Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Podobne dokumenty
Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Marcin Soczko. Agenda

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

PRELEGENT Przemek Frańczak Członek SIODO

Czy wszystko jest jasne??? Janusz Czauderna Tel

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

POLITYKA E-BEZPIECZEŃSTWA

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Krzysztof Świtała WPiA UKSW

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Krajowe Ramy Interoperacyjności - sprawna (?) komunikacja prawnotechnologiczna. informacyjnym

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

SZCZEGÓŁOWY HARMONOGRAM KURSU

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Szkolenie otwarte 2016 r.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Promotor: dr inż. Krzysztof Różanowski

Szczegółowy opis przedmiotu zamówienia:

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

KRAJOWE RAMY INTEROPERACYJNOŚCI

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Polityka Bezpieczeństwa ochrony danych osobowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Umowa nr.. zawarta r. w Warszawie pomiędzy: Ministerstwem Kultury i Dziedzictwa Narodowego reprezentowanym przez MKiDN, zwanego dalej

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Warunki świadczenia Asysty Technicznej

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzenie nr 1/2017 Dyrektora Przedszkola nr 20 w Rybniku z dnia 17 stycznia 2017 roku

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

1. Definicja pojęć Celem opisania warunków świadczenia usług gwarancji jakości Systemu i Asysty Powdrożeniowej definiuje się następujące pojęcia:

I. Postanowienia ogólne

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Polityka bezpieczeństwa przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Zarządzenie nr 2/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 12 czerwca 2015 roku

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Zarządzenie nr 8/2015 Dyrektora Zespołu Szkół nr 2 w Rybniku z dnia 11 czerwca 2015 roku

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Maciej Byczkowski ENSI 2017 ENSI 2017

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

SLA ORAZ ZASADY ŚWIADCZENIA WSPARCIA I HELPDESK. Wykonawca zobowiązuje się do świadczenia Usług Wsparcia i Helpdesk w odniesieniu do Systemu.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

POLITYKA OCHRONY DANYCH OSOBOWYCH W ASPEKT LABORATORIUM SP. Z O.O. Z DNIA 25 MAJA 2018 R.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

WYSTĄPIENIE POKONTROLNE

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

PARTNER.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W NAZWA FIRMY

Prawna regulacja zasad zabezpieczania systemów teleinformatycznych

Transkrypt:

Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa prawna 1. Projektowanie, wdrażanie i eksploatacja systemu teleinformatycznego a Czy system teleinformatyczny został zaprojektowany, par. 1 ust. 1 funkcjonalności przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk? Funkcjonalność rozumiana jako zdolność do zapewnienia funkcji odpowiadających zdefiniowanym i przewidywanym potrzebom, gdy oprogramowanie jest używane w określonych warunkach. b Czy system teleinformatyczny został zaprojektowany, niezawodności przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk? Niezawodność rozumiana jako zdolność do wykonywania wymaganych funkcji w określonych warunkach przez określony czas lub dla określonej liczby operacji. c Czy system teleinformatyczny został zaprojektowany, używalności przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk? Używalność rozumiana jako zdolność do bycia używanym, zrozumiałym, łatwym w nauce i atrakcyjnym dla użytkownika, gdy system jest używany w określonych warunkach. d Czy system teleinformatyczny został zaprojektowany, wydajności przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk? Wydajność rozumiana jako stopień, w jaki system lub moduł realizuje swoje wyznaczone funkcje w założonych ramach czasu przetwarzania i przepustowości. Wg:IEEE 610 e Czy system teleinformatyczny został zaprojektowany, przenoszalności i pielęgnowalności przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk? Przenaszalność rozumiana jako łatwość z jaką system lub moduł może być przeniesiony z jednego środowiska sprzętowego lub programowego do innego środowiska. Pielęgnowalność rozumiana jako łatwość, z którą system lub moduł może być modyfikowane w celu naprawy defektów, dostosowania do nowych wymagań, modyfikowane w celu ułatwienia przyszłego utrzymania lub dostosowania do zmian zachodzących w jego środowisku. par. 1 ust. 1 par. 1 ust. 1 par. 1 ust. 1 par. 1 ust. 1 2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne a Czy ustalono deklarowany poziom dostępności usług? par. 1 ust. 2 Strona 1 z

b Czy deklarowany poziom dostępności usług jest dochowany? par. 1 ust. 2 Pojęcie dostępności oznacza czas bezawaryjnego działania usługi w stosunku do całości czasu, w którym usługa ta powinna być klientom świadczona. Dostępność 90% znaczy więc, że na 100 jednostek czasu 90 przypadło na czas, w którym system działał bezawaryjnie. Pozostałe 10 jednostek to czas, w którym system był w stanie awarii bądź odzyskiwania pełnej funkcjonalności po niej. c Czy zarządzanie usługami jest dokonywane w oparciu o ustalone procedury? par. 1 ust. 2 3. Wymogi WCAG 2.0 a Czy system teleinformatyczny spełnienia wymagania par. 19 Web Content Accessibility Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr 4 do? Należy wypełnić, jeżeli system ma "Front Office" dla klienta zewnętrznego - np. moduł Internetowy 4. System zarządzania bezpieczeństwem informacji a Czy opracowano, ustanowiono i wdrożono system par. 20 ust. 1 zarządzania bezpieczeństwem informacji? aa decyzja o wdrożeniu SZBI ab polityka bezpieczeństwa informacji ac inne procedury ad aktualizacja polityki, procedur, innych dokumentów 1 b Czy system zarządzania bezpieczeństwem informacji par. 20 ust. 1 jest monitorowany, poddawany przeglądom oraz doskonalony? ba audyt / audit wewnętrzny co najmniej raz w roku 14 bb okresowa samoocena / ocena systemu c Czy dokonano inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania 2 informacji obejmującej ich rodzaj i konfigurację? d Czy wykaz sprzętu i oprogramowania jest aktualizowany? Jak często? 2 e Czy wdrożono zarządzanie ryzykiem utraty integralności, dostępności lub poufności informacji? 3 f Czy podejmowane są działania minimalizujące ryzyko, stosownie do wyników analizy ryzyka? 3 Czynności zapisane w Planach działania, dokumentacji zarządzania ryzykiem minimalizujące naruszenia bezpieczeństwa IT w organizacji (np. procedury reagowania na incydenty IT) g Czy osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia? 4 Uprawnienia wynikające z: zakresu obowiązków, nadanych uprawnień, upoważnień. h Czy osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji? 4 i Czy zakres uprawnień osób zaangażowanych w przetwarzanie danych jest bezzwłocznie zmieniany, w przypadku zmiany zadań tych osób? Strona 2 z

j Czy zapewniono szkolenie osób zaangażowanych w proces przetwarzania informacji, ze szczególnym 6 uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich? k Czy zapewniono ochronę przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez monitorowanie dostępu do informacji? 7, 9, l Czy zapewniono ochronę przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji? 7, 9, m Czy zapewniono ochronę przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, 7, uszkodzeniami lub zakłóceniami, przez zastosowanie środków uniemożliwiających nieautoryzowany 9, dostęp na poziomie operacyjnych, usług sieciowych i aplikacji? n Czy ustanowiono podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość? 8 Bezpieczne metody połączenia (np. VPN) i metody uwierzytelniania o Czy umowy serwisowe podpisane ze stronami trzecimi zawierają zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji? 10 Zapisy gwarantujące odpowiedni poziom bezpieczeństwa IT w umowach zawieranych z dostawcami sprzętu / oprogramowania Czy są krytyczne systemy, dla których nie ma zapisów umownych dotyczących bezpieczeństwa (np. zapewnienie możliwości wgrania aktualizacji komponentów, na których bazuje dany system); Oświadczenie producenta prowadzącego support. p Czy ustalono zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych? 11 q Czy zapewniono aktualizację oprogramowania? Dotyczy to zarówno oprogramowania pracującego na stacjach roboczych (np. java, flash czy adobe reader), jak również oprogramowania serwerowego 12 r Czy ustanowiono środki minimalizujące ryzyko utraty informacji w wyniku awarii? Zapisy wynikające z Polityki zachowania ciągłości działania 12 Strona 3 z

s Czy mechanizmy kryptograficzne są stosowane w sposób adekwatny do zagrożeń i wymogów prawa? 12 Stosuje się przy systemach mobilnych oraz przy przesyłaniu danych pomiędzy systemami np. poprzez Internet Obowiązuje tu na pewno ogólna zasada, że żadne dane wrażliwe nie powinny być przesyłane przez sieć bez odpowiedniej ochrony kryptograficznej (w szczególności podczas przesyłania ich przez Internet). t Czy zapewniono bezpieczeństwo plików systemowych? 12 Zapewnienie odpowiednio bezpiecznego dostępu do poczty elektronicznej (dostęp tylko szyfrowany); Czy umożliwiony jest zdalny dostęp do poczty elektronicznej? Czy dostęp do Internetu jest ograniczany (np. poprzez wykorzystanie serwera proxy i umożliwienie dostępu tylko do kilku usług np. http, ftp); wydzielone konta administratora od kont użytkowników u Czy zapewniono redukcję ryzyk wynikających z wykorzystania opublikowanych podatności technicznych teleinformatycznych? Czy wykonywano na bieżąco aktualizację operacyjnych, aplikacji, bibliotek itp. mające wpływ na bepieczeństwo w Czy w razie dostrzeżenia nieujawnionych podatności teleinformatycznych na możliwość naruszenia bezpieczeństwa podejmowane są niezwłocznie działania? Informacje o incydentach i reakcje na nie x Czy incydenty naruszenia bezpieczeństwa informacji są bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących? 12 12 13 Zapisy w Polityce bezpieczeństwa lub procedury zarządzania incydentami. Rozliczalność a Czy rozliczalność w systemie teleinformatycznym podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach (logach)? par. 21 ust. 1 Rozliczalność w rozumieniu przepisów Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz.U. Nr 93, poz.4) - właściwość systemu pozwalającą przypisać określone działanie w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie, np. włączone logi (test działania logów). b Czy w dziennikach odnotowuje się systemowych polegające na dostępie do systemu z uprawnieniami administracyjnymi? ab Czy w dziennikach odnotowuje się systemowych polegające na dostępie do konfiguracji systemu, w tym konfiguracji zabezpieczeń? Strona 4 z

ac Czy w dziennikach odnotowuje się systemowych polegające na dostępie do przetwarzanych w systemach danych podlegających prawnej ochronie wymaganym przepisami prawa? b Czy informacje w dziennikach są przechowywane przez 2 lata od dnia ich zapisu lub przez okres wskazany w przepisach odrębnych? c Czy zapisy dzienników są składowane na zewnętrznych informatycznych nośnikach danych w warunkach zapewniających bezpieczeństwo informacji? d W jakich przypadkach dzienniki są prowadzone na nośniku papierowym? Czym jest to uzasadnione? par. 21 ust. 4 par. 21 ust. par. 21 ust. Objaśnienia dotyczące wypełniania kwestionariusza: Proszę zaznaczyć prawidłową odpowiedź w kolumnie 4 "Odpowiedź": T - Tak, N - Nie, ND - nie dotyczy. W kolumnie "" proszę podać dodatkowe informacje, np. w przypadku niespełnienia wymagań, w przypadku spełnienia wymagań tylko przez część, w celu opisania przyczyn itp. Strona z

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres