Krzysztof Świtała WPiA UKSW
Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526) 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w ust. 2. 4. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia. 2
Wcześniejszy stan prawny 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212 poz. 1766) 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji. 3
Przepisy KRI a normy 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4
Hierarchia norm związanych z SZBI 5
Terminy i definicje związane z SZBI wg normy ISO 27001 Bezpieczeństwo informacji Zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. System zarządzania bezpieczeństwem informacji (ang. Information Security Management System) Ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Deklaracja stosowania Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji. Analiza ryzyka Systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 6
Atrybuty bezpieczeństwa informacji Poufność (ISO 27001) Integralność (ISO 27001) Dostępność (ISO 27001) Autentyczność (KRI) Rozliczalność (KRI) Niezaprzeczalność (KRI) Niezawodność (PN-I-13335-1) właściwość, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom; właściwość zapewnienia dokładności i kompletności aktywów (zasobów); właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu; właściwość polegającą na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane; właściwość systemu pozwalającą przypisać określone działanie w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. brak możliwości zanegowania swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie; właściwość oznaczająca spójne, zamierzone zachowanie i skutki. 7
Atrybuty bezpieczeństwa informacji porównanie regulacji Atrybuty informacji Bezpieczeństwo informacji ISO 27001 Informacje niejawne Dane osobowe Tajemnica przedsiębiorstwa Poufność Tak Tak Tak Tak Tak Integralność Tak Tak Tak - - Dostępność Tak Tak - - - Autentyczność Tak - - - - Rozliczalność Tak Tak Tak - - Niezaprzeczalność Tak - - - - Niezawodność Tak - - - - Inne tajemnice Źródło: A. Guzik, SZBI receptą na bezpieczeństwo informacji, Hakin9 3/2010, s. 70-77 8
Cykl Deminga (ang. Plan-Do-Check- Act) stosowany w procesach SZBI Zainteresowane strony PLANUJ Ustanowienie SZBI Zainteresowane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji WYKONUJ Wdrożenie i eksploatacja SZBI DZIAŁAJ Utrzymanie i doskonalenie SZBI Zarządzanie bezpieczeństwem informacji SPRAWDZAJ Monitorowanie i przegląd SZBI Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 9
Cykl Deminga (ang. Plan-Do-Check- Act) stosowany w procesach SZBI Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji Wykonuj (wdrożenie i eksploatacja SZBI) Sprawdzaj (monitorowanie i przegląd SZBI) Działaj (utrzymanie i doskonalenie SZBI) Wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur. Szacowanie, i tam gdzie ma zastosowanie, pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu. Podejmowanie działań korygujących i zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 10
Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności chronią przed zwiększają zwiększają narażają Zabezpieczenia Ryzyka Zasoby realizowane przez analiza wskazuje zwiększają posiadają Wymagania w zakresie ochrony Wartości Źródło: PN-I-13335-1 11
Od kiedy podmiot publiczny będzie zobowiązany do wprowadzenia SZBI? 23. Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia. 12