Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Podobne dokumenty
Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Normalizacja dla bezpieczeństwa informacyjnego

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

ISO bezpieczeństwo informacji w organizacji

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Krzysztof Świtała WPiA UKSW

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PRELEGENT Przemek Frańczak Członek SIODO

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Bezpieczeństwo informacji. jak i co chronimy

Szkolenie otwarte 2016 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU

Szczegółowe informacje o kursach

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Kryteria oceny Systemu Kontroli Zarządczej

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Reforma ochrony danych osobowych RODO/GDPR

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

IV Ogólnopolska Konferencja Normalizacja w Szkole

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Marcin Soczko. Agenda

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Przedszkole Nr 30 - Śródmieście

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Usprawnienia zarządzania organizacjami (normy zarzadzania)

I. O P I S S Z K O L E N I A

Kontrola zarządcza w szkołach i placówkach oświatowych. Ewa Halska, Andrzej Jasiński, OSKKO

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Kwestionariusz samooceny kontroli zarządczej

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska

ISO nowy standard bezpieczeństwa. CryptoCon,

HARMONOGRAM SZKOLENIA

Standard ISO 9001:2015

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Społeczeństwo informacyjne Rola normalizacji. Jerzy Krawiec Warszawa,

Polityka kontroli zarządczej w Bibliotece Publicznej im. Jana Pawła II w Dzielnicy Rembertów m.st. Warszawy

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

REGULAMIN KONTROLI ZARZĄDCZEJ W ZESPOLE SZKÓŁ Nr 3 W PŁOŃSKU

Zbiór wytycznych do kontroli zarządczej w Akademii Pedagogiki Specjalnej im. Marii Grzegorzewskiej

Polityka Zarządzania Ryzykiem

SKZ System Kontroli Zarządczej

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

Certified IT Manager Training (CITM ) Dni: 3. Opis:

ISO 9001:2015 przegląd wymagań

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Uchwała wchodzi w życie z dniem uchwalenia.

Standardy kontroli zarządczej

PROCEDURA KONTROLI ZARZĄDZCZEJ. Szkoły Podstawowej w Ligocie Małej

SPRAWOZDANIE Z FUNKCJONOWANIA KONTROLI ZARZĄDCZEJ ZA ROK W Gimnazjum im. Ojca Ludwika Wrodarczyka w Radzionkowie

Maciej Byczkowski ENSI 2017 ENSI 2017

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

ZARZĄDZENIE Nr 58/2014 Starosty Bielskiego z dnia 23 grudnia 2014 r.

DZENIE NR 16/12 DYREKTORA MIEJSKIEGO O

Zapytanie ofertowe nr OR

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Transkrypt:

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole? Polski Komitet Normalizacyjny Dr Grażyna Ożarek I Specjalistyczna Konferencja Bezpieczeństwo Informacyjne w Szkole Warszawa, październik 2014

Informacja Jest odpowiedzią na pytanie skierowane do danych Zbiorem uporządkowanych danych wg określonego kryterium i poddanych interpretacji Cechy informacji Niepewność (ponieważ powstaje w wyniku interpretacji danych) i ograniczona w czasie trwałość (wiarygodność) 2

Dane Surowe fakty, liczby Brak uporządkowania Cechy danych Wiarygodność i pewność Każdej chwili mogą być weryfikowane pod względem poprawności i aktualizowane Pełnią rolę nośników przepływu informacji Szczególnym przypadkiem zorganizowanego zbioru danych jest baza danych np. osobowych, w której w sposób uporządkowany zgromadzone są dane mające podobną postać i dotyczące określonej tematyki 3

Prawne aspekty bezpieczeństwa informacyjnego w szkole USTAWA o ochronie danych osobowych USTAWA o finansach publicznych sprawie standardów kontroli zarządczej USTAWA o rachunkowości USTAWA o dostępie do informacji publicznej KOMUNIKAT Ministra Finansów w USTAWA o systemie informacji oświatowej ROZPORZĄDZENIE MEN w sprawie minimalnych wymagań technicznych dla sprzętu przeznaczonego do obsługi oprogramowania służącego prowadzeniu lokalnych baz danych SIO USTAWA o narodowym zasobie archiwalnym i archiwach USTAWA o prawie autorskim i prawach pokrewnych ROZPORZĄDZENIE Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych USTAWA - Kodeks karny Rozdział XXXIII kodeksu dotyczy przestępstw przeciwko ochronie informacji 4

Prawo nakazuje nam zrobienie czegoś ale zwykle nie wskazuje jak należy to zrobić Normy pokazują jak należy to zrobić! 5

Ogólny model bezpieczeństwa Z R Z RR P B P B RR Z Legenda: P podatność (luka) B zabezpieczenie R ryzyko RR ryzyko szczątkowe Z - zagrożenia B RR P ZASOBY informacyjne P B P R Z Z Źródło: PN-I-13335-1 6

Przed czym chronimy zasoby informacyjne? Atrybuty zasobów informacyjnych Poufność Poufność Integralność Dostępność Rozliczalność Bezpieczeństwo informacyjne - ochrona przed utratą Niezawodność Niezaprzeczalność Autentyczność 7

Zagrożenia Rozmyślne Podsłuch Modyfikacja Włamanie do systemu Złośliwy kod Kradzież Płynące z wnętrza organizacji Płynące z otoczenia Przypadkowe Pomyłki Skasowanie pliku Błędne skierowanie Uszkodzenia fizyczne 8

Kto? Skąd? i Jak? aw arie zasilania 20% w irusy 4% hakerzy 2% przyczyny zew nętrzne Wycieki danych w instytucjach rządowych vs sektory prywatne Instytucje rządowe 34% nieuczciw ość 10% niezadow olenie 9% Pomyłki 55% 66% Sektor prywatny Rys.1 Zdecydowana większość wszystkich problemów związanych z bezpieczeństwem informacyjnym pochodzi z wnętrza tej organizacji Rys.3 Poczta tradycyjna E-mail, fax Inne nośniki 3% 3% 5% Nieznane Internet 10% 12% Inne kanały 17% Urządzenia przenośne 50% Źródło Rys. 2 i Rys. 3: http://www.emodus.pl/tresc/50/21/25 Rys.2 9

Skąd czerpać wiedzę jak zorganizować skuteczny SZBI? Polskie Normy serii PN-ISO/IEC 27000 z zakresu zarządzania bezpieczeństwem informacji PN-ISO/IEC 27001 wymagania stawiane systemom zarządzania bezpieczeństwem informacji PN-ISO/IEC (19977) 27002 praktyczne zasady zarządzania bezpieczeństwem informacji Zawiera wzorcowy wykaz celów stosowania zabezpieczeń oraz wykaz 166 zabezpieczeń w 14 obszarach kontrolnych (bezpieczeństwa) PN-ISO/IEC 27005 Zarządzanie ryzykiem w bezpieczeństwie informacji Zawiera przykłady 43 typowych zagrożeń i 85 podatności w różnych obszarach bezpieczeństwa (sprzęt, oprogramowanie, sieć, personel, siedziba, organizacja) Okno korzyści szeroko otwarte 10

SZBI wg PN-ISO/IEC 27001 kompleksowo zapewnia bezpieczeństwo informacji poprzez ustanowienie 14 obszarów kontrolnych: 1. Polityki bezpieczeństwa informacyjnego 2. Organizacja bezpieczeństwa informacji 3. Bezpieczeństwo zasobów ludzkich 4. Zarządzanie aktywami 5. Kontrola dostępu 6. Kryptografia 7. Bezpieczeństwo fizyczne i środowiskowe 8. Bezpieczna eksploatacja 9. Bezpieczeństwo łączności 10. Pozyskiwanie, rozwój i utrzymywanie systemów 11. Relacje z dostawcami 12. Zarządzanie incydentami 13. Ciągłość działania 14. Zgodność z wymaganiami prawnymi i umownymi POLSKI KOMITET ] NORMALIZACYJNY 11

SZBI PN-ISO/IEC 27001 jest ufundowany na PDCA Doskonal Poprawianie, ulepszanie Kontekst organizacji Planuj Przywództwo Planowanie SZBI PN-ISO/IEC 27001 Ocena skuteczności Sprawdź Wykonaj Wspieranie Wdrażanie i eksploatacja 12

SZBI PN-ISO/IEC 27001 jest ufundowany na zarządzaniu ryzykiem Zarządzanie ryzykiem SZBI 13

Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności Zabezpieczenia Ryzyko Zasoby Wymagania bezpieczeństwa Wartość Źródło: opr. wł. na podst. PN-I-13335-1 14

Ustanowienie polityki SZBI, cele zakres Klasyfikacja informacji i inwentaryzacja aktywów Organizowanie SZBI wg PN-ISO/IEC 27001 Rozpoznanie kontekstu organizacji Ustalenie wartości aktywów i poziomów ochrony; analiza ryzyka Weryfikacja zastanych zabezpieczeń oraz opracowanie planu redukcji ryzyka Opracowywanie szczegółowej dokumentacji (procedury, instrukcje zasady) Podnoszenie poziomu świadomości pracowników Monitorowanie SZBI Doskonalenie SZBI

Ustanowienie polityki SZBI, cele i zakres Krok 1: Szkolenie dla kadry kierowniczej i grupy wdrażającej SZBI Poznanie wymagań PN-ISO/IEC 27001 oraz porad zawartych w innych normach z serii 27000 Ustalenie celu i zakresu SZBI Plan działań w zakresie budowy SZBI 16

Klasyfikacja informacji i inwentaryzacja aktywów Krok 2: Identyfikacja wszystkich danych i informacji przetwarzanych w szkole (w obszarze nauczania i administracji)oraz form ich występowania (w postaci elektronicznej, papierowej i innej) Inwentaryzacja urządzeń i miejsc przetwarzania 17

Rozpoznanie kontekstu organizacji Krok 3: Zbadanie kontekstu wewnętrznego i zewnętrznego szkoły Zewnętrzny: wymagania prawne, kulturowe, technicznotechnologiczne, ekonomiczne, etyczne, społeczne Wewnętrzny: wewnętrzne uregulowania, dostępne środki finansowe, kultura organizacyjna, poziom świadomości, poziom edukacyjny 18

Ustalenie wartości aktywów i poziomów ochrony, analiza ryzyka Krok 4: Ustalenie wartości zasobów informacyjnych Przydzielenie do odpowiednich grup ochrony (np. III, II, I poziomu ochrony) Analiza zagrożeń i podatności aktywów (na postawie listy znajdującej się w normie PN-ISO/IEC 27005) Analiza ryzyka Ranking ryzyka 19

Weryfikacja zastanych zabezpieczeń oraz opracowanie planu redukcji ryzyka Krok 5: Identyfikacja funkcjonujących zabezpieczeń na podstawie listy zabezpieczeń z normy PN-ISO/IEC 27001 (w obszarze fizycznym, informatycznym, osobowym i prawnym) Weryfikacja ryzyka po uwzględnieniu istniejących zabezpieczeń Plan redukcji ryzyka wg wybranej metody (np. działania inwestycyjne, organizacyjne i uświadamiające) Akceptacja ryzyka szczątkowego 20

Opracowywanie szczegółowej dokumentacji (procedury, instrukcje zasady) Krok 6: Opracowywanie dokumentów Polityka bezpieczeństwa informacyjnego Polityki szczegółowe np. polityka ochrony danych osobowych Procedury Instrukcje Plany ciągłości działania, Plany awaryjne Zasady Weryfikacja i zatwierdzanie dokumentów 21

Podnoszenie poziomu świadomości, nauczycieli pracowników i uczniów Krok 7: Opracowanie planu podnoszenia poziomu świadomości, w celu zbudowania kultury bezpieczeństwa informacyjnego w szkole Zapoznanie z obwiązującymi zasadami bezpieczeństwa Nauczycieli Pracowników administracji i obsługi Uczniów i ich rodziców 22

Monitorowanie SZBI Krok 8: Audyty wewnętrzne, weryfikacja wdrożonych zasad i zabezpieczeń Przeglądy kierownictwa, weryfikacja dotychczasowych celów bezpieczeństwa i wyznaczanie nowych Zgłaszanie incydentów i reakcja na incydenty 23

Doskonalenie SZBI Krok 9: Działania korygujące, identyfikacja zagrożeń i niezgodności w odniesieniu do wymagań normy, wewnętrznych zasad, incydentów oraz wyników audytu Aktualizacja dokumentacji Weryfikacja zabezpieczeń (obniżenie lub podwyższenie poziomu ochrony dla danej grupy informacji) na skutek np. zmian w przepisach prawa, pojawienia się nowych zagrożeń, wymagań ze strony interesariuszy 24

Korzyści Korzyści Skutecznie chronimy wszystkie zasoby informacyjne Solidnie wypełniamy wymagania prawne Właściwie reagujemy na ewentualne incydenty bezpieczeństwa Odpowiedzialnie wychowujemy do życia w społeczeństwie informacyjnym Postrzegani jesteśmy jako bezpieczna godna zaufania szkoła (placówka) 25

Czego możemy się spodziewać! Po co nam to? Nauczyciele Mało to mamy roboty! Ciekawe kiedy mamy uczyć! Przecież wiemy, że nie wolno paplać gdzie popadnie. Administracja i obsługa Pewnie to wszystko na nas spadnie! Przecież u nas jest bezpiecznie Znowu coś wymyślili! 26

Jest to normalne! Dlaczego? Nikt nie będzie sprzymierzeńcem czegoś, czego nie zrozumie a będzie zmuszony w tym aktywnie uczestniczyć! 27

Pokazać drugą stronę życia w społeczeństwie informacyjnym i Co zrobić? Zaangażować w budowę, wdrażanie i doskonalenie SZBI Opracować Zrozumiałą, dostępną i rozwiązującą problemy dokumentację Analizować ryzyko najprostszą metodą i włączyć do tego zadania wszystkich pracowników (a może i uczniów) 28

Podsumowanie A na koniec Z bezpieczeństwem informacyjnym jest jak z koszeniem trawy! Systematycznie! Nie za mocno! Czego nie możesz przyciąć, wyrwij! Źródło: Blueenergy, www.grupablue.pl 29

Dziękuję za uwagę Pytania? grazyna.ozarek@pkn.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres