AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Podobne dokumenty
AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Warszawa, 2 września 2013 r.

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Krzysztof Świtała WPiA UKSW

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zdrowe podejście do informacji

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Prezydent Miasta Lublin

Promotor: dr inż. Krzysztof Różanowski

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Szkolenie otwarte 2016 r.

Marcin Soczko. Agenda

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

PLAN AUDYTU NA ROK 2010

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Informację sporządzoną według poniższego wzoru należy przesłać do dnia 27 czerwca 2014 r. do godz na adres

Bezpieczeństwo informacji dylematy związane z realizacją obowiązku prowadzenia audytu wewnętrznego

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Bezpieczeństwo informacji. jak i co chronimy

Zarządzenie Nr Or.I Burmistrza Gogolina z dnia 11 stycznia 2016r.

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Regulamin audytu wewnętrznego

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji

ROZDZIAŁ I POSTANOWIENIA OGÓLNE

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

SPRAWOZDANIE Z WYKONANIA PLANU AUDYTU WEWNĘTRZNEGO ZA ROK Podstawowe informacje o komórce audytu wewnętrznego

Reforma ochrony danych osobowych RODO/GDPR

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Normalizacja dla bezpieczeństwa informacyjnego

Audyt funduszy strukturalnych

Audyt systemów informatycznych w świetle standardów ISACA

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

KARTA AUDYTU WEWNĘTRZNEGO

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

ZARZĄDZENIE Nr 26 / 2011 WÓJTA GMINY GROMNIK. z dnia 29 kwietnia 2011 roku

SZCZEGÓŁOWY HARMONOGRAM KURSU

Regulamin audytu wewnętrznego

Zarządzenie nr 155/2011 Burmistrza Ozimka z dnia 1 grudnia 2011 roku

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Kryteria oceny Systemu Kontroli Zarządczej

Szczegółowy opis przedmiotu zamówienia:

Zarządzanie bezpieczeństwem informacji w urzędach pracy

PRELEGENT Przemek Frańczak Członek SIODO

Zarządzanie relacjami z dostawcami

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

SPRAWOZDANIE Z WYKONANIA PLANU AUDYTU ZA ROK 2013

KARTA AUDYTU WEWNĘTRZNEGO

Nowy wzór sprawozdania ograniczył liczbę umieszczanych w nim informacji.

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Karta Audytu Wewnętrznego

Rodzaje audytu. Artur Sierszeń

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

KARTA AUDYTU WEWNĘTRZNEGO

oceny kontroli zarządczej

SZKOLENIA POLSKIEGO INSTYTUTU KONTROLI WEWNĘTRZNEJ w roku 2019

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Załącznik Nr 1 do SIWZ Załącznik nr 3 do Umowy Szczegółowy Opis Przedmiotu Zamówienia

Szczegółowe informacje o kursach

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

NOSEK ( Narzędzie Oceny Systemu Efektywnej Kontroli ) Sporządzili: Bożena Grabowska Bogdan Rajek Anna Tkaczyk Urząd Miasta Częstochowy

Robert Meller, Nowoczesny audyt wewnętrzny

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

Karta audytu Uniwersytetu Śląskiego w Katowicach

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

NAZWA SZKOLENIA: SZKOLENIE PRZYGOTOWUJĄCE DO EGZAMINU SPECJALISTYCZNEGO CGAP (Certified Government Auditing Professional)

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Kompleksowe Przygotowanie do Egzaminu CISMP

udokumentowanych poprzez publikacje naukowe lub raporty, z zakresu baz danych

Zapytanie ofertowe nr OR

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Karta Audytu Wewnętrznego. w Urzędzie Miejskim w Wyszkowie. i jednostkach organizacyjnych

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Transkrypt:

AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagańdla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. W 20ust.2pkt14tego rozporządzenia wskazano obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niżraz na rok. Stanowisko Ministerstwa Finansów - Komunikat Departamentu Audytu Sektora Finansów Publicznych Ministerstwa Finansów :? w tak ukształtowanym stanie prawnym audytor wewnętrzny/ usługodawca niezaleŝnie od wyników analizy ryzyka powinien corocznie objąć audytem wewnętrznym powyŝszy obszar, chyba Ŝe zostaną spełnione warunki określone w 20 ust. 3 ww. rozporządzenia. JeŜeli realizacja zadania audytowego we wskazanym obszarze będzie konieczna ze względu na niespełnienie rzeczonych warunków, wówczas zadanie to jako obligatoryjne naleŝy ująć w rocznym planie audytu.

Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji (25 kwietnia 2013 r.) 1. Intencją projektodawcy było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. 2. Ustawa o informatyzacji działalności podmiotów realizujących zadania publicznenienie określa sposobu, trybu, rodzaju audytu, ani teżosób czy komórek organizacyjnych, którym należałoby powierzyć prowadzenie ww. audytu. 3. Decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu. 4. Nie należy automatycznie przypisywaćzadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego 5. Użycie w rozporządzeniu sformułowania audyt wewnętrzny nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym w JSFP na mocy ustawy o finansach publicznych.

Jakie mamy pole manewru aby wypełnić obowiązek zawarty w rozporządzeniu w sprawie KRI? WARIANT 1 Jednostka musi wdrożyći utrzymaćsystem zarządzania bezpieczeństwem informacji, który zostałopracowany na podstawiepolskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie norm: 1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. + norma ISO 27006 - wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji + norma ISO 22301 -bezpieczeństwo informacji i ciągłośćdziałania + norma ISO 20000 - zarządzanie usługami IT WARIANT 2 W jednostce musi byćzapewniony okresowy audytu wewnętrznyw zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Działania w wariancie 1 systemowe 1) Certyfikacja w zakresie spełniania wymagań normy PN-ISO/IEC 27001. 2) Zakup i wdrożenie norm we własnym zakresie. Włączenie bezpieczeństwa informacji do własnego systemu kontroli zarządczej ustanowionego w jednostce (bez kosztownej certyfikacji). Należy pamiętać, że w obu przypadkach mamy do czynienia PROCESEM! Cykl -począwszy od ustalenia, wdrożenia,monitorowania, a skończywszy na ulepszeniu systemu bezpieczeństwa informacji. Działania w wariancie 2 doraźne Audyt sytemu bezpieczeństwa informacji może byćprzeprowadzony w dwóch wariantach: 1) sprawdzenie spełnienia wymagań zawartych w 20 ust. 2* rozporządzenia 2) sprawdzenie zgodności z normą PN-ISO/IEC 27001. *Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analiząryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.

Kto powinien przeprowadzać audyty bezpieczeństwa informacji? Punktem wyjścia sązasady odnoszące siędo każdego audytu (wynikające obowiązujących w naszym kraju przepisów i przyjętych standardów audytu wewnętrznego): audytorzy nie powinni audytować swojej pracy, musi być zapewniona obiektywność i bezstronność, audyt przeprowadzany jest na podstawie analizy ryzyka, za wdrożenie zaleceń odpowiada kierownictwo, powinny zostać podjęte działania poaudytowe(czynności sprawdzające). 1. Badanie audytowe może być wykonane przez: - audyt wewnętrzny - odpowiednio przygotowanych własnych pracowników - podmiot zewnętrzny w ramach outsourcingu tej usługi. 2. Kryteriami, jakimi należy siękierowaćprzy wyborze osób / podmiotów prowadzących audyt w zakresie bezpieczeństwa informacji są: odpowiednie kwalifikacje, doświadczenie, znajomośćmetodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego.

(sugestia) Patrz: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych 1. Audytor systemu zarządzania bezpieczeństwem informacji według normy PN ISO/IEC 27001 lub jej odpowiednika międzynarodowego. 2. Audytor systemu zarządzania usługami informatycznymi według normy PN ISO/IEC 20000 lub jej odpowiednika międzynarodowego. 3. Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001 lub jej odpowiednika międzynarodowego. 4. Certified Information System Auditor (CISA). 5. Certified in the Governance of Enterprise IT (CGEIT). 6. Certified Internal Auditor (CIA). 7. Certified Information Systems Security Professional (CISSP). 8. Europejski Certyfikat Umiejętności Zawodowych Informatyka - EUCIP Professional specjalizacja Audytor Systemów Informacyjnych. 9. Systems Security Certified Practitioner (SSCP) Rozporządzenie KRI odnosi się wprost do norm ISO, więc jeśli funkcjonuje w jednostce audyt jakości, audyt bezpieczeństwa informacji mogą realizować audytorzy z tzw. listy audytorów wewnętrznych systemu zarządzania jakością ISO wg normy PN-EN ISO 9001

Audyt bezpieczeństwa informacji wymaga specyficznej wiedzy m.in. dlatego, że większość informacji przetwarzana jest w systemach informatycznych. Audytorzy bez specjalistycznych umiejętności i uprawnień mogą jednak z powodzeniem oceniać m.in.: wykonywanie okresowych analizy ryzyka w zakresie bezpieczeństwa informacji, zapewnienie aktualizacji regulacji wewnętrznych, utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania, posiadanie, adekwatność i aktualności uprawnień w systemach, szkolenia osób zaangażowanych w proces przetwarzania informacji. czyli bardzo istotne elementy składowe SYSTEMU bezpieczeństwa informacji.

Czym jest bezpieczeństwo informacji? System zarządzania bezpieczeństwem informacji powinien zapewniać: Poufność informacji (tylko osoby uprawnione mogą mieć dostęp do danej informacji); Dostępność informacji (informacja powinna być cały czas dostępna dla osób uprawnionych); Integralność informacji (informacje nie mogą zostać zmienione w sposób nieuprawniony, informacja ma być zgodna oczekiwaniami i kompletna). Punktem wyjścia jest polityka bezpieczeństwa informacji (PBI) -zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania.

Propozycja struktury dokumentów PBI: Dobra polityka bezpieczeństwa informacji to polityka, którą rozumiemy.

Punkt wyjścia PBI / zarządzania bezpieczeństwem Zapewnienie racjonalnego bezpieczeństwa informacji. INWENTARYZACJA - Co posiadamy? zasoby/zbiory informacji zasoby sprzętowe i programowe służące przetwarzaniu informacji. KLASYFIKACJA - Dlaczego powinniśmy to chronić? zasoby wrażliwe zasoby kluczowe zasoby wspomagające zasoby neutralne ANALIZA RYZYKA 1. Zagrożenia 2. Podatności Ryzyka Skutki Środki zapobiegawcze

W systemach informacyjnych (także informatycznych) kluczowe znaczenie ma określenie WŁAŚCICIELA zasobu : Właściciel informacji: Role i odpowiedzialności decydujący o przetwarzaniu informacji zawartej w systemie, decydujący o nadawaniu uprawnień do zasobu informacyjnego, dla którego informacja (jej przetwarzanie) stanowi podstawęfunkcjonowania. Zgodnie z normąpn-iso/iec 17799 właściciel, w postaci wydzielonej części organizacji, jest odpowiedzialny za codzienną ochronę zasobu informacyjnego. Właścicielem nie jest administrator systemu informatycznego. W większości przypadków nie jest nim także komórka IT.

Dziękuj kujęza uwagę piotr.wojczys@gdansk.gda.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres