCYCH W RAMACH PRAC NA ZAMÓWIENIE 6.1 Wykaz opublikowanych Polskich Norm i Polskich Dokumentów Normalizacyjnych: Lp. Numer normy Tytuł normy Wprowadza Zastępuje 1. PN-I-02000:2002 Technika informatyczna -- Zabezpieczenia w systemach informatycznych -- Terminologia PN-I-02000:1998 2. PN-I- 02000:2002/Ap1:2010 Technika informatyczna -- Zabezpieczenia w systemach informatycznych -- Terminologia 3. PN-I-13335-1:1999 Technika informatyczna -- Wytyczne do zarządzania bezpieczeństwem systemów informatycznych -- Pojęcia i modele bezpieczeństwa systemów informatycznych TR 13335-1:1996 4. PN-ISO 9160:1997 Przetwarzanie informacji -- Szyfrowanie danych -- Wymagania dotyczące współpracy w warstwie fizycznej ISO 9160:1988 5. PN- 10118-2:1996 - Funkcje skrótu -- Funkcje skrótu wykorzystujące n- -bitowy algorytm szyfrowania blokowego 10118-2:1994 W wyniku Przeglądu PN 2012 w trakcie wycofywania nie znaleziono finansowania na nowelizację w 2011-2012

Strona 9 Lp. Numer normy Tytuł normy Wprowadza Zastępuje 6. PN- 10118-3:1999 - Funkcje skrótu -- Dedykowane funkcje skrótu 10118-3:1998 7. PN- 10118-4:2001 8. PN- 11770-1:1998 - Funkcje skrótu -- Funkcje skrótu wykorzystujące arytmetykę modularną - Zarządzanie kluczami -- Struktura 10118-4:1998 11770-1:1996 9. PN- 11770-2:1998 10. PN- 11770-3:2000 11. PN- 13888-1:1999 - Zarządzanie kluczami -- Mechanizmy z zastosowaniem technik symetrycznych - Zarządzanie kluczami -- Mechanizmy z zastosowaniem technik asymetrycznych - Niezaprzeczalność -- Model ogólny 11770-2:1996 11770-3:1999 13888-1:1997 12. PN- 13888-2:1999 13. PN- 13888-3:1999 - Niezaprzeczalność -- Mechanizmy wykorzystujące techniki symetryczne - Niezaprzeczalność -- Mechanizmy wykorzystujące techniki asymetryczne 13888-2:1998 13888-3:1997 14. PN- 14888-1:2010 15. PN- 14888-3:2002 bezpieczeństwa -- Schematy podpisu cyfrowego z załącznikiem -- Część 1: Postanowienia ogólne 14888-1:2008 14888-3:1998 + 14888-3:1998/AC1:2001 Przewidziana do nowelizacji 16. PN- 15292:2004 - Procedury rejestracji profili zabezpieczeń 15292:2001 17. PN- 15408-1:2002 - Kryteria oceny zabezpieczeń informatycznych -- Część 1: Wprowadzenie i model ogólny 15408-1:1999 Przewidziana do nowelizacji 18. PN- 15408-1:2002/Ap1:2010 - Kryteria oceny zabezpieczeń informatycznych -- Część 1: Wprowadzenie i model ogólny Przewidziana do nowelizacji 19. PN- 15408-3:2002 - Kryteria oceny zabezpieczeń informatycznych -- Część 3: Wymagania uzasadnienia zaufania do zabezpieczeń 15408-3:1999 Przewidziana do nowelizacji 20. PN- 15945:2004 - Specyfikacja usług TTP wspomagających stosowanie podpisów cyfrowych 15945:2002

Strona 10 Lp. Numer normy Tytuł normy Wprowadza Zastępuje 21. PN- 15946-1:2010 bezpieczeństwa -- Techniki kryptograficzne oparte na krzywych eliptycznych -- Część 1: Postanowienia ogólne 15946-1:2008 PN- 15946-1:2005 22. PN- 17799:2007 bezpieczeństwa -- Praktyczne zasady zarządzania bezpieczeństwem informacji 17799:2005 PN- 17799:2003 23. PN- 17799:2007/Ap1:2010 bezpieczeństwa -- Praktyczne zasady zarządzania bezpieczeństwem informacji 24. PN- 18014-1:2010 bezpieczeństwa -- Usługi znacznika czasu -- Część 1: Struktura 18014-1:2008 PN- 18014-1:2005 25. PN- 18014-2:2005 - Usługi znacznika czasu -- Część 2: Mechanizmy tworzenia tokenów niezależnych PN- 18014-2:2002 26. PN- 18014-3:2006 - Usługi znacznika czasu -- Część 3: Mechanizmy tworzenia tokenów wiązanych 18014-3:2004 W wyniku Przeglądu PN 2012 w trakcie wycofywania, ponieważ nie znaleźliśmy finansowania na nowelizację w 2011-2012 27. PN- 18031:2010 bezpieczeństwa -- Generowanie bitów losowych 18031:2005 28. PN- 19794-1:2010 Technika informatyczna -- Formaty wymiany danych biometrycznych -- Część 1: Struktura 19794-1:2006 29. PN- 19794-5:2010 Technika informatyczna -- Formaty wymiany danych biometrycznych -- Część 5: Dane obrazu twarzy 19794-5:2005 + 19794-5:2005/A1:2007 30. PN- 24762:2010 bezpieczeństwa -- Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie 24762:2008 31. PN- 27000:2012 bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Przegląd i terminologia 27000:2009 32. PN- 27001:2007 bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Wymagania 27001:2005 PN-I-07799-2:2005 33. PN- 27001:2007/Ap1:2010 bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Wymagania 34. PN- 27005:2010 bezpieczeństwa -- Zarządzanie ryzykiem w bezpieczeństwie informacji 27005:2008

Strona 11 Lp. Numer normy Tytuł normy Wprowadza Zastępuje 35. PN- 27006:2009 bezpieczeństwa -- Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji 27006:2007 36. PN- 9796-2:2005 - Schematy podpisu cyfrowego z odtwarzaniem wiadomości -- Część 2: Mechanizmy oparte na faktoryzacji liczb całkowitych 9796-2:2002 37. PN- 9796-3:2009 bezpieczeństwa -- Schematy podpisu cyfrowego z odtwarzaniem wiadomości -- Część 3: Mechanizmy oparte na logarytmie dyskretnym 9796-3:2006 38. PN- 9798-3:2002 PN- 9798-3:2002 PN- 9798-3:1998 PN- 9798-3:1996 6.2 Wykaz aktualnie opracowywanych projektów Projekty zakończone w 2012 roku PN- 27000:2012 bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Przegląd i terminologia zakończony 2012-08-28 [nie ma aktualnie opracowywanych projektów] 6.3 Wykaz propozycji tematów normalizacyjnych, dla których KT przewiduje pozyskanie środków na opracowanie w ramach prac na zamówienie Lp. Numer normy Tytuł normy Wprowadza Zastępuje 1. 3rd CD27001 Information technology Security techniques Information security management system* PN- 27001:2007/Amd1:2010 2. 27005:2011 Information technology Security techniques Information security risk managment PN- 27005:2010 3. 27010:2012 Information technology Security techniques Information security management for intersector and inter-organisational communications 4. 27013** Information technology Security techniques Guidelines on the integrated implementation of 27001 and 20000-1 5. 18014-3:2009 Information technology Security techniques Time-stamping services Part 3: Mechanisms producing linked tokens 6. 10118-2:2010 Information technology Security techniques Hash-functions Part 2: Hash-functions using an n-bit block cipher PN- 18014-3:2006 PN- 10118-2:1996

7. PN- 14888-3:2002 Information technology Security techniques Digital signatures with appendix - Part 3: Discrete logarithm based mechanisms PLAN DZIAŁANIA KT 182 Strona 12 PN- 14888-3:2002 8. 15408-1:2009 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model 9. 15408-3:2008 Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements PN- 15408-1:2002/Ap1:2010 PN- 15408-3:2002/Ap1:2010 * FDIS oczekiwany w kwietniu 2013 ** oczekuje na publikację Doświadczenie ostatnich lat wykazało, że mimo dużego zainteresowania normami KT przejawiającego się w liczbach sprzedanych egzemplarzy oraz częstego przywoływania ich w rozporządzeniach rządowych, brak jest źródeł finansowania tłumaczenia nowych norm międzynarodowych (R2-P1). Ponieważ KT ma ograniczone możliwości pozyskiwania środków na tłumaczenie, mamy nadzieję na wprowadzenie w PKN dla norm międzynarodowych procedury analogicznej do R2-P5, umożliwiającej przyjęcie norm międzynarodowych do systemu PN metodą uznania co komitet zaopiniował w głosowaniu pozytywnie w związku z zapytaniem skierowanym do nas przez PKN. W wypadku uruchomienia takiej ścieżki uznania norm za PN, proponujemy przyjęcie do systemu PN następujących norm: 26300/Amd 1:2012 29500:2012 19757 (wszystkie części)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres