Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych Przewodnicząca Rady Sektorowej Technik Informacyjnych i Komunikacji Przy Polskim Komitecie Normalizacyjnym Ekspert normalizacyjny ISO Ryzyko? Jaka jest wartość przetwarzania danych w administracji publicznej, Seminarium Polskiej Izby Informatyki i Telekomunikacji, 08 maja 2013 1

Plan prezentacji Powołania Polskich Norm w Rozporządzeniu Dynamika zmian normy się zmieniają szybciej niż akty prawne Zakres zarządzania ryzykiem w normach PN- ISO/IEC 27001:2005 oraz PN-ISO/IEC 20000-1:2007 Trudności zintegrowanego podejścia do zarządzania ryzykiem norma ISO/IEC 27013:2011(Polska Norma w opracowaniu) Trudności wdrożenia zarządzania ryzykiem w e- administracji 2

3

Polskie Normy powołane w Rozporządzeniu ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. RP z 16 maja 2012 poz. 526) Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 15. 1. Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk. 2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury. 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm: PN-ISO/IEC 20000-1 i PN- ISO/IEC 20000-2. 4

Polskie Normy powołane w Rozporządzeniu (2) ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. RP z 16 maja 2012 poz. 526) Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: (14 wymagań z wieloma podpunktami) 5

Polskie Normy powołane w Rozporządzeniu (3) ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. RP z 16 maja 2012 poz. 526) Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 6

Aktualność Polskich Norm 7

W normach ISO obowiązuje nowa definicja ryzyka PN-ISO 31000:2012 Zarządzanie ryzykiem -- Zasady i wytyczne ryzyko wpływ niepewności na cele UWAGA 1 Wpływ niepewności powoduje odchylenie od oczekiwań - pozytywne i/lub negatywne. UWAGA 2 Cele mogą dotyczyć różnych aspektów (takich jak np. finansowe, zdrowia i bezpieczeństwa, środowiskowe) oraz mogą być stosowane na różnych szczeblach (takich jak np. strategicznym, dotyczącym całej organizacji, projektu, wyrobu bądź też procesu). UWAGA 3 Ryzyko jest często określane w odniesieniu do potencjalnych zdarzeń i następstw lub ich kombinacji. UWAGA 4 Ryzyko jest często wyrażone jako kombinacja następstwa zdarzenia (z uwzględnieniem zmian okoliczności) i związanego z nim prawdopodobieństwa jego wystąpienia. UWAGA 5 Niepewność to stan, również częściowy, braku informacji związanej ze zrozumieniem lub wiedzą na temat zdarzenia, jego następstw lub prawdopodobieństwa. 8

W normach ISO obowiązuje nowa definicja ryzyka (2) Nowa definicja została już uwzględniona w ISO/IEC 27005:2011 oraz ISO/IEC 20000-1:2011 ryzyko wpływ niepewności na cele <PrPN ISO/IEC 27005> Definicja z ISO/IEC 31000 PLUS UWAGA 6: Ryzyko w bezpieczeństwie informacji jest związane z potencjalną sytuacją, w której zagrożenia wykorzystują podatności aktywów, mogąc spowodować szkodę dla organizacji <ISO/IEC 20000-1:2011> Definicja z ISO 31000 MINUS UWAGA 5 9

Trudności wdrażania zintegrowanego systemu zarządzania w kontekście zarządzania ryzykiem Na poziomie modelu systemu zarządzania (PDCA) Na poziomie przedmiotu systemu zarządzania: Ryzyko w odniesieniu do świadczonych usług Ryzyko w odniesieniu do bezpieczeństwa informacji Polska Norma ISO/IEC 27013 Wytyczne do zintegrowanego wdrożenia ISO/IEC 27001 oraz ISO/IEC 20000-1 jest w przygotowaniu. Przewidywany termin publikacji koniec 2013r. 10

Zarządzanie ryzykiem w normie ISO/IEC 20000-1 Ustalenie celów m.in. dla ograniczania ryzyka Wybór podejścia do szacowania ryzyka oraz kryteriów akceptowania ryzyka PLAN ACT DO CHECK Przegląd ryzyk Identyfikacja, ocena oraz zarządzanie ryzykiem związanym z usługami

Zarządzanie ryzykiem w normie ISO/IEC 20000-1:2011 12

Zarządzanie ryzykiem w normie ISO/IEC 27001 Szacowanie ryzyk Wybór wariantów postępowania z ryzykiem Doskonalenie procesu zarządzania ryzykiem Wybór zabezpieczeń PLAN ACT DO Szacowanie ryzyka dla zmian CHECK Wdrożenie planu postępowania z ryzykiem Ryzyko uwzględniane w każdym obszarze zarządzania bezpieczeństwem informacji

Trudności zintegrowanego wdrożenia podejście do zarządzania ryzykiem Odniesienie do świadczonych usług Odniesienie do bezpieczeństwa informacji - utrata poufności, dostępności, integralności informacji Źródło: RiskIT Framework, ISACA 2009 Źródło: PN-ISO/IEC 27005:2010 14

Wdrożenie zarządzania ryzykiem - wymaganie szczególnie trudne do wdrożenia w administracji publicznej Zgodnie z PN-ISO/IEC 27001, pkt. 4.2.1 należy: c) 2) Opracować kryteria akceptacji ryzyka i określić akceptowalne poziomy ryzyk e)1) Oszacować szkody i straty biznesowe w organizacji, które mogą wyniknąć z naruszenia bezpieczeństwa, biorąc pod uwagę potencjalne konsekwencje utraty poufności, integralności i dostępności aktywów. Różne perspektywy postrzegania ryzyka

System e-administracji musi uwzględniać różne perspektywy perspektywa urzędu Konsekwencje materialne dla: Utraty poufności Zwykle nie występują Nie ma efektu utraty konkurencyjności Utraty dostępności lub integralności Wartość ryzyka = [prawdopodobieństwo zdarzenia[ x [jego konsekwencje] Ograniczone (najwyżej aplikacja e-administracji nie będzie działała jakiś czas.) Chyba, że. masowy DDoS? Konsekwencje prawne dla: Utraty poufności Wynikające z przepisów prawa dot. ochrony danych osobowych Utrata wizerunku: Jedynie o charakterze politycznym?

System e-administracji musi uwzględniać różne perspektywy perspektywa obywatela/ przedsiębiorcy Wartość ryzyka = [prawdopodobieństwo zdarzenia[ x [jego konsekwencje] Konsekwencje materialne dla: Utraty poufności Mogą wystąpić kradzież tożsamości Mogą wystąpić w wypadku, gdy dotyczą przedsiębiorców Utraty dostępności lub integralności Poważne przekroczenie terminów Konsekwencje prawne dla: Utraty poufności Ograniczone możliwości dochodzenia roszczeń w stosunku do Państwa Utrata wizerunku: Społeczne utrata zaufania do Państwa

Studium przypadku Narodowy Spis Powszechny Alarm: Dane służące do uwierzytelnienia respondenta w internetowym kanale spisowym (NIP + PESEL) są łatwe do uzyskania 5.04.2011 (fakt publiczny, w tym prowokacja prasowa) Zdefiniowanie problemu: Z ustaleń kontroli wynika, że wybór danych osobowych służących do uwierzytelnienia respondenta w Narodowym Spisie Powszechnym Ludności i Mieszkań 2011 był poddany ocenie ryzyka pismo GIODO z 27.05.2011 Ocena ryzyka: Wprowadzenie silniejszych mechanizmów uwierzytelnienia (dane uwierzytelniające wysłane do respondenta pocztą) - dodatkowo 50 mln zł (informacje od Z-cy Komisarza Spisowego) Mechanizmy zabezpieczające: - odstraszanie: zdecydowana reakcja organów ścigania na przypadki łamania prawa - wykrywanie: zaawansowane algorytmy analizy danych

Pytania, uwagi, komentarze... ela@andrukiewicz.pl