Krzysztof Świtała WPiA UKSW



Podobne dokumenty
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Bezpieczeństwo informacji. jak i co chronimy

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Normalizacja dla bezpieczeństwa informacyjnego

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zdrowe podejście do informacji

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

PRELEGENT Przemek Frańczak Członek SIODO

ZARZĄDZENIE Starosty Bielskiego

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

ZARZĄDZENIE Nr 58/2014 Starosty Bielskiego z dnia 23 grudnia 2014 r.

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Marcin Soczko. Agenda

Wymogi norm ISO seria Dr Piotr Dzwonkowski CISA, CISM, CRISC

Imed El Fray Włodzimierz Chocianowicz

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

ZARZĄDZENIE Nr 22/2018 Starosty Bielskiego z dnia 24 maja 2018 r.

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

ISO bezpieczeństwo informacji w organizacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Szkolenie otwarte 2016 r.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

Społeczeństwo informacyjne Rola normalizacji. Jerzy Krawiec Warszawa,

HARMONOGRAM SZKOLENIA

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ZARZĄDZENIE Starosty Bielskiego

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Krajowe Ramy Interoperacyjności obowiązkowe wyzwanie dla JST w

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU MARSZAŁKOWSKIEGO WOJEWÓDZTWA POMORSKIEGO DOKUMENT GŁÓWNY

Warszawa, 2 września 2013 r.

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Program Kontroli Jakości Bezpieczeństwa Informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Standard ISO 9001:2015

SZCZEGÓŁOWY HARMONOGRAM KURSU

ISO 9001:2015 przegląd wymagań

Ministerstwo Cyfryzacji

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Warszawa, dnia 6 października 2016 r. Poz. 1626

Kompleksowe Przygotowanie do Egzaminu CISMP

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

KONIECZNOŚĆ I OBOWIĄZEK WDROŻENIA POLITYKI BEZPIECZEŃSTWA INFORMACJI W SYSTEMACH ITS

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

I. O P I S S Z K O L E N I A

Bezpieczeństwo teleinformatyczne danych osobowych

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Maciej Byczkowski ENSI 2017 ENSI 2017

Opis Przedmiotu Zamówienia

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r.

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

ISO w Banku Spółdzielczym - od decyzji do realizacji

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Zarządzanie ryzykiem w bezpieczeostwie IT

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Jakość. danych w systemach informatycznych adów w ubezpieczeń 25.III Aspekty normalizacyjne zarządzania incydentami bezpieczeństwa w.

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

SYSTEMY ZARZĄDZANIA JAKOŚCIĄ WEDŁUG

Zarządzanie Jakością. System jakości jako narzędzie zarządzania przedsiębiorstwem. Dr Mariusz Maciejczak

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

Transkrypt:

Krzysztof Świtała WPiA UKSW

Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526) 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w ust. 2. 4. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia. 2

Wcześniejszy stan prawny 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212 poz. 1766) 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji. 3

Przepisy KRI a normy 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4

Hierarchia norm związanych z SZBI 5

Terminy i definicje związane z SZBI wg normy ISO 27001 Bezpieczeństwo informacji Zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. System zarządzania bezpieczeństwem informacji (ang. Information Security Management System) Ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Deklaracja stosowania Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji. Analiza ryzyka Systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 6

Atrybuty bezpieczeństwa informacji Poufność (ISO 27001) Integralność (ISO 27001) Dostępność (ISO 27001) Autentyczność (KRI) Rozliczalność (KRI) Niezaprzeczalność (KRI) Niezawodność (PN-I-13335-1) właściwość, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom; właściwość zapewnienia dokładności i kompletności aktywów (zasobów); właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu; właściwość polegającą na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane; właściwość systemu pozwalającą przypisać określone działanie w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. brak możliwości zanegowania swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie; właściwość oznaczająca spójne, zamierzone zachowanie i skutki. 7

Atrybuty bezpieczeństwa informacji porównanie regulacji Atrybuty informacji Bezpieczeństwo informacji ISO 27001 Informacje niejawne Dane osobowe Tajemnica przedsiębiorstwa Poufność Tak Tak Tak Tak Tak Integralność Tak Tak Tak - - Dostępność Tak Tak - - - Autentyczność Tak - - - - Rozliczalność Tak Tak Tak - - Niezaprzeczalność Tak - - - - Niezawodność Tak - - - - Inne tajemnice Źródło: A. Guzik, SZBI receptą na bezpieczeństwo informacji, Hakin9 3/2010, s. 70-77 8

Cykl Deminga (ang. Plan-Do-Check- Act) stosowany w procesach SZBI Zainteresowane strony PLANUJ Ustanowienie SZBI Zainteresowane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji WYKONUJ Wdrożenie i eksploatacja SZBI DZIAŁAJ Utrzymanie i doskonalenie SZBI Zarządzanie bezpieczeństwem informacji SPRAWDZAJ Monitorowanie i przegląd SZBI Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 9

Cykl Deminga (ang. Plan-Do-Check- Act) stosowany w procesach SZBI Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji Wykonuj (wdrożenie i eksploatacja SZBI) Sprawdzaj (monitorowanie i przegląd SZBI) Działaj (utrzymanie i doskonalenie SZBI) Wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur. Szacowanie, i tam gdzie ma zastosowanie, pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu. Podejmowanie działań korygujących i zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 10

Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności chronią przed zwiększają zwiększają narażają Zabezpieczenia Ryzyka Zasoby realizowane przez analiza wskazuje zwiększają posiadają Wymagania w zakresie ochrony Wartości Źródło: PN-I-13335-1 11

Od kiedy podmiot publiczny będzie zobowiązany do wprowadzenia SZBI? 23. Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia. 12