KRAJOWE RAMY INTEROPERACYJNOŚCI Wprowadzenie do Krajowych Ram Interoperacyjności Aspekty wdrożenia, audytowania i kontroli realizacji wymagań Krajowych Ram Interoperacyjności Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113). Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Dz.U 526 z 2012 r z zmianami Janusz Czauderna CICA,EITCA,ISO20000,27001 janusz@czauderna.pl tel. 505328100 Krajowe Ramy Interoperacyjności Jednostki finansów publicznych Jednostki finansów publicznych, niektóre podmioty Każdy podmiot Kontrola Zarządcza Krajowe Ramy Interoperacyjności Ochrona Danych Osobowych Zasady SZBI i audyty bezpieczeństwa infrastruktury IT inwentaryzacja sprzętu, oprogramowania Rozporządzenie wprowadza liczne wymagania dotyczące bezpieczeństwa IT Wymagania dla jakości usług IT 3 1
Krajowe Ramy Interoperacyjności vs Normy ISO Podejście do bezpieczeństwa informacji: System zarządzania bezpieczeństwem i usługami wg ISO KRI Nadzór nad procesami obsługiwanymi KRI Odpowiedzialnośćkierownictwa przez strony trzecie 20 Ustanowienie SZBI i SMS 20 Zarządzanie dokumentacją Zarządzanie Projektowanie,zarzadzanie i przekazanie nowych lub zmienionych usług Proces dostarczania usług Zarządzanie potencjałem Zarządzanie poziomem Zarządzanie wykonawczym świadczenie usług bezpieczeństwem Zarządzanie ciągłością Raportowanie usług informacji KRI KRI i dostępnością Budżetowanie 20 20 21 usług i rozliczenie usług Procesy kontrolne 15 Zarządzanie konfiguracją ISO ISO Zarządzanie zmianami 27001 27001 Zarządzanie wydaniami i wdrożeniami KRI Procesy rozwiązywania 20 15 Procesy dotyczące wzajemnych relacji KRI Zarządzanie incydentami i Zarządzanie relacjami z biznesem 20 15 ISO obsługą wniosków o usługę Zarządzanie dostawcami 27001 Zarządzanie problemami Cykl życia informacji 29/09/2016 5 Podejście do bezpieczeństwa informacji: Podejście do bezpieczeństwa informacji: czym zajmuje się bezpieczeństwo informacji. człowiek jako biologiczny nośnik informacji POUFNOŚĆ To właściwość polegająca na tym, że informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom INTEGRALNOŚĆ To właściwość polegająca na zapewnieniu dokładności i kompletności aktywów oraz metod jej przetwarzania DOSTĘPNOŚĆ To właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu oraz zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią z aktywów wtedy, gdy jest to potrzebne. 2
Krajowe Ramy Interoperacyjności vs Normy ISO Krajowe Ramy Interoperacyjności Konieczność wdrożenia ze względu na : W ocenie NIK, konieczne jest zatem opracowanie i wprowadzenie na szczeblu centralnym, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa IT. Za wzór mogłyby posłużyć np. zalecenia opisane w Polskich Normach. Zdaniem NIK zalecenia dla podmiotów publicznych powinny zostać opracowane przez ministra właściwego w sprawach cyfryzacji. 1. Wymagania prawne 2. Coraz większe zagrożenia cyber-rzeczywistości 3. Realne konieczność kontroli, monitoringu, badania i nadzoru stanu bezpieczeństwa 4. Rozwój technologii 5. Rozwój wymagań w komunikacji służbowej i interpersonalnych 6. Ochrona dóbr własnych i prywatności Ewolucja zagrożeń Konsekwencje incydentów bezpieczeństwa 11 3
Główne źródła incydentów bezpieczeństwa Nowe otoczenie technologiczne i prawne - Informatyzacja Zintegrowana 14 Odszkodowania za wystąpienia cyberataków Prawo karne Art. 267 Art. 268 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w 1-3 ujawnia innej osobie. 5. Ściganie przestępstwa określonego w 1-4 następuje na wniosek pokrzywdzonego. 1. Kto, nie będąc uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3. 3. Kto, dopuszczając się czynu określonego w 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 4. Ściganie przestępstwa określonego w 1-3 następuje na wniosek pokrzywdzonego. 4
Prawo karne Prawo karne Art. 268a Art. 269a Art. 269b Art. 269 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. 2. Kto, dopuszczając się czynu określonego w 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 3. Ściganie przestępstwa określonego w 1 lub 2 następuje na wniosek pokrzywdzonego. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze od 3 miesięcy do lat 5. 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 1 pkt 4, art. 267 3,art.268a 1 albo 2 w związku z 1, art.269 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. 2. W razie skazania za przestępstwo określone w 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprzedawcy. 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Od 25 maja 2018 r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Art. 49. Ustawy o ODO 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. 5
Art. 51 Ustawy o ODO 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52 Ustawy o ODO Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Grzywny Ustawa o ochronie danych osobowych za przetwarzanie Od 25 maja danych 2018 r. osobowych niezgodnie z prawem przewiduje zarówno odpowiedzialność kary do 20 000 administracyjną, 000 EUR jak i karną, która szczegółowo uregulowana została wlub art. do49 54a 4 % całkowitego ustawy. rocznego W oparciu o ustawę z dnia 17 czerwca 1966 światowego r. o postępowaniu obrotu ADO egzekucyjnym z poprzedniegow administracji (Dz. U. Nr 24, poz. 151) GIODOroku może obrotowego nakładać w trybie administracyjnym grzywny: Art. 121. (Dz. U. Nr 24, poz. 151) 1. Grzywna w celu przymuszenia może być nakładana kilkakrotnie w tej samej lub wyższej kwocie. 2. Każdorazowo nałożona grzywna nie może przekraczać kwoty 10 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej kwoty 50 000 zł. 3. Grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej kwoty 200 000 zł. art.49-54 ustawy o ochronie danych osobowych; art. 121 ustawy o postępowaniu egzekucyjnym AUDYT i KONTROLA W przypadku systemów IT, ze względu na szybki rozwój technologii, nie można mówić o zapewnieniu pełnego bezpieczeństwa. Celem podmiotów publicznych powinno być natomiast dążenie do minimalizacji ryzyka utraty danych lub zakłócenia funkcjonowania systemów IT do poziomu akceptowalnego, który to poziom powinien być indywidualnie określany dla poszczególnych systemów. W dobie bowiem dynamicznego wzrostu zagrożeń zapewnienie bezpieczeństwa systemów IT nie może być oparte na chaotycznie zarządzanych, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, działaniach. Raport NIK 2015 6
Trochę informacji z raportu NIK rola Kierownictwa Główny ciężar zapewnienia bezpieczeństwa IT w kontrolowanych jednostkach spoczywał na koordynatorze ds. bezpieczeństwa, który jednak nie posiadał w praktyce kompetencji w zakresie zarządzania całym procesem. Często też zadania te były realizowane jednoosobowo. Powoływano wprawdzie zespoły specjalistów lub zawierano umowy z wykonawcami zewnętrznymi, jednakże nie sporządzano niezbędnych analiz, czy usługi świadczone przez nich zaspakajają potrzeby jednostki w zakresie bezpieczeństwa. Świadomość potrzeby zapewnienia bezpieczeństwa informatycznego była w kontrolowanych jednostkach fragmentaryczna i ograniczona. Chociaż same systemy informatyczne oraz przeprowadzane audyty dostarczały informacji dotyczących stanu bezpieczeństwa, to dane te nie były odpowiednio analizowane i wykorzystywane. Bezpieczeństwo danych było postrzegane głównie jako przedmiot odpowiedzialności i domena działu IT, a nie wszystkich komórek realizujących zadania statutowe, co w dużej mierze utrudniało wypracowanie spójnych dla całej instytucji systemów zarządzania bezpieczeństwem informatycznym Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i wobec braku procedur intuicyjny. (.) W związku z powyższym, w skontrolowanych podmiotach (z wyjątkiem KRUS) opierano się na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczasowych doświadczeń pracowników działów IT. Zdaniem NIK, takie doraźne działania nie zapewniały adekwatnego do zagrożeń zarządzania bezpieczeństwem danych. AUDYT i KONTROLA NIK zwraca uwagę na problematykę związaną z ujawnianiem wyników audytów dotyczących bezpieczeństwa IT przeprowadzanych w kontrolowanych jednostkach. W ocenie NIK istnieje potrzeba systemowego rozwiązania tej kwestii, w sposób zapewniający dostęp obywateli do informacji o działalności podmiotów publicznych, z jednoczesnym zachowaniem ograniczeń w dostępie do wiedzy o stosowanych środkach i metodach zapewniających bezpieczeństwo przetwarzanych informacji. W ocenie NIK zagadnienie upubliczniania wyników audytów bezpieczeństwa jest złożone. Z jednej strony mogą one zawierać szereg informacji, atrakcyjnych dla ewentualnego napastnika, np. dotyczących charakterystyki środków technicznych i organizacyjnych związanych z bezpieczeństwem informacji, tj. stwierdzone podatności, luki i słabości wraz z ich konsekwencjami oraz zalecenia co do sposobów ich wyeliminowania. Problem klasyfikowania dokumentów i polegał na nadawaniu klauzul niejawności dokumentom wytworzonym w trakcie audytów bezpieczeństwa informacji. Zgodnie z wyrokiem Trybunału Konstytucyjnego (Wyrok z dnia 9 kwietnia 2015 r. (sygn. akt K 14/13(ZU OTK nr 4A/2015, poz. 45) władze publiczne powinny udostępniać takie dokumenty każdej osobie, która o to poprosi, traktując je jako informację publiczną. Jednostki kontrolowane wskazywały natomiast na potencjalne zagrożenia związane z publikacją informacji dotyczących funkcjonujących systemów, w szczególności ich podatności na ataki. W obszarze tym NIK zidentyfikowała także przypadki wykorzystywania ochrony informacji poprzez nadawanie klauzul niejawności dokumentom sporządzonym i wykorzystywanym wcześniej jako jawne, w celu uniemożliwienia wglądu do nich na podstawie przepisów o dostępie do informacji publicznej. Rekomenduje się podział tekstu raportu na cześć publiczna oraz klauzulowa ( dla części opisu technologicznego ) Trochę informacji z raportu NIK rola Kierownictwa Kontrola wykazała pozytywny wpływ audytów związanych z bezpieczeństwem informacji wykonywanych doraźnie, z inicjatywy własnej lub corocznie, w związku z realizacją norm rozporządzenia KRI. Raporty z tych audytów stanowiły w praktyce dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia. Kontrola - Wskazanie jednolitych kryteriów merytorycznych realizacji obowiązku dotyczącego przeprowadzania kontroli działania systemów teleinformatycznych, używanych do realizacji zadań publicznych albo realizacji obowiązku wynikającego z art.13 ust2. ustawy o informatyzacji 7
Ustanowiono 15 grudnia 2015 roku W wytycznych uwzględniono: - Ustawę o informatyzacji - Rozporządzenie Rady Ministra z dnia 12.04.2012 w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych - Ustawę z dnia 15.07.2011 o kontroli w administracji rządowej - Standardy kontroli rządowej Kto może prowadzić kontrolę: w jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych właściwy wojewoda, w podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej organ administracji rządowej nadzorujący dany podmiot publiczny, w podmiotach publicznych niewymienionych w lit. a i b minister właściwy do spraw informatyzacji. 30 Zasady kontroli/ audytu KRI w kontekście Wytycznych do kontroli systemów teleinformatycznych CEL główny kontroli : Legalność zgodność z prawem powszechnie obowiązującym oraz regulacjami wewnętrznymi dotyczącymi SZBI w trzech obszarach kontroli Obszar 1: Interoperacyjność ujednolicenie interoperacyjność wymienność zgodność 31 8
Interoperacyjność To zdolność różnych podmiotów oraz używanych przez nie systemów teleinformatycznych i rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów, z uwzględnieniem współdzielenia informacji i wiedzy przez wspierane przez nie procesy biznesowe realizowane za pomocą wymiany danych za pośrednictwem wykorzystywanych przez te podmioty systemów teleinformatycznych. Osiąganie interoperacyjności następuje poprzez ciągłe doskonalenie w zakresie współdziałania systemów teleinformatycznych [2] Zasady kontroli/ audytu KRI w kontekście Wytycznych do kontroli systemów teleinformatycznych Obszar 2: System Bezpieczeństwa Informacji Zasady kontroli/ audytu KRI w kontekście Wytycznych do kontroli systemów teleinformatycznych Obszar 3: Zapewnienie dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych Zasady prowadzenie kontroli. Techniki kontroli Zza biurka Na miejscu Załacznik nr 1 Załacznik nr 2. Przygotowanie kontroli: - Dokumenty ustanawiające SZBI, - Polityki, instrukcje, procedury, - Dokumentacja analizy ryzyka związanego z BI, - Dokumentacja przeglądów SZBI i audytów wewnętrznych SZBI, - Dokumentacja systemu zarzadzania jakością usług świadczonych przez system teleinformatyczny,. Kryteria kontroli oraz mierniki oceny 4-stopniowa skala ocen: pozytywna, pozytywna z uchybieniami, pozytywna z nieprawidłościami, ocena negatywna [2] 9
Cel: dokonanie oceny działania systemów teleinformatycznych Tryb Kontroli: kontrola przeprowadzona zgodnie z trybem określonym ustawą o kontroli oraz zgodnie ze Standardami kontroli w administracji rządowej (Dz.U 185 z 2005) Zespół kontrolny :kontroler posiada określoną wiedzę i umiejętności potwierdzone certyfikatami Obszary kontroli: - Wymiana informacji w postaci elektronicznej - Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych - Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych [2] ocenę pozytywną ocenę pozytywną z uchybieniami ocenę pozytywną z nieprawidłowościami ocena negatywna Zasady prowadzenia kontroli 38 Kontrola ocena negatywna Ocena negatywna w obszarze 1 Ocena negatywna w obszarze 2 Ocena negatywna w obszarze 3 Ocena w obszarach 1 i 2 powinna być uzupełniona odpowiednio opisem poziomu/stopnia uzyskania interoperacyjności oraz opisem względnego poziomu zapewnienia BI, a także opisem stopnia osiągnięcia przez jednostkę podejścia systemowego do BI. Poziomem odniesienia dla danego systemu są wyniki analizy ryzyka uwzględniającej takie czynniki jak m.in. skala i zakres stosowania danego systemu teleinformatycznego, ważność przetwarzanych w nim danych i które mają bezpośrednie odzwierciedlenie w planie postępowania z ryzykiem. Obszar 1 Interoperacyjność: nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli); nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury ( 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli); nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań ( 5ust.3 rozporządzenia; pkt 1.4 tematyki kontroli). 39 10
Kontrola ocena negatywna Obszar 2 Bezpieczeństwo Informacji nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) ( 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli); nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) ( 20 ust. 1, ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli); nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy ( 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli); nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku ( 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli); nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji ( 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli); Kontrola ocena negatywna Obszar 2 Bezpieczeństwo Informacji nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień ( 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli); nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących ( 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli); nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie ( 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli); nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych ( 21 rozporządzenia; pkt 2.12 tematyki kontroli). Kontrola ocena negatywna Obszar 3 Dostosowanie dla osób niepełnosprawnych nie zapewniono spełnienia przez system wymagań Web Content Accessibility Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr 4 do rozporządzenia ( 19 rozporządzenia; pkt 3 tematyki kontroli). System Zarządzania Bezpieczeństwem Informacji (SZBI) obszar 2 System zarządzania bezpieczeństwem informacji (SZBI) -część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia BI; 11
Dokumenty wewnętrzne SZBI: Dokumentacja zasad zarządzania bezpieczeństwem informacji - To dokumenty określające podejście instytucji do realizacji działań w określonym obszarze zarządzania bezpieczeństwem informacji. Polityki Opisano tu ogólne zasady zarządzania dostępem do informacji, które muszą być w organizacji przestrzegane. Zawarte tu są zasady postępowania, określone krok po kroku. Określone odpowiedzialności za wykonanie poszczególnych zadań, zasoby niezbędne do ich wykonania, sposób Procedury dokumentowania czynności Określają czynności, które muszą być wykonywane oraz czynności, których wykonywanie jest zabronione Regulaminy Dokumentacja SZBI w jednostce 1. Polityka bezpieczeństwa teleinformatycznego; 2. Polityka bezpieczeństwa fizycznego; 3. Polityka bezpieczeństwa danych osobowych. 4. Procedura zarzadzania ryzykiem; 5. Regulamin korzystania z zasobów informatycznym. 6. Procedura zarządzania sprzętem i oprogramowania 7. Procedura zarządzania konfiguracją; 8. Procedura zarządzania uprawnieniami do pracy w systemach teleinformatycz. 9. Procedura monitorowania poziomu świadczenia usług; 10. Procedura bezpiecznej utylizacji sprzętu elektron.; 11. Procedura zarządzania zmianami i wykonywaniem testów; 12. Procedura stosowania środków kryptograficznych; 13. Procedura określania specyfikacji technicznych wymagań odbioru systemów IT; Wyznaczają minimalne wymagania techniczne, które muszą być spełnione przez wdrażane w instytucji rozwiązania. Określone tu zasady powinny być uwzględniane przy wprowadzaniu zmian w infrastrukturze informatycznej Standardy instytucji oraz nowych rozwiązań technologicznych Dokumentacja SZBI w jednostce 14. Procedura zgłaszania i obsługi incydentów naruszenia bezpieczeństwa informacji; 15. Procedura wykonywania i testowania kopii bezpieczeństwa; 16. Procedura monitoringu i kontroli dostępu do zasobów teleinformatycznych, prowadzenia logów systemowych. 17. Dokumentacja z przeglądów SZBI; 18. Dokumentacja z szacowania ryzyka BI; 19. Dokumentacja postępowania z ryzykiem; Dokumentacja akceptacji ryzyka; 20. Dokumentacja audytów z zakresu BI; 21. Dokumentacja incydentów naruszenia BI; 22. Dokumentacja zarządzania uprawnieniami do pracy w systemach teleinformatyczn. 23. Dokumentacja zarządzania sprzętem i oprogramowaniem teleinformatycznym; 24. Dokumentacja szkolenia pracowników zaangażowanych w proces przetwarzania informacji Dokumenty podlegające audytowi / kontroli Dokumentacja SZBI, w tym Polityka BI oraz inne dokumenty stanowiące SZBI, Dokumentacja przeglądów SZBI, szacowania ryzyka, audytów, incydentów naruszenia BI Działania związane z aktualizacją regulacji wewnętrznych w zakresie zmieniającego się otoczenia będące konsekwencją wyników szacowania ryzyka, wniosków z przeglądów SZBI, zaleceń poaudytowych, wniosków z analizy incydentów naruszenia BI. Stopień zaangażowania kierownictwa podmiotu publicznego w proces ustanawiania i funkcjonowania SZBI oraz zarządzania BI Dowodami po kontrolnymi są : Dokumentacja : SZBI w tym polityka BI oraz inne stanowiące SZBI, z przeglądów SZBI, z audytów z zakresu BI, zmian wynikających z wyników szacowania ryzyka, wniosków z przeglądów SZBI, zaleceń poaudytowych, wniosków z analizy incydentów naruszenia BI 12
Zasady kontroli/ audytu KRI w kontekście Wytycznych do kontroli systemów teleinformatycznych Kontroli podlegają: Sposób prezentacji informacji na stronach internetowych systemów telekomunikacyjnych podmiotu publicznego. Dowodami z kontroli są: Opis zastosowanych rozwiązań technicznych umożliwiających osobom niedosłyszącym lub niedowidzącym zapoznanie się z treścią informacji na stronach internetowych systemów teleinformatycznych podmiotu publicznego, dokumentacja systemu teleinformatycznego. Wyniki z przeprowadzonych testów razem z ich interpretacją. ZAŁĄCZNIK nr 1 Poz. Obszar/Obszar szczegółowy/ Wymaganie Podstawa Kontroli podlegają prawna 1 Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/ rejestrami informatycznymi i wspomaganie świadczenia drogą elektroniczną 1.1 Usługi elektroniczne 1.1.1 Czy Podmiot publiczny udostępnia elektroniczną skrzynkę podawczą, art.16 ust 1a ustawy Świadczenie usług w formie elektronicznej z spełniającą standardy określone i opublikowane na epuap przez o informatyzacji wykorzystaniem ESP ministra informatyzacji właściwego do spraw informatyzacji, oraz 5 ust. 2 pkt 1 Zamieszczenie na głównej stronie internetowej podmiotu zapewnia jej obsługę? rozporządzenia KRI (i/lub na stronie BIP podmiotu), odesłania do opisów usług, Czy interoperacyjność na poziomie organizacyjnym osiągana jest przez: - informowanie przez podmioty realizujące zadania rozporządzenia KRI które zawierają wymagane informacje dotyczące m.in. 5 ust. 2 pkt 4 publiczne, w sposób umożliwiający skuteczne zapoznanie się, o aktualnej podstawy prawnej świadczonych usług, nazwy rozporządzenia KRI sposobie dostępu oraz zakresie użytkowym serwisów dla usług usług, miejsca świadczenia usług (złożenia dokumentów), realizowanych przez te podmioty, terminu składania i załatwiania spraw oraz nazwy komórek - publikowanie i uaktualnianie w Biuletynie Informacji Publicznej przez odpowiedzialnych za załatwienie spraw. podmiot realizujący zadania publiczne opisów procedur obowiązujących przy załatwianiu spraw z zakresu jego właściwości drogą elektroniczną? 1.2 Centralne repozytorium wzorów dokumentów elektronicznych 1.2.1 Czy organ administracji publicznej przekazuje do centralnego art. 19b ust. 3 Wykorzystanie przez urząd wzorów dokumentów repozytorium (prowadzonego w ramach ustawy o epuap przez Ministra ustawy o elektronicznych przechowywanych w CRWDE, jakie zostały właściwego do spraw informatyzacji informatyzacji) oraz udostępnia w informatyzacji już wcześniej opracowane i są używane przez inny urząd. Biuletynie Informacji Publicznej wzory dokumentów elektronicznych? Przekazanie do CRWDE oraz udostępnienie w BIP wzorów dokumentów elektronicznych. 1.3 Model usługowy 1.3.1 Czy zarządzanie usługami realizowanymi przez systemy 15 ust.2 Poziom wspierania modelu usługowego w procesie teleinformatyczne ma na celu dostarczanie tych usług na rozporządzenia świadczenia usług elektronicznych przez systemy deklarowanym poziomie dostępności i odbywa się w oparciu o KRI teleinformatyczne podmiotu. udokumentowane procedury? Weryfikacja sposobu zarządzania usługami w oparciu o ustalone procedury, w tym: możliwość zidentyfikowania właściciela merytorycznego usług (komórka organizacyjna podmiotu), ustalenie odpowiedzialności za utrzymanie usług od strony technicznej, określenie poziomu świadczenia usług, monitorowanie poziomu świadczenia usług na zadeklarowanym poziomie. Poz. Obszar/Obszar szczegółowy/ Wymaganie Podstawa Kontroli podlegają prawna 1 Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/ rejestrami informatycznymi i wspomaganie świadczenia drogą elektroniczną 1.4 Współpraca systemów teleinformatycznych z innymi systemami 1.4.1 Czy interoperacyjność na poziomie semantycznym osiągana jest przez 5 ust. 3 pkt 3 Poziom współpracy systemów teleinformatycznych z stosowanie w rejestrach prowadzonych przez podmioty odwołań do rozporządzenia KRI innymi systemami podmiotu lub systemami informatycznymi rejestrów zawierających dane referencyjne w zakresie niezbędnymdo 16 ust.1 rozporządzenia KRI innych urzędów w tym rejestrami referencyjnymi. realizacji zadań? Sposób komunikacji z innymi systemami, w tym Czy systemy teleinformatyczne używane przez podmioty realizujące wyposażenie w składniki sprzętowe lub oprogramowanie zadania publiczne wyposaża się w składniki sprzętowe lub oprogramowanie umożliwiające wymianę danych z innymi systemami umożliwiające wymianę danych z innymi systemami teleinformatycznymi za pomocą protokołów komunikacyjnych i telekomunikacyjnymi za pomocą protokołów szyfrujących określonych w obowiązujących przepisach, normach, komunikacyjnych i szyfrujących zapewniających BI. standardach lub rekomendacjach ustanowionych przez krajową jednostkę normalizacyjną lub jednostkę normalizacyjną Unii Europejskiej? 1.5 Obieg dokumentów w urzędzie 1.5.1 Czy zapewniono zabezpieczenie informacji w sposób uniemożliwiający 20 ust. 2 pkt 9 Regulacje wewnętrzne opisujące sposób zarządzania nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub rozporządzenia obiegiem dokumentów w podmiocie, w tym zakres zniszczenie? KRI stosowania elektronicznego obiegu dokumentów. 1.6 Formaty danych udostępniane przez systemy teleinformatyczne 1.6.1 Czy kodowanie znaków w dokumentach wysyłanych z systemu 17 ust.1 Potwierdzenie sposobu kodowania znaków w teleinformatycznego także w odniesieniu do informacji wymienianej rozporządzenia dokumentach wysyłanych i odbieranych z systemów przez te systemy z innymi systemami na drodze teletransmisji, odbywa KRI teleinformatycznych podmiotu. się według standardu Unicode UTF-8 określonego przez normę ISO/IEC 18 ust.1 Potwierdzenie sposobu udostępniania zasobów 10646 wraz ze zmianami lub normę ją zastępującą? rozporządzenia Czy system teleinformatyczny udostępnia zasoby informacyjne co KRI informatycznych z systemów teleinformatycznych najmniej w jednym z formatów danych określonych w załączniku nr 2 do 18 ust.2 podmiotu. rozporządzenia KRI? rozporządzenia Potwierdzenie sposobu przyjmowania dokumentów Czy system teleinformatyczny umożliwia przyjmowanie dokumentów KRI elektronicznych przez systemy teleinformatyczne elektronicznych służących do załatwiania spraw należących do zakresu działania podmiotu w formatach danych określonych w załącznikach nr podmiotu 2 i 3 do rozporządzenia KRI -jeżeli z przepisów szczegółowych albo opublikowanych w repozytorium interoperacyjności schematów XML lub innych wzorów nie wynika inaczej? 13
Poz. Obszar/Obszar szczegółowy/ Wymaganie Podstawa Kontroli podlegają prawna 2 System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych 2.1 Dokumenty z zakresu bezpieczeństwa informacji. Zaangażowanie kierownictwa podmiotu 2.1.1 Czy opracowano, ustanowiono i wdrożono System Zarządzania 20 ust.1 Dokumentacja SZBI w tym Polityka BI oraz inne dokumenty Bezpieczeństwem Informacji( SZBI) zapewniający poufność, dostępność rozporządzenia KRI stanowiące SZBI, w tym m.in.: PBI, dokumentacja przeglądów SZBI, i integralność informacji z uwzględnieniem takich atrybutów, jak dokumentacja szacowania ryzyka, audyty, dokumentacja 20 ust.2 autentyczność, rozliczalność, niezaprzeczalność i niezawodność? incydentów naruszenia BI. rozporządzenia KRI Stopień zaangażowania kierownictwa podmiotu publicznego w proces ustanawiania BI. 2.1.2 Czy SZBI jest monitorowany, poddawany przeglądom oraz doskonalony? 20 ust.1 Działania związane z aktualizacją regulacji wewnętrznych w Czy zarządzanie bezpieczeństwem informacji realizowane jest w rozporządzenia KRI zakresie zmieniającego się otoczenia będące konsekwencją szczególności przez zapewnienie przez kierownictwo podmiotu wyników analizy ryzyka, wniosków z przeglądów SZBI, zaleceń 20 ust.2 pkt. 1 publicznego warunków umożliwiających realizację i egzekwowanie poaudytowych, wniosków z analizy incydentów naruszenia BI. rozporządzenia działań związanych z BI? Stopień zaangażowania kierownictwa podmiotu publicznego w Czy regulacje wewnętrzne w zakresie SZBI są aktualizowane w zakresie proces zarządzania BI, (przeglądy SZBI, egzekwowanie działań dotyczącym zmieniającego się otoczenia? związanych z BI). 2.2 Analiza zagrożeń związanych z przetwarzaniem informacji 2.2.1 Czy przeprowadzana jest okresowa analiza ryzyka utraty integralności, 20 ust. 2 pkt 3 Regulacje wewnętrzne opisujące sposób zarządzania ryzykiem dostępności lub poufności informacji oraz czy podejmowane są rozporządzenia BI. działania minimalizujące to ryzyko, stosownie do wyników KRI Dokumentacja z przeprowadzania okresowej analizy ryzyka przeprowadzanej analizy? utraty integralności, poufności lub dostępności informacji, w tym rejestr ryzyka, zwierający informacje o zidentyfikowanych ryzykach, ich poziomie, sposobie postepowania z ryzykami oraz plan postępowania z ryzykiem. Działania minimalizujące ryzyko zgodnie z planem postępowania z ryzykiem, stosownie do analizy ryzyka. 2.3 Inwentaryzacja sprzętu i oprogramowania informatycznego 1.6.1 Czy utrzymywana jest aktualność inwentaryzacji sprzętu i 20 ust. 2 pkt 2 Regulacje wewnętrzne opisujące sposób zarzadzania sprzętem oprogramowania służącego do przetwarzania informacji obejmującej rozporządzenia informatycznym i oprogramowaniem ( w tym licencji na ich rodzaj i konfigurację? KRI oprogramowanie) oraz funkcjonowania rejestru zasobów teleinformatycznych ( baza konfiguracji CMDB). Rejestr zasobów teleinformatycznych (baza konfiguracji CMDB) zawierający informacje o wszystkich zidentyfikowanych aktywach informatycznych, w tym: szczegółowe dane o urządzeniach technicznych, oprogramowaniu i środkach komunikacji, ich rodzaju, parametrach, aktualnej konfiguracji i relacjach między elementami konfiguracji oraz użytkowniku. Sposób aktualizacji rejestru zasobów teleinformatycznych (bazy konfiguracji CMDB). Poz. Obszar/Obszar szczegółowy/ Wymaganie Podstawa Kontroli podlegają prawna 2 System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych 2.4 Zarządzanie uprawnieniami do pracy w systemach informatycznych 2.4.1 Czy osoby zaangażowane w proces przetwarzania informacji posiadają 20 ust.2 pkt 4 Regulacje wewnętrzne opisujące zarządzanie uprawnieniami użytkowników stosowne uprawnienia i uczestniczą w tym procesie w stopniu rozporządzenia KRI do pracy w systemach teleinformatycznych w tym do przetwarzania danych adekwatnym do realizowanych przez nie zadań oraz obowiązków osobowych. 20 ust.2 pkt. 5 Adekwatność poziomu uprawnień do pracy w systemach mających na celu zapewnienie bezpieczeństwa informacji? rozporządzenia KRI teleinformatycznych do zakresu czynności posiadanych upoważnień do Czy zakres uprawnień osób zaangażowanych w przetwarzanie danych jest informacji w tym upoważnień do przetwarzania danych osobowych bezzwłocznie zmieniany w przypadku zmiany zadań tych osób? (rejestr wydanych upoważnień). Działania w zakresie monitoringu i kontroli dostępu do zasobów teleinformatycznych w tym przeglądy w celu wykonywania nieuprawnionego dostępu, nadmiernych uprawnień, konfliktu interesów czy nadzorowania samego siebie itp. Sposób i szybkość odbierania uprawnień byłym pracownikom w systemach informatycznych 2.5 Szkolenia pracowników zaangażowanych w proces przetwarzania informacji 2.5.1 Czy zapewniono szkolenie osób zaangażowanych w proces przetwarzania 20 ust. 2 pkt 6 Regulacje wewnętrzne dotyczące przeprowadzania szkoleń informacji, ze szczególnym uwzględnieniem takich zagadnień, jak: rozporządzenia użytkowników zaangażowanych w procesie przetwarzania informacji w a) Zagrożenia bezpieczeństwa informacji, KRI systemach teleinformatycznych. Dokumentacja z przeprowadzonych szkoleń pod kątem zakresu b) Skutki naruszenia zasad bezpieczeństwa informacji, w tym tematycznego, w tym aktualności informacji o zagrożeniach, skutkach i odpowiedzialność prawna, zabezpieczeniach, wskaźnik liczby osób przeszkolonych w stosunku do c) Stosowanie środków zapewniających bezpieczeństwo informacji, w wszystkich osób uczestniczących w procesie przetwarzania informacji, a tym urządzenia i oprogramowanie minimalizujące ryzyko błędów także cykliczności szkoleń. ludzkich? 2.6 Praca na odległość i mobilne przetwarzanie danych 2.6.1 Czy ustanowiono podstawowe zasady gwarantujące bezpieczną pracę 20 ust. 2 pkt 8 Regulacje wewnętrzne, w których określono zasady bezpiecznej pracy przy przetwarzaniu mobilnym i pracy na odległość? rozporządzenia użytkowników przy wykorzystaniu urządzeń przenośnych i pracy na KRI odległość. Działania w zakresie stosowania zasad bezpiecznej pracy użytkowników przy wykorzystaniu urządzeń przenośnych i pracy na odległość, w tym stosowania zabezpieczeń i procedur bezpieczeństwa przez użytkowników urządzeń przenośnych i pracy na odległość. 2.7. Serwis sprzętu informatycznego i oprogramowania 2.7.1 Czy umowy serwisowa podpisane ze stronami trzecimi zawierają zapisy 20 ust. 2 pkt 10 Regulacje wewnętrzne, w których określono zasady współpracy z gwarantujące odpowiedni poziom bezpieczeństwa informacji? rozporządzenia podmiotami zewnętrznymi w zakresie serwisu i rozwoju systemów KRI teleinformatycznych, w tym wymagane klauzule prawne dotyczące BI. Umowy serwisowe oraz umowy dotyczące rozwoju systemów teleinformatycznych w zakresie zapisów gwarantujących odpowiedni poziom BI Poz. Obszar/Obszar szczegółowy/ Wymaganie Podstawa prawna 2 System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych Kontroli podlegają Poz. Obszar/Obszar szczegółowy/ Wymaganie Podstawa prawna Kontroli podlegają 2.8 Procedury zgłaszania incydentów naruszenia BI 2.8.1 Czy incydenty naruszenia bezpieczeństwa informacji są bezzwłocznie zgłaszane w 20 ust.2 pkt13 określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań rozporządzenia KRI korygujących? Audyt wewnętrzny 2.9 z zakresu bezpieczeństwa informacji 2.9.1 Czy przeprowadzany jest audyt wewnętrzny w zakresie BI co najmniej raz w roku? 20 ust. 2 pkt 14 rozporządzenia KRI 2.10 Kopie zapasowe 2.10.1 Czy zapewniono odpowiedni poziom bezpieczeństwa w systemach 20 ust. 2 pkt 12 lit.b teleinformatycznych, polegający w szczególności na minimalizowaniu ryzyka utraty rozporządzenia KRI informacji w wyniku awarii. 2.11. Serwis sprzętu informatycznego i oprogramowania 2.11.1 Czy systemy zaprojektowane, uwzględnieniem teleinformatyczne zostały 15 ust. 1 wdrożone i eksploatowane z ich funkcjonalności, niezawodności, rozporządzenia używalności, wydajności, przenaszalności i pielęgnowalności, przy KRI zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk. Regulacje wewnętrzne, w których określono zasady zgłaszania i postępowania z incydentami naruszenia bezpieczeństwa informacji. Sposób zgłaszania i postępowania z incydentami (działania korygujące), rejestr incydentów naruszenia BI, wpływ analizy incydentów na SZBI, ewentualna współpraca z CERT Regulacje wewnętrzne, w których określono zasady przeprowadzania audytów wewnętrznych w zakresie BI. Sprawozdania z audytu wewnętrznego w zakresie bezpieczeństwa informacji Działania podjęte w wyniku zaleceń poaudytowych. Regulacje wewnętrzne, w których określono zasady tworzenia, przechowywania oraz testowania kopii zapasowych danych i systemów podmiotu. Działania związane z wykonywaniem, przechowywaniem i testowaniem kopii zapasowych danych i systemów oraz dokumentacja tych działań. Zapewnienie warunków dla uzyskania odpowiedniej funkcjonalności, niezawodności, używalności, wydajności, przenaszalności i pielęgnowalności systemów informatycznych w fazie ich projektowania wdrażania i eksploatacji. Regulacje wewnętrzne opisujące wymagania w zakresie projektowania systemów teleinformatycznych w podmiocie w zakresie: architektury systemu, sposobu licencjonowania i wykorzystania praw autorskich, zgodności z obowiązującym prawem m.in. ustawą o informatyzacji podmiotów realizujących zadania publiczne, sposobu i poziomu zabezpieczeń, zastosowania norm i standardów przemysłowych, zastosowania rozwiązań funkcjonalnych odpowiednich dla osiągnięcia założonych celów, prezentacji treści dla osób niepełnosprawnych, wydajności, poziomu niezawodności SLA, mechanizmów kontroli i audytu. Regulacje wewnętrzne opisujące wymagania w zakresie wdrażania systemów teleinformatycznych w urzędzie w zakresie: sposobu dostarczenia i instalacji systemu teleinformatycznego, wymagań sprzętowych i środowiskowych dla systemu, sposobu i zakresu testów odbiorowych oraz rodzaju i zakresu dokumentacji, a także warunków i kryteriów odbioru. Regulacje wewnętrzne opisujące sposób przeprowadzania zmian w systemach teleinformatycznych (w trakcie ich eksploatacji), w tym opis: sposobu zgłaszania zmiany, analizy zmiany pod kątem wykonalności, kosztów, ryzyk, a także określenia sposobu wykonania i odbioru zmiany. Regulacje wewnętrzne opisujące proces monitorowania systemów teleinformatycznych i środowiska ich pracy pod kątem wydajności i pojemności w celu zapobieżenia ewentualnym problemom z tym związanych wobec wzrostu ilości systemów teleinformatycznych, ilości przetwarzanych danych, ilości użytkowników poprzez podejmowanie działań zapobiegawczych. Działania związane z wdrażaniem nowych systemów teleinformatycznych oraz wprowadzaniem zmian w systemach eksploatowanych. Działania związane z monitorowaniem systemów teleinformatycznych i środowiska ich pracy pod kątem wydajności i pojemności. Działania zapobiegawcze będące wynikiem dostrzeżonych 2 System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych 2.12 Zabezpieczenia techniczno-organizacyjne dostępu do informacji 2.12.1 Czy zapewniono ochronę przetwarzanych informacji przed ich kradzieżą, 20 ust.2 pkt 7 Regulacje wewnętrzne w których ustalono zasady postępowania z nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: rozporządzenia KRI informacjami zapewniające minimalizację wystąpienia ryzyka a) monitorowanie dostępu do informacji, 20 ust.2 pkt 9 kradzieży informacji i środków przetwarzania informacji, oraz rozporządzenia KRI b) czynności zmierzające do wykrycia nieautoryzowanych działań urządzeń mobilnych w tym plan postępowania z ryzykiem. 20 ust.2 pkt 11 związanych z przetwarzaniem informacji, rozporządzenia KRI Regulacje wewnętrzne dotyczące zapewnienia ochrony c) zastosowanie środków uniemożliwiających nieautoryzowany dostęp na przetwarzanych informacji przed ich kradzieżą, nieuprawnionym poziomie systemów operacyjnych, usług sieciowych i aplikacji. dostępem, uszkodzeniami lub zakłóceniami poprzez ustalenie Czy informacje są zabezpieczone w sposób uniemożliwiający zabezpieczeń informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie? nieuprawnionemu jej ujawnienie, modyfikacje usunięcie lub Czy ustalono zasady postępowania z informacjami, zapewniające zniszczenie. Działania związane z monitorowaniem dostępu do minimalizację wystąpienia ryzyka kradzieży informacji i środków informacji np. w systemie informatycznym odnotowującym w bazie przetwarzania informacji, w tym urządzeń mobilnych? danych wszystkie działania użytkowników i administratorów dotyczące systemów teleinformatycznych podmiotu. Działania związane z monitorowaniem ruchu osobowego w podmiocie. Czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji poprzez kontrolę logów systemów, kontrolę wejść i wyjść do pomieszczeń serwerowni, analizę rejestru zgłoszeń serwisowych, analizę rejestru incydentów naruszenia BI. Działania związane z zapewnieniem środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych usług sieciowych i aplikacji poprzez stosowanie systemu kontroli dostępu do pomieszczeń serwerowni, systemu autoryzacji dostępu do systemów operacyjnych, sieci i aplikacji, stosowanie zabezpieczeń kryptograficznych, stosowanie systemów antywirusowych i antyspamowych, stosowanie zapór sieciowych typu firewall zgodnie z wynikami analizy ryzyka i planem postępowania z ryzykiem. Działania związane z ochroną fizyczną informacji zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych zgodne z wynikami analizy ryzyka i planem postępowania z ryzykiem. Działania związane z utylizacją sprzętu informatycznego i nośników danych a także związane z przekazywaniem sprzętu informatycznego do naprawy w sposób gwarantujący zachowanie BI. problemów podczas monitorowania ich pracy. 14
Poz. Obszar/Obszar szczegółowy/ Wymaganie Podstawa prawna Kontroli podlegają Poz. Obszar/Obszar szczegółowy/ Wymaganie Podstawa prawna Kontroli podlegają 2 System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych 2 System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych 2.13 Zabezpieczenia techniczno-organizacyjne systemów informatycznych 2.14 Rozliczalność działań w systemach teleinformatycznych 2.13.1 Czy zapewniono odpowiedni poziom bezpieczeństwa w systemach teleinformatycznych, polegający w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w 1sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych, f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa. 20 ust.2 pkt 12 rozporządzenia KRI Regulacje wewnętrzne, w których ustalono zasady zapewnienia odpowiedniego poziomu bezpieczeństwa systemów teleinformatycznych poprzez opisy stosowania zabezpieczeń, w tym plan postępowania z ryzykiem Działania związane z aktualizacją oprogramowania oraz redukcją ryzyk wynikających z wykorzystywania opublikowanych podatności technicznych systemów teleinformatycznych poprzez wdrażanie nowych wersji oprogramowania systemowego i użytkowego, poprawek i uzupełnień podnoszących ich bezpieczeństwo, aktualizację oprogramowania antywirusowego i antyspamowego, aktualizację oprogramowania zabezpieczającego ruch sieciowy zgodnie z wynikami analizy ryzyka i planem postępowania z ryzykiem. Działania związane z minimalizowaniem ryzyka utraty informacji w wyniku awarii oraz ochroną przed błędami, utratą i nieuprawnioną modyfikacją, a także zapewnienie bezpieczeństwa plików systemowych poprzez zastosowanie bezpiecznych i redundantnych rozwiązań sprzętowych, w tym np.: dwustronnego bezprzerwowego zasilania, redundancji i klimatyzacji, zastosowania klastra serwerów wysokiej dostępności, redundancji macierzy dyskowych i urządzeń sieciowych, równoważenie obciążenia ( ang. load balancing), monitorowania parametrów środowiskowych w serwerowni (temperatura, wilgotność, zadymienie, wyciek wody), zastosowania systemu kopii zapasowych, systemu kontroli dostępu do zasobów informatycznych, systemu monitorowania funkcjonowania systemów teleinformatycznych i sieci zgodnie z wynikami analizy ryzyka i planem postępowania z ryzykiem. Działania związane z zastosowaniem mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisów prawa poprzez stosowanie zabezpieczeń kryptograficznych, np. : dla transmisji do urządzeń mobilnych, poczty elektronicznej a także podpisów kwalifikowanych do autoryzacji dokumentów zgodnie z wynikami analizy ryzyka i planem postępowania z ryzykiem. Działania podejmowane w związku z dostrzeżeniem nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa. Działania związane z kontrolą zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa. 2.14.1 Czy w dziennikach systemów odnotowuje się obligatoryjnie działania 21 ust.2 użytkowników lub obiektów systemowych polegające na dostępie do: rozporządzenia KRI Regulacje wewnętrzne w których ustalono zasady prowadzenia i 1) Systemu z uprawnieniami administracyjnymi: 21 ust.3 wykorzystania dzienników systemowych (logów), w których odnotowuje 2) Konfiguracji systemu, w tym konfiguracji zabezpieczeń; rozporządzenia KRI się obligatoryjnie działania użytkowników lub obiektów systemowych 3) Przetwarzanych w systemach danych podlegających prawnej ochronie w 21 ust.4 polegające obiektów systemowych. zakresie wymaganym przepisami prawa? rozporządzenia KRI Działania związane z zapewnieniem rozliczalności użytkowników z Czy w zakresie wynikającym z analizy ryzyka poza informacjami wymienionymi w uprawnieniami administracyjnymi;, działań związanych z konfiguracją 21 ust.2. rozporządzenia KRI są odnotowane działania użytkowników lub systemu i zabezpieczeń, działań, gdy przetwarzanie danych podlega obiektów systemowych, a także inne zdarzenia związane z eksploatacją systemu w prawnej ochronie (np. dane osobowe). postaci: Działania związane z zapewnieniem rozliczalności działań użytkowników 1) działań użytkowników nieposiadających uprawnień administracyjnych, lub obiektów systemowych a także rejestracji innych zdarzeń 2) zdarzeń systemowych nieposiadających krytycznego znaczenia dla systemowych w zakresie wynikającym z analizy ryzyka. funkcjonowania systemu, Działania związane z regularnym przeglądaniem logów i ich analizą w celu 3) zdarzeń i parametrów środowiska, w którym eksploatowany jest system identyfikacji teleinformatyczny? Okres i sposób przechowywania dzienników systemowych Czy informacje w dziennikach systemów przechowywane są od dnia ich zapisu, przez okres wskazany w przepisach odrębnych, a w przypadku braku przepisów odrębnych przez dwa lata? 3 Zapewnieni dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych 3.1 Czy system teleinformatyczny spełnia wymagania Web Content 19 Sposób prezentacji informacji na stronach internetowych systemów Accessibility Guidelines (WCAG 2.0), z uwzględnieniem poziomu rozporządzenia telekomunikacyjnych podmiotu. AA, określonym w załączniku nr 4 do rozporządzenia KRI? KRI 2.13.2 Czy niezależnie od zapewnienia działań, o których mowa w 20 ust. 2 rozporządzenia KRI, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne ustanowiono dodatkowe zabezpieczenia? 20 ust.4 rozporządzenia KRI Analiza ryzyka, plan postępowania z ryzykiem,. Regulacje wewnętrzne stosowania zabezpieczeń dodatkowych. Audyt Krajowych Ram Interoperacyjności w instytucji - struktura Audyt weryfikujący stopień dostosowanie instytucji do wymagań określonych w Krajowych Ramach Interoperacyjności Badanie dokumentacji SZBI,ODO,KZ, IT ZAŁĄCZNIK nr 2 Audyt on-site kadry NK i kierowniczej Audyt stanowisk pracy Audyt pionu IT i testy penetracyjne 15
Audyt Krajowych Ram Interoperacyjności w instytucji Audyt infrastruktury informatycznej m.in. testy penetracyjne System Zarządzania Bezpieczeństwem Informacji zakres testów i wielkość dostoswane do wielkości organizacji, stopnia skomplikowania infrastruktury IT testy wewnątrz organizacji testy zewnętrzne badanie stron informacyjnych organizacji W KRI wymieniono następujące normy, które powinny stanowić podstawę do wdrożenia SZBI: 1) PN-ISO/IEC 27001 2) PN-ISO/ IEC 17799 3) PN ISO/ IEC 27005 4) PN-ISO/IEC 24762 Klasyfikacja informacji -> Cel klasyfikacji informacji Jednym z podstawowych założeń SZBI jest koncepcja klasyfikacji informacji i postępowania z informacjami klasyfikowanymi. Niektóre informacje muszą być przechowywane w sposób szczególny, chroniący je przed uszkodzeniem, konieczne jest zapewnienie ich skutecznego i szybkiego odtworzenia w razie awarii. Inne informacje będą wymagały szczególnej ochrony przed dostępem osób nieuprawnionych, realizowanej. Dodatkowo nakładają się na to wymagania prawne dotyczące zabezpieczenia określonych rodzajów informacji- w szczególności danych osobowych. System klasyfikacji ma na celu optymalizację zasad zarządzania bezpieczeństwem przez gradację mechanizmów zabezpieczających Zarządzanie dostępem do informacji -> Zasady zarządzania dostępem do informacji muszą być wdrożone zgodnie z zapisami w KRI -> Zarządzanie dostępem do informacji obejmuje: 1) nadawanie uprawnień do przetwarzania informacji 2) odbieranie uprawnień 3) modyfikacja uprawnień (nadawanie nowych uprawnień i odbieranie już istniejących) 4) przegląd posiadanych przez użytkowników uprawnień 5) zarządzanie danymi uwierzytelniającymi 16
Zarządzanie dostępem do informacji -> Zarządzanie uprawnieniami v Nadawanie uprawnień musi odbywać się z zachowaniem wymagań prawnych v W przypadku nadawania uprawnień do informacji wymagających ochrony poufności należy przestrzegać zasad wiedzy uzasadnionej v Nadawanie uprawnień powinno odbywać się z zachowaniem zasady minimalnych uprawnień v Należy stosować zasadę segregacji uprawnień, adekwatną do specyfiki procesu wspieranego przez dany system informatyczny v Należy stosować zasadę, że dostęp do systemu nie jest możliwy, dopóki nie zostanie wyraźnie nadany Zarządzanie dostępem do informacji -> Dostęp do kont administracyjnych Konta z uprawnieniami administracyjnymi powinny być wykorzystywane tylko do prac administracyjnych. Jeżeli konta administracyjne są jednoznacznie przypisane administratorom, wówczas powinni mieć oni również standardowe konta z ograniczonymi uprawnieniami wykorzystywane do pracy niewymagającej uprawnień administracyjnych Metodyka zarządzania uprawnieniami może być różna Zarządzanie dostępem do informacji ->Odbieranie dostępu do systemów informatycznych odbywa się wtedy, gdy nie są one już użytkownikowi dłużej potrzebne, bo np. zmienił mu się zakres obowiązków lub zakończył pracę. Zablokowanie konta użytkownika do czasu podjęcia skutecznych działań korygujących pozwoli zabezpieczyć system informatyczny i dane w nim przetwarzane -> Modyfikacja uprawnień to odebranie posiadanych już uprawnień jak i nadanie użytkownikowi nowych. Można spotkać się z praktyką gdzie użytkownikowi odbierane są całkowicie uprawnienia i nadawane nowe, nawet jeśli częściowo się pokrywają z wcześniejszymi. Zastosowanie metody odbierania całości uprawnień i ponownego ich nadawania powinno uwzględniać funkcjonalność eksploatowanych w instytucji systemów informatycznych. Zarządzanie dostępem do informacji ->Przegląd uprawnień ma na celu wykrycie nadmiarowych uprawnień. Powinien być przeprowadzany przez kierowników komórek organizacyjnych Podstawą przeprowadzenie przeglądu powinien być raport wygenerowany przez system informatyczny, zawierający wykaz użytkowników i przypisane im uprawnienia Wykrywanie nieużywanych kont wymaga przeglądu logów pod kątem prób logowania się na poszczególne konta w określonym czasie Zablokowanie konta w celu sprawdzenia czy użytkownik zgłosi się z pretensjami do IT lepiej pozostawić w sferze anegdot -> Prawa dostępu w systemach zarządzanych przez podmioty zewnętrzne powinny być, obok nadawania i odbierania uprawnień, uwzględnione w zasadach zarządzania uprawnieniami w systemach informatycznych. 17
Zarządzanie dostępem do informacji -> Wymagania w zakresie funkcjonalności systemów informatycznych mogą być zdefiniowane m.in. przez: 1) możliwość zgrupowania uprawnień w profile wraz z dostępem do operacji pozwalających na definiowanie, modyfikowanie i usuwanie profili, 2) możliwość wymuszenia przez system informatyczny stosowania zasady,,dwóch par oczu" w razie wykonywania operacji szczególnie istotnych ze względu bezpieczeństwa, 3) wyświetlanie, po zalogowaniu się użytkownika, informacji o czasie ostatniego udanego i ostatniego nieudanego logowania, 4) przesyłanie haseł między użytkownikiem a serwerem w postaci zaszyfrowanej oraz przechowywanie hasła na serwerze w postaci zaszyfrowanej, w sposób chroniący przed typowymi atakami na hasła Użytkowanie systemów informatycznych -> Zasady bezpiecznego korzystania z systemów informatycznych - organizacja pracy w taki sposób, aby pracownicy mogli przestrzegać wdrożonych zasad - prowadzenie bezpośredniego nadzoru nad podległymi pracownikami Użytkowanie systemów informatycznych -> Zasady przechowywania danych na serwerach 1) pliki są przechowywane wyłącznie na serwerach plików, a użytkownicy nie mają możliwości zapisania ich nigdzie indziej, dodatkowo zabezpiecza to w pewnym zakresie przed nieuprawnionym kopiowaniem plików. Wada: brak możliwości pracy na plikach w przypadku niedostępności sieci informatycznej, Użytkowanie systemów informatycznych -> Zasady przechowywania danych na nośnikach przenośnych Czy istnieje potrzeba zapisywania danych na nośnikach? 2) pliki są przechowywane na stacjach roboczych i są automatycznie kopiowane na serwery plików, istnieje ryzyko wystąpienia niespójności danych przechowywanych lokalnie na stacji roboczej oraz na serwerze plików, 3) użytkownicy są zobowiązani do samodzielnego zapisu plików na serwerach plików, istnieje ryzyko, że dane będą przechowywane wyłącznie lokalnie, niezbędne są więc działania kontrolne. Jeżeli potrzeba jest uzasadniona (np. zbyt duże pliki do przesłania, brak sieci itd. ) Jeżeli nie ma potrzeby użytkownicy powinni mieć zakazane kopiowanie na nośniki 18
Użytkowanie systemów informatycznych -> Zasady przechowywania danych ochrona wydruku Drukowanie w obecności użytkownika, wydrukowane (skanowane, kopiowane) kartki niezwłocznie zabrane z urządzenia (nieudany druk od razu zniszczony ) -> Zasady przechowywania danych- blokowanie stacji roboczych - po odejściu od stanowiska komputer musi zostać zablokowany - blokowany komputer również musi być po czasie nieaktywności a połączenie z serwerem Blokowanie przez użytkowników stacji roboczych oraz stosowanie się do zasad zabezpieczania wydruków można wyegzekwować dzięki regularnym działaniom kontrolnym. ->Zasady przechowywania danych- zakaz plików na pulpicie komputera- istnieje ryzyko ujawnienia wrażliwych informacji osobie, która z różnych powodów może podejrzeć dane na ekranie komputera. Użytkowanie systemów informatycznych -> Przekazywanie informacji- weryfikacja uprawnień odbiorcy konieczność sprawdzenia czy odbiorca jest upoważniony do otrzymania -> Przekazywanie informacji- techniczny sposób przekazywania- poczta elektroniczna, elektroniczny system obiegu dokumentów itd. -> Przekazywanie informacji- zabezpieczenie danych poufnych: - Szyfrowania - Hasło - - -> Przekazywanie informacji-poczta elektroniczna instytucji tylko do celów służbowych Użytkowanie systemów informatycznych Internetu należy -> Zasady korzystanie przez użytkowników z muszą być w instytucji zdefiniowane. Dodatkowo wprowadzić zakaz wykorzystywania identyfikatorów wskazujących na afiliację z instytucji. -> Bezpieczeństwo sprzętu informatycznego i oprogramowania użytkownik nie powinien mieć możliwości instalowania oprogramowania na komputerze. Powinno ono być wyłącznie instalowane przez służby informatyczne po zweryfikowaniu. Inwentaryzacja aktywów informatycznych Inwentaryzacja aktywów powinna zawierać informacje umożliwiające efektywne zarządzanie infrastrukturą informatyczną w zakresie min.: rodzaj urządzenia numer inwentarzowy urządzenia nazwę urządzenia w sieci; adres (lub adresy) IP oraz adres (lub adresy) MAC; komórkę organizacyjną użytkującą urządzenie oraz ewentualnie użytkownika korzystającego z urządzenia (jeżeli jest ono przypisane do konkretnego użytkownika); cel, w jakim urządzenie to jest eksploatowane parametry konfiguracyjne - w zależności od rodzaju urządzenia mogą one określać procesor, pamięć, napędy pamięci masowych, interfejsy sieciowe, firmware itp wskazanie zainstalowanego oprogramowania, w szczególności poprzez powiązanie z listą inwentarzową oprogramowania fizyczną lokalizację urządzenia datę zakupu urządzenia informacje o wsparciu serwisowym informacje o klasyfikacji urządzeniu w związku z informacjami przetwarzanymi przy jego użyciu (o ile zastosowany w instytucji schemat klasyfikacji uwzględnia przypisywanie klauzul urządzeniom) 19
Inwentaryzacja aktywów informatycznych Inwentaryzacja oprogramowania powinna być również prowadzona i zawierać informacje o użytkowanym oprogramowaniu, miejscu instalacji, ewentualnym wsparciu dostawcy, warunkach licencjonowania. Dowody: faktury przechowywane w komórce organizacyjnej odpowiedzialnej za księgowość. Niezależnie od tego, czy zestawienia inwentarzowe są tworzone automatycznie, ich aktualizacja powinna być uwzględniona w ramach procesu zarządzania zmianami wprowadzonego w instytucji Elementem inwentaryzacji oprogramowania powinien być proces audytu licencji- wyniki audytu licencji powinny być podstawą do wdrożenia działań korygujących, prowadzących do usunięcia nielicencjonowanego oprogramowania. Zarządzanie sprzętem i oprogramowaniem -> Zarządzanie sprzętem: - pozyskiwanie sprzętu przez instytucję - przekazanie sprzętu do użytkowania - zwrot sprzętu informatycznego - Wycofanie sprzętu z eksploatacji v Zapewnienie serwisu i konserwacji urządzeń jest elementem zarządzania sprzętem informatycznym. Urządzenia powinny być objęte umowami serwisowymi SLA lub gwarancyjnymi. v Prace serwisowe i konserwacyjne powinny odbywać się na terenie instytucji pod nadzorem upoważnionych pracowników przez upoważnionych pracowników serwisu zgodnie z załącznikiem do SLA. Zarządzanie sprzętem i oprogramowaniem Zarządzanie oprogramowaniem: 1) określenie oprogramowania, które może być użytkowane w instytucji 2) określenie zasad instalacji oprogramowania 3) określenie zasad zarządzania licencjami, opisane w części poświęconej inwentaryzacji aktywów 4) identyfikowanie podatności w eksploatowanym oprogramowaniu 5) aktualizację oprogramowania Zarządzanie kopiami zapasowymi -> Plan tworzenia kopii zapasowych musi zawierać zabezpieczenie przetwarzanych danych oraz rozważyć zabezpieczenie dostępności oprogramowania służącego do ich przetwarzania. Polityka kopii zapasowych zawierać musi: 1. Wymaganą częstotliwość wykonywania kopii zapasowych 2. Rodzaj kopii zapasowych 3. Miejsce zapisu kopii zapasowych 4. Czas przechowywania kopii zapasowych W niektórych systemach ryzyko niestabilnej pracy po instalacji aktualizacji jest na tyle duże, a ryzyko ataku związanego z brakiem aktualizacji na tyle małe. że zasadne jest powstrzymanie się od jej instalowania Analiza ryzyka Samodzielna modyfikacja kodu powinna być dopuszczalna tylko w wyjątkowych przypadkach. Gdy jest to absolutnie niezbędne do prawidłowego funkcjonowania instytucji, prace są przeprowadzane przez wykwalifikowana osoby, a zmodyfikowane oprogramowanie podlega testom. Kopie zapasowe powinny być weryfikowane pod względem poprawności wykonywania. W czasie okresowego audytu trzeba zwrócić uwagę na powtarzające się błędy wykonywania kopii zapasowych, podejmowane działania korygujące i ich skuteczność. 20
Monitorowanie systemów informatycznych i zarządzanie pojemnością Zakres zdarzeń odnotowywanych w systemie Zakres informacji o danym zdarzeniu Rutynowe przeglądanie logów Powiadamiania administratora o wystąpieniu zdarzenia Jaki system wspomagania wybrać z wielu dostępnych na rynku????? Monitorowanie systemów informatycznych i zarządzanie pojemnością PROCEDURA : Zarządzanie pojemnością pozwala na dostosowanie infrastruktury informatycznej instytucji do jej zmieniających się wymagań i planowania wydatków. Zarządzanie zmianami i bezpieczeństwo w realizacji projektu -> Proces wprowadzania zmiany sformalizowany kontrolowany Zarządzanie zmianą musi być dostosowane do jej rodzaju oraz do charakteru instytucji i sposobu realizowania przez nią zadań. Należy określić osoby upoważnione do zgłaszania potrzeby jej wprowadzenia. Zmiany powinny podlegać analizie i akceptacji. Typową klasyfikacją zmian jest podział na: 1) zmiany standardowe związane z wykonaniem zwykłych czynności modyfikujących konfigurację systemu informatycznego (np. utworzenie konta użytkownika), dla których określono standardowe czynności związane z ich wdrożeniem, 2) zmiany normalne związane z modyfikacją systemu wymagającą przeprowadzenia analizy i poszerzonej akceptacji, 3) zmiany pilne wymagające szybkiego wdrożenia, w szczególności w związku z wystąpieniem awarii w systemie informatycznym lub wystąpieniem incydentu naruszenia bezpieczeństwa informacji Zarządzanie zmianami i bezpieczeństwo w realizacji projektu -> Bezpieczeństwo informacji podczas realizacji projektu (nowego! systemu!) Aspekty bezpieczeństwa informacji muszą być uwzględnione w metodyce zarządzania projektami. Metodyka powinna być zdefiniowana i uwzględniać działania zmierzające do minimalizacji ryzyka naruszenia bezpieczeństwa informacji takie jak np.: 1) dobór zespołu projektowego z uwzględnieniem wiarygodności członków zespołu i dawanej przez nich rękojmi zaufania 2) udział w projekcie osoby (lub osób) sprawujących nadzór nad należytą ochroną informacji i systemów przetwarzających informacje podczas realizacji prac projektowych 3) planowanie prac projektowych z uwzględnieniem należytego zabezpieczenia infrastruktury informatycznej 4) uwzględnianie ryzyka w obszarze bezpieczeństwa informacji i bezpieczeństwa informatycznego przy zarządzaniu ryzykiem projektowym 5) uwzględnienie niezbędnych mechanizmów zabezpieczających (w tym mechanizmów wymaganych prawnie) przy definiowaniu produktów projektu 6) uwzględnienie w ramach testów akceptacyjnych i odbiorów produktów projektu aspektów należytego zabezpieczenia przetwarzanych informacji 7) ocenę poprawności ochrony aktywów informacyjnych w trakcie posiedzeń komitetu sterującego lub innego gremium nadzorującego realizację prac projektowych 21
Bezpieczeństwo wymiany informacji standardy- 1) filtracja ruchu sieciowego z wykorzystaniem zapór sieciowych i innych urządzeń umożliwiających zdefiniowanie reguł komunikacji na podstawie list ACL; 2) mechanizmy wykrywania naruszeń bezpieczeństwa w sieci informatycznej, w tym również zapewniające aktywną reakcję na wykryte naruszenia bezpieczeństwa; 3) podział infrastruktury sieciowej na podsieci z uwzględnieniem filtracji ruchu sieciowego między nimi; 4) zapewnienie kontroli dostępu do sieci informatycznej przez zapewnienie uwierzytelnienia urządzeń podłączanych do sieci informatycznej (mechanizmy typu Network Access Control) lub filtrację adresów MAC (mechanizmy typu Port Security); 5) mechanizmy monitorowania infrastruktury sieciowej, w tym również mechanizmy zapewniające centralne zbieranie logów z urządzeń sieciowych; 6) mechanizmy kontrolujące ruch sieciowy związany z funkcjonowaniem aplikacji i filtrujących ruch sieciowy adekwatnie do specyfiki działania aplikacji i związanych z tym zagrożeń; przykładem mogą być tu rozwiązania kontrolujące ruch sieciowy związany z działaniem aplikacji VWMN (tzw. WAP - web applicationfirewall); 7) mechanizmy kontrolujące zawartość przesyłanych danych i blokujące ruch sieciowy w przypadku stwierdzenia próby przesyłania wymienianych danych; 8) zastosowanie ochrony kryptograficznej opisanej w dalszej części opracowania. Ochrona kryptograficzna -> Zadania ochrony kryptograficznej np.: 1) zastosowanie bezpiecznego podpisu elektronicznego w rozumieniu podpisu elektronicznego 2) zabezpieczenie poczty elektronicznej, poprzez jej szyfrowanie oraz ewentualne podpisywanie; 3) szyfrowanie transmisji danych wymienianych z serwerami z wykorzystaniem protokołów Wymogi TLS/SSL (usługi prawne https, ftps, s/mime); 4) szyfrowanie połączeń VPN; 5) dostęp zdalny do urządzeń, m.in. z wykorzystaniem protokołu SSI-I; 6) szyfrowanie danych przechowywanych na nośnikach przenośnych; 7) szyfrowanie danych przechowywanych na dyskach lub innych nośnikach wbudowanych w sprzęt przenośny. Ochrona kryptograficzna -> System zarządzania certyfikatami Certyfikaty wydawane na podstawie wniosku. Wydanie stanowi standardową czynność, dlatego też może być przygotowany jako element zatrudnienia pracownika. Jak zarządzamy np. kartami Certyfikat zawiera klucz publiczny podpisu użytkownika kwalifikowanego lub ( urządzenia. rejestr, zakres stosowania, Kopie kluczy prywatnych mogę być archiwizowane ze względu na sposób zakupu i wystawienia zapewnienie możliwości awaryjnego odszyfrowania itp..??? danych. Certyfikat wystawiony przez urząd certyfikacji jest ważny w zdefiniowanym w instytucji okresie. Po tym okresie wymagane jest wystawienie nowego certyfikatu. Certyfikat musi jednoznacznie wskazywać użytkownika lub urządzenie, dla których został wystawiony. Niezależnie od ograniczonego czasu ważności certyfikatu może zaistnieć potrzeba jego wcześniejszego unieważnienia. Ochrona kryptograficzna -> Wymagania dla algorytmów kryptograficznych i protokołów kryptograficznych są jednym z elementów wdrożenia rozwiązań kryptograficznych -> Ochrona zdalnego postępu administracyjnego- brak odpowiednich zabezpieczeń może skutkować przejęciem kontroli nad systemami informatycznymi przez osobę nieuprawnioną, zbyt restrykcyjne mechanizmy mogą z kolei uniemożliwić podjęcie interwencji w razie wystąpienia awarii tutaj jest konieczna PROCEDURA udokumentowana dostępu zdalnego ( kto, kiedy, na jakich zasadach, protokołoanie usługi/czynności itp.) 22
Ochrona przed złośliwym oprogramowaniem Zasady te powinny obejmować w szczególności: W instytucji powinny zostać wdrożone zasady instalacji, konfiguracji i użytkowania oprogramowania antywirusowego 1) określenie urządzeń, na których oprogramowanie antywirusowe powinno być instalowane co do zasady powinno być ono instalowane na wszystkich platformach systemowych, na które jest dostępne; wyjątkiem są systemy, w przypadku których wprowadzenie złośliwego oprogramowania jest mało prawdopodobne, a uruchomienie oprogramowania antywirusowego może negatywnie wpłynąć na działanie systemu (dotyczy to np. serwerów bazodanowych czy systemów czasu rzeczywistego); 2) określenie dodatkowych komponentów antywirusowych instalowanych w infrastrukturze informatycznej - dotyczy to np. dedykowanych urządzeń filtrujących pocztę elektroniczną czy ruch http pod kątem wykrywania złośliwego oprogramowania; 3) zasady instalacji oprogramowania antywirusowego w taki sposób, aby nie mogło być ono wyłączone przez użytkownika lub aby jego konfiguracja nie była przez użytkownika zmieniona; wiąże się to również z poziomem uprawnień posiadanych przez użytkownika na stacji roboczej; 4) określenie zakresu skanowania przez system antywirusowy - w przypadku stacji roboczych dotyczy to wymuszenia skanowania nośników przenośnych zanim możliwy będzie odczyt lub zapis danych; 5) wymuszenie okresowego skanowania nośników wbudowanych w urządzenie, na którym zainstalowano system antywirusowy; 6) określenie polityki postępowania z plikami, które nie mogą być przeanalizowane przez system antywirusowy, np. z powodu ich zaszyfrowania; polityka ta może wymagać w szczególności, aby takie pliki nie mogły być przetwarzane, co uniemożliwi wymianę danych zabezpieczonych poprzez ich kompresję z zastosowaniem hasła; 7) zasady aktualizacji sygnatur wirusów i samego oprogramowania antywirusowego zasady te powinny określać przede wszystkim minimalną częstotliwość aktualizacji oraz identyfikowanie tych urządzeń, które posiadają nieaktualny system antywirusowy; 8) zdefiniowanie zakresu i zasad monitorowania pracy systemu antywirusowego zarówno w zakresie wykrywanych wirusów, jak i w zakresie aktualności sygnatur; elementem monitorowania może być generowanie okresowych raportów pozwalających na ocenę zabezpieczenia instytucji przed działaniem złośliwego oprogramowania. Aby zminimalizować ryzyko związane z wprowadzeniem niebezpiecznego oprogramowania, warto również rozważyć ograniczenie możliwości korzystania przez pracowników z nośników przenośnych Współpraca z podmiotami zewnętrznymi wiąże się z koniecznością przekazania wewnętrznych informacji instytucji. Należy wdrożyć politykę regulującą zasady współpracy z podmiotami zewnętrznymi w szczególności w kontekście bezpieczeństwa informacji administrowanych przez instytucję. Ponadto należy wdrożyć proces monitorowania usług świadczonych przez podmioty zewnętrzne. Monitorowanie usług obejmuje w szczególności okresowe sprawdzanie, czy są one realizowane terminowo oraz czy ich jakość jest zgodna z wymaganiami określonymi we właściwych umowach SLA. Monitorowanie usług może uwzględniać również wykorzystanie raportów dostarczanych przez dostawców, potwierdzających prac. Wymaganie dotyczące dostarczania przedmiotowych raportów powinno wynikać z postanowień umowy zawartej między instytucją a usługodawcą. realizację Zabezpieczenia obszaru przetwarzania informacji Ochrona pomieszczeń, w których systemy te są zlokalizowane. 1) uszkodzenie elementów infrastruktury informatycznej - może mieć charakter celowy (np. w wyniku aktów wandalizmu) lub przypadkowy (np. przypadkowe wyciągnięcie kabla sieciowego znajdującego się na podłodze); 2) nieuprawnione zapoznanie się z treścią informacji - w szczególności gdy osoba nieuprawniona znajduje się w pomieszczeniu, w którym przetwarzane są informacje poufne; 3) niewłaściwa temperatura w pomieszczeniu, powodująca nieprawidłową pracę urządzeń - najczęstszym problemem jest zbyt wysoka temperatura, która powoduje przegrzanie urządzeń i w konsekwencji może doprowadzić do ich awarii; 4) niewłaściwa wilgotność w pomieszczeniu, również mająca negatywny wpływ na prawidłowe działanie urządzeń; 5) zalanie pomieszczenia -- przyczyną zdarzenia może być zarówno awaria instalacji wodno-kanalizacyjnej czy instalacji centralnego ogrzewania przebiegających w pobliżu pomieszczenia, awaria kanalizacji znajdującej się w pobliżu budynku, jak i to, że budynek znajduje się na terenie zalewowym; 6) pożar; 7) awaria zasilania - zdarzenie prowadzi nie tylko do przerwy w działaniu systemów informatycznych, ale również do uszkodzenia danych w nich przetwarzanych, jeżeli nastąpiło nagłe wyłączenie urządzeń, a operacje związane z modyfikacją i zapisem danych nie zostały zakończone; 8) zniszczenie pomieszczenia i infrastruktury w wyniku wybuchu - przyczyna może być związana z obiektami znajdującymi się w pobliżu budynku, w którym znajduje się serwerownia, mogą być to np. zbiorniki z substancjami łatwopalnymi; w przypadku zastosowania w serwerowni stałego urządzenia gaśniczego należy również brać pod uwagę ryzyko wybuchu butli z środkiem gaśniczym; 9) wstrząsy tektoniczne - mogą być związane również z pobliskimi pracami budowlanymi; 10) działanie silnych pól elektromagnetycznych - może być związane z umiejscowieniem w pobliżu pomieszczeń serwerowni urządzeń generujących silne promieniowanie elektromagnetyczne. Zabezpieczenie obszaru przetwarzanie informacji Zastosowanie systemów sygnalizacji włamania i napadu Zastosowanie systemu telewizji dozorowej Podział obiektu na strefy Zapewnienie nadzoru nad osobami niebędącymi pracownikami Zapewnienie zabezpieczenia obiektu przez służby ochrony Wprowadzenie identyfikatorów dla pracowników Zapewnienie kontroli dostępu do obiektu Zastosowanie dodatkowych środków ograniczających możliwość nieuprawnionego wejścia na teren instytucji Wydzielenie strefy przeznaczonej dla gości Strefa przyjmowanie dostaw Wdrożenie zasad zarządzania kluczami Zastosowanie systemu kontroli dostępu 23
Zarządzanie incydentami naruszenia bezpieczeństwa informacji -> Pozyskanie informacji o zdarzeniu, które spowodowało incydent: od użytkowników systemu, z zapisu zdarzeń w systemach informatycznych. -> Reakcja na incydent uzależniona jest od rodzaju zdarzenia i systemów nim dotkniętych. Reakcja ta obejmuje: - przeprowadzenie wstępnej analizy incydentu, - PROCEDURA zebrania materiału dowodowego, - podjęcie działań w celu przywrócenia możliwości bezpiecznego przetwarzania danych. Instytucja powinna podjąć działania ograniczające prawdopodobieństwo wystąpienia podobnego incydentu w przyszłości. Zarządzanie ciągłością przetwarzania informacji -> Zabezpieczenie ciągłości działania: podstawą planowania ciągłości działania jest określenie wymagań instytucji w zakresie dostępności systemów i danych. Określane są dopuszczalne czasy niedostępności systemów informatycznych, dopuszczalna utrata danych oraz dopuszczalny spadek wydajności infrastruktury informatycznej w sytuacji kryzysowej. Ocena wymagań związanych z zapewnieniem ciągłości działania musi zostać przeprowadzona z udziałem komórek organizacyjnych odpowiedzialnych za realizację merytorycznych zadań instytucji. W celu spełnienia warunków w zakresie dostępności infrastruktury informatycznej definiuje się i wdraża strategię ciągłości IT. Określa ona podejście instytucji w zakresie zapewnienia ciągłości przetwarzania danych. Zarządzanie ciągłością informacji -> Plany odtwarzania i zapewnienia ciągłości działania muszą w miarę szczegółowo opisywać działania, które należy podjąć w sytuacji kryzysowej. W szczególności w ramach planu należy wskazać: 1) działania wymagające realizacji i ich sekwencję; 2) osoby odpowiedzialne za realizację działań - należy wskazać również osoby zastępujące na wypadek osoby przypisanej do realizacji zadania; 3) zasoby i materiały niezbędne do realizacji działania; 4) czas wymagany do realizacji działania - określenie czasu jest istotne z uwagi na konieczność dotrzymania czasu RTO. Z uwagi na to, że sytuacje kryzysowe występują często, wymaga się przeprowadzania okresowych przeglądów a także testów planów ciągłości działania. Testy te mogą być przeprowadzane w bardzo różny sposób. Zarządzanie ciągłością informacji -> Zabezpieczenie ciągłości działania zgodnie z PN-ISO/IEC 24762 Zgodnie z wymaganiami normatywnymi, należy, m.in.: 1) zapewnić bezpieczną lokalizację ośrodka zapasowego, biorąc pod uwagę ryzyka wewnętrzne i zewnętrzne, w tym związane z działaniem siły wyższej ośrodek zapasowy powinien być wystarczająco oddalony od podstawowej serwerowni, tak aby to samo zdarzenie nie spowodowało uszkodzenia lub zniszczenia zarówno serwerowni podstawowej, jak i ośrodka zapasowego; 2) zadbać o możliwość dojazdu pracowników do ośrodka zapasowego, w szczególności uwzględnić możliwość zorganizowania transportu; należy zadbać o możliwość wykonywania zadań przez pracowników w ośrodku zapasowym, a jeżeli jest to niezbędne, zapewnić podstawowe stanowiska pracy (biurka, krzesła); w ośrodku powinna być ponadto wydzielona strefa, w której będą pracować osoby odpowiedzialne za nadzór nad działaniami odtworzeniowymi i zarządzanie realizacją planów; 3) zapewnić możliwość dostępu pracowników instytucji do ośrodka zapasowego, jeżeli to konieczne (zwłaszcza gdy ośrodek zapasowy stanowi własność podmiotu zewnętrznego) ; 4) zapewnić zabezpieczenie fizyczne i środowiskowe ośrodka zapasowego zasady bezpieczeństwa w tym zakresie zostały opisane w podrozdz.14 w wymaganiach dla pomieszczeń, w których znajdują się krytyczne komponenty infrastruktury informatycznej; należy również zapewnić zdefiniowanie i wdrożenie procedur postępowania w razie wystąpienia incydentu związanego z naruszeniem bezpieczeństwa obiektu; 5) zapewnić podział ośrodka zapasowego na strefy, w tym punkty zborne personelu, strefy dostaw, pomieszczenia przeznaczone do testowania urządzeń i ich przygotowanie do podłączenia do infrastruktury zapasowej; 24
Proces zarządzania personelem CZŁOWIEK JEST NAJSŁABSZYM OGNIWEM MECHANIZMÓW ZABEZPIECZAJĄCYCH PRZETWARZANE INFORMACJE. -> Zasady bezpieczeństwa w procesie rekrutacji- weryfikacja kompetencji przyszłego pracownika. Zasady bezpieczeństwa takie same przy zawieraniu umów o pracę i cywilnoprawnych. Nadzór nad przestrzeganiem przez pracowników obowiązujących w instytucji zasad sprawuje kierownik komórki organizacyjnej. Dokumentacja zasad zarządzania bezpieczeństwem informacji ->Dokumenty wewnętrzne SZBI: Polityki Procedury Regulaminy To dokumenty określające podejście instytucji do realizacji działań w określonym obszarze zarządzania bezpieczeństwem informacji. Opisano tu ogólne zasady zarządzania dostępem do informacji, które muszą być w organizacji przestrzegane. Zawarte tu są zasady postępowania, określone krok po kroku. Określone odpowiedzialności za wykonanie poszczególnych zadań, zasoby niezbędne do ich wykonania, sposób dokumentowania czynności Określają czynności, które muszą być wykonywane oraz czynności, których wykonywanie jest zabronione Wyznaczają minimalne wymagania techniczne, które muszą być spełnione przez wdrażane w instytucji rozwiązania. Określone tu zasady powinny być uwzględniane przy wprowadzaniu zmian w infrastrukturze informatycznej Standardy instytucji oraz nowych rozwiązań technologicznych Dokumentacja zasad zarządzania bezpieczeństwem informacji ->Dokumenty zewnętrzne SZBI regulują zasady zarządzania bezpieczeństwem informacji. W ramach systemu zarządzania bezpieczeństwem informacji należy zapewnić, aby dokumenty te były zidentyfikowane oraz dostępne dla osób upoważnionych. Aktualność tych dokumentów powinna być nadzorowane, a w miarę potrzeb należy zapewnić pozyskanie aktualnej wersji (w razie zdezaktualizowania wersji posiadanej przez instytucję). Przykładami dokumentów zewnętrznych regulujących zasady zarządzania bezpieczeństwem informatycznym są m.in.: - ustawy i rozporządzenia, - dokumenty publikowane przez Ministerstwo Administracji i Cyfryzacji w związku z informatyzacją podmiotów realizujących zadania publiczne - wytyczne Ministerstwa Finansów w zakresie prowadzenia audytu bezpieczeństwa informacji przez komórkę audytu wewnętrznego. Weryfikacja systemu zarządzania bezpieczeństwem informacji obejmuje sprawdzenie, czy zasady wynikające z wdrożenia systemu są przestrzegane oraz czy są one dostosowane do specyfiki funkcjonowania organizacji. Audyt wewnętrzny-przeprowadzany co najmniej raz w roku. Przegląd zarządzania prowadzony przez kierownictwo instytucji, powinien bazować na wszelkich informacjach pozwalających na przeprowadzenie oceny dostosowania systemu do wymagań instytucji, obejmujących m.in. Wyniki audytów, działania korygujące i informacje o ich realizacji. 25
Wymagania w zakresie struktur danych i wymiany danych w Krajowych Ramach Interoperacyjności Formaty danych stosowane w systemach informatycznych Wymagania w zakresie struktur danych i wymiany danych w Krajowych Ramach Interoperacyjności Standardy wymiany i szyfrowania danych Mechanizmy wymiany i szyfrowania danych w systemach informatycznych muszą spełniać wymagania określone w polskich normach i standardach UE Jeżeli nie to: w standardach RFC. Implementacja standardowych protokołów wymiany danych musi być zgodna z RFC Wdrażając nowe systemy informatyczne lub modyfikując już istniejące, warto w wymaganiach dla systemu wskazać, że komunikacja ma się odbywać na podstawie standardowych protokołów komunikacyjnych zgodnych z RFC. Wymagania w zakresie struktur danych i wymiany danych w Krajowych Ramach Interoperacyjności Usługa sieciowa -> Udostępnianie: komunikacja ma się odbywać z wykorzystaniem mechanizmu usługowego web service (termin tłumaczony jako,,usługa internetowa ). Wykorzystuje on protokół SOAP (ang. Simple Object Access Protocol) do wymiany informacji. Transfer danych odbywa się najczęściej przy użyciu protokołu http. Ze względu na wymagania w zakresie ochrony poufności i integralności danych często stosuje się szyfrowanie transmisji danych. Wymagania w zakresie struktur danych i wymiany danych w Krajowych Ramach Interoperacyjności Dane w rejestrach publicznych W szczególnych przypadkach identyfikacja osób fizycznych i podmiotów odbywa się na podstawie innej cechy informacyjnej właściwej dla prowadzonego rejestru, która podlega zgłoszeniu do repozytorium interoperacyjności. Struktura XML zawiera w szczególności nazwy poszczególnych pól danych i zakresy ich wartości. -> Opis : przy użyciu standardu WSDL (Web Sevices Description Language )! Opis usługi w formacie WSDL podlega publikacji w repozytorium interoperacyjności Podmiot otrzymujący z rejestru publicznego informacje w drodze wymiany jest zobowiązany do ochrony tych informacji na poziomie nie niższym niż ten, który zastosowano w rejestrze, z którego informacje pochodzą. 26
Zarządzanie ryzykiem informatycznym w Krajowych Ramach Interoperacyjności Ryzyko potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji. Ryzyko mierzone jest jako kombinacja prawdopodobieństwa zdarzenia i jego następstw [2] Zarządzanie ryzykiem informatycznym w Krajowych Ramach Interoperacyjności Obowiązek wdrożenia procesu zarządzania ryzykiem informatycznym Wdrożenie Proces zarządzania ryzykiem realizowany zgodnie z zapisami PN- ISO/IEC 27005 procesu zarządzania ryzykiem informatycznym Realizacja procesu zarządzania ryzykiem informatycznym Zarządzanie ryzykiem informatycznym w Krajowych Ramach Interoperacyjności Identyfikacja i szacowanie ryzyka -> Identyfikacja aktywów informacyjnych Zarządzanie ryzykiem informatycznym w Krajowych Ramach Interoperacyjności Identyfikacja i szacowanie ryzyka ->Identyfikacja aktywów informacyjnych Optymalizacja w zakresie inwentaryzacji aktywów i zagrożeń agregacja czyli najpierw tworzymy szczegółowy katalog aktywów informacyjnych, następnie łączymy zbliżone aktywa w grupy, biorąc pod uwagę analizowane scenariusze. Częstotliwość występowania konsekwencji- trzy czynniki: 1. Występowanie zdarzeń, które mogą spowodować naruszenie bezpieczeństwa 2. Występowanie słabości, które przyczynią się do występowania strat w razie wystąpienia zagrożenia 3. Wdrożenia zabezpieczeń 27
Zarządzanie ryzykiem informatycznym w Krajowych Ramach Interoperacyjności Postępowanie z ryzykiem Udokumentowane Stanowi merytoryczne uzasadnienie wdrożenia środków zabezpieczających przetwarzane informacje w nim działania określające sposób postępowania z ryzykiem Zawiera zestawienie wszystkich zidentyfikowanych i oszacowanych ryzyk Zarządzanie ryzykiem informatycznym w Krajowych Ramach Interoperacyjności Monitorowanie poziomu ryzyka obejmuje trzy podstawowe elementy: - Przeprowadzenie okresowych analiz ryzyka - Przeprowadzenie analiz ryzyka w przypadku wystąpienia sytuacji wskazujących na możliwość zmiany poziomu ryzyka - Bieżące monitorowanie wskaźników, na podstawie których można zidentyfikować wahania w poziomie ryzyka, w szczególności jego wzrost Wymaga akceptacji finansowej oraz powinien być przeanalizowany i zatwierdzony przez kierownictwo Stanowi podstawę do rozliczenia realizacji prac związanych z wdrożeniem działań zapobiegawczych Powinny znaleźć się tu koszty związane z jego realizacją oraz konsekwencje wdrożenia działań zapobiegawczych Zarządzanie ryzykiem informatycznym w Krajowych Ramach Interoperacyjności Odpowiedzialność za realizację zarządzania ryzykiem Przedstawiciele kadry kierowniczej instytucji Koordynator procesu Kierownicy komórek organizacyjnych Specjaliści w zakresie różnych obszarów bezpieczeństwa Osoby odpowiedzialne za określenie powiązań pomiędzy aktywami Zarządzanie ryzykiem informatycznym w Krajowych Ramach Interoperacyjności Komunikacja W proces zarządzania ryzykiem zaangażowane są osoby o różnym zakresie wiedzy i różnych kompetencjach, w szczególności w zakresie oceny zagrożeń i stosowanych zabezpieczeń. Konieczne jest więc dostosowanie szczegółowości i przejrzystości wytwarzanych dokumentów (w tym wszelkich raportów) do ich odbiorców. Być może konieczne będzie opracowanie streszczeń i podsumowań opracowań zawierających informacje techniczne w taki sposób, aby były one zrozumiałe dla osób niebędących specjalistami W danym obszarze technologii. Jest to szczególnie ważne, jeżeli odbiorca dokumentu ma na jego podstawie podjąć decyzję, w szczególności zaś zaakceptować wydatki niezbędne do wdrożenia zabezpieczeń. 28
Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Katalog usług i zarządzanie cyklem życia usług -> Katalog usług zawiera: - wykaz usług dostępnych dla użytkowników, - cel, dla którego usług została wdrożona, - wymagania dotyczące świadczenia przez usługodawcę danej usługi, - narzędzia niezbędne do korzystania z danej usługi, - dane osób opiekujących się usługą po stronie usługodawcy i po stronie usługobiorcy Katalog usług to narzędzie wykorzystywane przez usługodawcę w celu określenia sposobu świadczenia usług i uniemożliwiającym efektywne zarządzanie. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Katalog usług i zarządzanie cyklem życia usług -> Zarządzanie cyklem życia usług trzy fazy wprowadzania usługi: 1) Planowanie 2) Projektowanie 3) Przekazywanie usług Określenie wymagań w zakresie sprzętu i oprogramowania oraz architektury rozwiązania wykorzystywanego do jej świadczenia. Usługa może być świadczona w oparciu o istniejącą infrastrukturę Nowy system informatyczny może wymagać wsparcia podmiotów zewnętrznych Określenie kosztów wdrożenia i świadczenia usługi. Wdrożenie nowej usługi jako projekt jest w praktyce zadaniem dość złożonym. Elementem zarządzania projektem jest zarządzanie ryzykiem projektowym Wdrożona i dostarczana usługa może podlegać zmianom wynikającym z przyczyn wewnętrznych, technologicznych i zewnętrznych. Wycofanie usługi ma miejsce, gdy świadczenie jej nie jest dłużej potrzebne w instytucji Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Monitorowanie świadczenia usług -> Świadczenie usług udostępnianych na zewnątrz instytucji nazwanemu odbiorcy może być przedmiotem umowy SLA między instytucją a jej odbiorcą. Sytuacja ma miejsce wówczas, gdy instytucja administruje systemami informatycznymi użytkowanymi przez podmioty zewnętrzne. ->W ramach zarządzania usługami przeprowadzane są okresowe przeglądy pod kątem dotrzymania warunków określonych w SLA. W tym celu należy wprowadzić system pomiaru świadczenia usługi. Sposób pomiaru, częstotliwość i sposób dokumentowania jest z reguły specyficzny dla danej usługi i powinien stanowić element uzgodnionych warunków SLA. -> Usługodawca powinien również monitorować trendy związane z jakością świadczenia usługi. Pozwala to na podjęcie działań korygujących, jeżeli istnieje zagrożenie niedotrzymania warunków SLA lub gdy analiza trendów generuje sygnały, że usługa nie jest dostosowana do wymagań instytucji. -> Usługodawca powinien przeprowadzać okresową analizę zadowolenia użytkowników z dostarczanych im usług. -> Usługodawca powinien określić zasady składania reklamacji, wskazując również, kto jest upoważniony do jej złożenia. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Świadczenie usługi przez usługodawcę -> Budżetowanie i rozliczanie kosztów usług Proces rozliczania kosztów usług wiąże się z zarządzaniem licencjami. Optymalizacja modelu licencjonowania, nadzorowania wykorzystania licencji oraz utylizacja nieprzypisanych licencji mogą mieć znaczący wpływ na redukcję kosztów związanych ze świadczeniem usługi. -> Współpraca z dostawcami zewnętrznymi powinna być sformalizowana poprzez zawarcie umów, nadzór, monitorowanie jakości a także przez podejmowanie działań mających na celu uniknięcie ryzyka. Należy wyznaczyć osobę do wzajemnych kontaktów. W instytucji powinna zostać wdrożona formalna procedura określającą zasady postępowania na wypadek sporów związanych z realizacją umowy. 29
Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Świadczenie usługi przez usługodawcę -> Zarządzanie pojemnością pozwala na: zidentyfikowanie wymagań wydajnościowych wynikających zarówno z bieżących, jaki z przyszłych potrzeb usługobiorcy. -> Proces zarządzania konfiguracją Baza CMDB stanowi repozytorium zawierające informacje o elementach konfiguracji, powiązaniach między nimi. Tutaj powinny być dokumentowane wszelkie zmiany dotyczące elementów konfiguracji. Należy wdrożyć działania zapewniające synchronizację utrzymania ewidencji środków trwałych i bazy CMDB Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Kontakt z użytkownikiem -> Procesy rozwiązywania w normie PN-ISO/IEC 20000-1:2014-01 Podstawowe procesy w tym zakresie: zarządzanie incydentami i wnioskami o usługę oraz zarządzanie problemami. Terminy używane w zarządzaniu usługami: Proces ten zarządzania konfiguracją zapewniać powinien zarówno inwentaryzację i kontrolę aktywów pod kątem zarządzania usługami, jaki pod kątem bezpieczeństwa informacji przetwarzanych przy ich udziale. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Kontakt z użytkownikiem -> Zarządzanie incydentami Priorytet incydentu zależy od rodzaju zakłóceń w możliwości korzystania z usługi poczynając od jej całkowitej niedostępności, a kończąc na zakłóceniach wpływających na szybkość działania usługi lub dostępność niektórych jej niekrytycznych funkcjonalności. Rozwiązywanie poważnych incydentów ma absolutny priorytet, o bieżącym statusie prac informowane jest kierownictwo instytucji. Koncepcja wielu linii wsparcia pozwala na optymalizację obciążenia pracowników zadaniami związanymi z rozwiązywaniem incydentów, a w przypadku płatnego wsparcia zewnętrznego na optymalizację kosztów, ponieważ tylko te kwestie, których rozwiązanie nie jest znane w instytucji, są eskalowane do wsparcia zewnętrznego. Procedura rozwiązania incydentu powinna obejmować weryfikację. czy w bazie wiedzy istnieje już gotowe rozwiązanie. Sięganie do bazy wiedzy nie jest oczywiście konieczne. Jeżeli pracownik rozwiązujący incydent zna jego rozwiązanie. Jeżeli sposób rozwiązania incydentu nie jest znany, wówczas incydent klasyfikowany jest jako problem i polega rozwiązaniu w ramach procesu zarządzania problemami. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Wdrożenie systemu zarządzania usługami -> System zarządzania usługami a system zarządzania bezpieczeństwem informacji mają między sobą wiele wspólnych elementów. Należy określić formalnie zakres systemu Wdrażając system zarządzania bezpieczeństwem informacji i system zarządzania usługami należy wziąć pod uwagę ujednolicenie stosowanej terminologii. -> Procedura zarządzania dokumentami Należy dokumentować procesy, a także zwrócić uwagę na to, aby pracownicy instytucji odnotowywali w systemie informatycznym wspierającym zarządzanie usługami wymagane informacje. Procedura zarządzania zapisami może być wspólna dla różnych systemów zarzadzania, o ile uwzględniać będzie wymagania wynikające z zarządzania usługami. Z procedurą zarządzania dokumentami związane będą, procedury komunikacji pozwalające na efektywne informowanie zainteresowanych stron o udokumentowanych zasadach związanych z zarządzaniem usługami oraz ewentualnych zmianach wprowadzanych w ich treści. 30
Zarządzanie usługami realizowanymi przez systemy teleinformatyczne Doskonalenie systemu zarządzania usługami wynika z: - przeglądów wbudowanych w realizację procesów, - audytów wewnętrznych, - przeglądów zarządzania. Plan zarządzania usługami określa koncepcję dostarczania usług w ramach systemu, poczynając od założeń w zakresie świadczenia usług, poprzez specyfikę wewnętrznej organizacji instytucji, aż po zagadnienia związane z oceną i optymalizacją systemu. W ramach optymalizacji systemu plan zarządzania usługami może ulegać zmianom. Wymagania WCAG 2.0 Obowiązek tworzenia stron internetowych dostępnych dla osób niepełnosprawnych Czym jest WCAG to zbiór dokumentów powstałych w ramach inicjatywy Web Accessibility Initiative (WAI), prowadzonej przez World Wide Web Consortium (W3C), zawierających zalecenia dotyczące tworzenia serwisów internetowych o wysokiej dostępności. W WCAG zawarto 4 grupy wytycznych: 1. Postrzegalność 2. Funkcjonalność 3. Zrozumiałość 4. Kompatybilność Proces zarządzania ryzykiem w ramach zarządzania usługamipowinien on umożliwić identyfikację zagrożeń dla prawidłowego zarządzania usługami, oszacowania ryzyk z nimi związanych oraz podjęcie decyzji co do postępowania z ryzykiem. Wymagania WCAG 2.0 How to Meet WCAG 2.0 - aktualna lista referencji WCAG 2.0. Understanding WCAG 2.0 poradnik ułatwiający zrozumienie i wdrożenie WCAG 2.0., Techniques for WCAG 2.0 opis technik oraz często Popełnianych błędów, The WCAG 2.0 Documents -opis dokumentów technicznych WCAG 2.0 i zależności pomiędzy nimi WCAG 2.0. -> nie tylko dla niewidomych mogą nie widzieć, nie słyszeć, nie poruszać się, lub nie być w stanie przetworzyć pewnych typów informacji w sposób prosty, jeżeli w ogóle są w stanie to zrobić, mogą mieć trudności z czytaniem i rozumieniem tekstu, mogą nie być w stanie używać klawiatury albo myszki, mogą mieć jedynie monitor tekstowy, lub mały, albo wolne połączenie internetowe, mogą nie mówić biegle lub nie rozumieć języka, w którym dany dokument został napisany, mogą być w sytuacji kiedy ich oczy, uszy, lub ręce są zajęte czymś innym (np.: prowadzeniem samochodu, pracując w groźnym środowisku, itp). mogą mieć starszą wersję przeglądarki, kompletnie inną przeglądarkę, przeglądarkę głosową, lub inny system operacyjny. Rys. Załącznik 4 KRI. Wymagania Web Content Accessibility Guidelines (WGAG 2.0) dla systemów teleinformatycznych w zakresie dostępności dla osób niepełnosprawnych 31
Wymagania WCAG 2.0 Wymagania w zakresie: Zrozumiałość, dotyczy zrozumiałości informacji oraz obsługi interfejsu użytkownika. Zasada wskazuje również na konieczność konsekwentnego stosowania zasad związanych z elementami nawigacyjnymi np. koloru czy pozycji linków. Wszelkie zmiany kontekstu pracy użytkownika np. znaczących zmian wyglądu strony pod wpływem jego działania są niedopuszczalne bez wcześniejszej informacji. Wymagania WCAG 2.0 Wymagania w zakresie: Kompatybilność ma na celu zapewnienie, że strona będzie poprawnie przetwarzana przez narzędzia wykorzystywane do zapoznania się z jej treścią, w szczególności przez narzędzia wspomagające. Oznacza to m.in., że kod strony tworzony jest poprawnie, każdy tag otwierający skojarzony jest z tagiem zamykającym, elementy strony są poprawnie zagnieżdżone, nie zawierają powtarzających się atrybutów, a ich identyfikatory są unikalne. 32