Uszczegółowienie dyskusji ze spotkania audytorów wewnętrznych w dniu 22 maja 2013 r.



Podobne dokumenty
AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Ustawa z dnia 27 sierpnia 2009 roku Przepisy wprowadzające ustawę o finansach publicznych (Dz.U. Nr 157, poz. 1241)

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ISO w Banku Spółdzielczym - od decyzji do realizacji

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Regulamin audytu wewnętrznego

Regulamin audytu wewnętrznego

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

ZARZĄDZENIE NR 17/2014R. KIEROWNIKA GMINNEGO OŚRODKA POMOCY SPOŁECZNEJ W POSTOMINIE

KARTA AUDYTU WEWNĘTRZNEGO

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Polityka bezpieczeństwa

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 17 czerwca 2015 r.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

Kryteria oceny Systemu Kontroli Zarządczej

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Standardy kontroli zarządczej

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

2.4.2 Zdefiniowanie procesów krok 2

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Szczegółowe informacje o kursach

Zarządzenie Nr 71/2010 Burmistrza Miasta Czeladź. z dnia 28 kwietnia 2010r.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Załącznik Nr 1 do Zarządzenia Nr 439/09 Prezydenta Miasta Szczecin z dnia 8 września 2009 r. STATUT AUDYTU WEWNĘTRZNEGO W GMINIE MIASTO SZCZECIN

Kontrola zarządcza w szkołach i placówkach oświatowych. Ewa Halska, Andrzej Jasiński, OSKKO

SKZ System Kontroli Zarządczej

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

KWESTIONARIUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ ZA ROK..

INFORMACJA O REALIZACJI ZADAŃ Z ZAKRESU AUDYTU WEWNĘTRZNEGO W ROKU 2016

Normalizacja dla bezpieczeństwa informacyjnego

Karta Audytu Wewnętrznego. w Urzędzie Miejskim w Wyszkowie. i jednostkach organizacyjnych

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

KARTA AUDYTU WEWNĘTRZNEGO

Warszawa, 2 września 2013 r.

Zarządzenie nr ZEAS 0161/-5/2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu

ZARZĄDZENIE Nr 38 MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO 1) z dnia 27 lipca 2011 r.

Praktyczne aspekty wdroŝenia systemu zarządzania ryzykiem.

Regulamin zarządzania ryzykiem. Założenia ogólne

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Szkolenie otwarte 2016 r.

INFORMATYKA PROJEKTY ROZWIĄZANIA OFERTA - AUDYT LEGALNOŚCI OPROGRAMOWANIA

Koncepcja oceny kontroli zarządczej w jednostce samorządu. ElŜbieta Paliga Kierownik Biura Audytu Wewnętrznego - Urząd Miejski w Dąbrowie Górniczej

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

BDG.V IM Warszawa, dnia r.

Zarządzenie nr 85/2011 BURMISTRZA WYSZKOWA z dnia 20 maja 2011r.

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

1. 1. Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Z 2013 r. Poz. 885, z późn. zm.).

I. O P I S S Z K O L E N I A

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

2 Rektor zapewnia funkcjonowanie adekwatnej, skutecznej i efektywnej kontroli zarządczej w Państwowej WyŜszej Szkole Zawodowej w Elblągu.

Zarządzenie nr 155/2011 Burmistrza Ozimka z dnia 1 grudnia 2011 roku

ZARZĄDZENIE Nr 120/2011 Rektora Uniwersytetu Wrocławskiego z dnia 29 grudnia 2011 r.

ISO bezpieczeństwo informacji w organizacji

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Krzysztof Świtała WPiA UKSW

Promotor: dr inż. Krzysztof Różanowski

Przedszkole Nr 30 - Śródmieście

zarządzam, co następuje:

ZARZĄDZENIE NR 18/11 BURMISTRZA MIASTA KOŚCIERZYNA. z dnia 17 stycznia 2011 r.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Uchwała Nr 71/2008 Zarządu Powiatu w Ełku z dnia 17 lipca 2008r.

Audyt systemów informatycznych w świetle standardów ISACA

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

OPINIA. 1 Otrzymują: Dyrektor Urzędu. 2 Nr zadania: 2/10. 3 Temat zadania: Przygotowanie do oceny kontroli zarządczej

Sprawozdanie. I. Środowisko wewnętrzne

Sprawozdanie z zadania zapewniającego

Zasady monitorowania i dokonywania samooceny systemu kontroli zarządczej oraz udzielania zapewnienia o stanie kontroli zarządczej

oceny kontroli zarządczej

Kwestionariusz samooceny kontroli zarządczej

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Reforma ochrony danych osobowych RODO/GDPR

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

Współpraca audytu wewnętrznego z audytem jakości przy realizacji zadania dotyczącego obszaru bezpieczeństwa informacji

Zarządzenie Nr 51/2010

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

Informatyka w kontroli i audycie

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Marcin Soczko. Agenda

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Instrukcja do instalacji/aktualizacji systemu KS-FKW

KWESTIONARIUSZ SAMOOCENY. NIE w pełnym zakresie

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego

R LA L A UD U Y D T Y U T U W

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Instrukcja przeprowadzania samooceny kontroli zarządczej w Kujawsko-Pomorskim Centrum Pulmonologii w Bydgoszczy

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

Transkrypt:

Uszczegółowienie dyskusji ze spotkania audytorów wewnętrznych w dniu 22 maja 2013 r. W dyskusjach w ramach panelu I oraz panelu II udział wzięli: Pan Sebastian Burgemejster (SB) moderator Pani Agnieszka Giebel (AG) Pan dr Piotr Dzwonkowski (PD) Pani Sylwia Wystub (SW) Pan dr inŝ. Bolesław Szomański (BSz) Pani Agnieszka Boboli (AB) Pan Krzysztof Politowski (KP). DYSKUSJA I SB: Na co naleŝy zwrócić uwagę, w odniesieniu do omawianych norm, przy budowie systemów zarządzania informatyką? Jakie są punkty wspólne w trakcie budowy, a jakie podczas funkcjonowania tych systemów? SW: Rozpoczynając budowę systemu zarządzania informatyką, najpierw sprawdzamy, czy zostały określone wymagania dotyczące usług. W następnej kolejności ustalamy aspekty bezpieczeństwa, czyli wymagania bezpieczeństwa, tj. w jaki sposób muszą być chronione informacje powierzane IT, które z tych informacji powinny być bardziej chronione, które mniejszym stopniu, a które informacje są publiczne od momentu powierzenia. Następnym etapem jest ustalenie wymagań dotyczących ciągłości, np. z jaką częstotliwością mają być robione kopie oraz jakie usługi i na jakim poziomie będą nam potrzebne w przypadku zaistnienia incydentu. BSz: NaleŜy zwrócić uwagę na dwie rzeczy, które teoretycznie nie wchodzą w skład bezpieczeństwa teleinformatycznego, ale są dla bezpieczeństwa teleinformatycznego krytyczne. Pierwsza z nich to umowy. Jako przykład moŝna podać źle skonstruowaną umowę o zakup klimatyzacji w przypadku awarii klimatyzacji dochodzi do awarii serwerów (brak chłodzenia). Drugą kwestią jest ochrona fizyczna zasobów. Brak ochrony fizycznej naraŝa systemy teleinformatyczne na wrogie działania, w tym na kradzieŝ. Szczególną uwagę trzeba zwrócić na grupy wysokiego ryzyka, np. osoby sprzątające, które mają dostęp do zasobów. Następną waŝną kwestią jest uświadomienie zarządowi, Ŝe bezpieczeństwo informacji obowiązuje wszystkich pracowników, łącznie z zarządem. Jest to dość trudne zadanie. Grupą wysokiego ryzyka są takŝe informatycy, którzy z uwagi na swoje uprawnienia mogą działać (takŝe nieświadomie) na szkodę bezpieczeństwa systemu. Fundamentalnym zabezpieczeniem, które moŝe sprawdzić audytor, jest przechowywanie hasła administratora w bezpiecznym miejscu. PD: Na początek organizacja powinna nauczyć swój zarząd sposobu zarządzania ryzykiem i bezpieczeństwa informacji. AB: NajwaŜniejszą rolę pełni kierownik jednostki. Musi on rozumieć, na czym polega kontrola zarządcza i ochrona informacji oraz jaką misję ma kierowana przez niego jednostka. SB: Proszę o podanie najbardziej znanych/kluczowych incydentów, które mogą się powtórzyć w innych jednostkach. BSz: Najbardziej znanym incydentem było włamanie przed dwoma laty do bazy SONY. W wyniku tego incydentu na okres 5 tygodni została zamknięta usługa gry na konsolach.

W celu zminimalizowania skutków kolejnych incydentów SONY zaleciło wszystkim swoim dostawcom wdroŝenie normy ISO 27001. Włamania na strony www mogą być skutkiem niedostatecznego zabezpieczenia hasłem dostępu (przykład sprzed roku: udane włamanie z uwagi na hasła dostępu admin i admin1 ). Przyczyną innych incydentów moŝe być outsourcing usług. Outsourcing usług oznacza utratę kontroli włamania mają miejsce głównie na strony outsourcowane. Natomiast przetwarzanie w chmurze (operacje są przetwarzane w chmurze, czyli nie wiadomo gdzie) niesie ze sobą ryzyko braku dostępu do danych przez pewien czas. Ostatni taki incydent trwał 8 godzin. Chmura nadzorowana przez np. ministerstwo jest w miarę bezpieczna, natomiast chmura publiczna bez przepisów prawnych nie daje bezpieczeństwa. Znane są teŝ przypadki zawierania umów na przetwarzanie w chmurze przez firmę zewnętrzną, na korzystnych warunkach na czas określony, po upływie którego firma uznaje, Ŝe dane w chmurze są jej własnością i Ŝąda kilkukrotnie wyŝszej opłaty za dalsze świadczenie usługi. AB: W administracji usługi przetwarzania w chmurze są świadczone w niektórych miejscach, głównie na południu Polski i dotyczą zwłaszcza starostw powiatowych. Centrum Projektów Informatycznych będzie realizowało projekt pod nazwą Informatyzacja jednostek samorządu terytorialnego z zastosowaniem chmury obliczeniowej. Jeśli ten projekt zostanie zrealizowany (umowa została podpisana 19 kwietnia), to wtedy takie rozwiązanie pojawi się takŝe w administracji. Przykłady zastosowania chmury obliczeniowej na mniejszą skalę moŝna wskazać juŝ obecnie. Pytania z sali Jak standardy norm podchodzą do problemu, gdy duŝą część pracy prowadzimy w systemie, który nie jest naszą własnością. Posiadamy tam tylko konta, ale nie moŝemy zarządzać tym systemem. Co mówią standardy? BSz: Systemem naleŝy zarządzać. Taki jest cel standardów certyfikowanych przez jednostki certyfikacyjne. Powinniśmy wybierać te firmy, które wdroŝyły zarządzanie bezpieczeństwem. NaleŜy zwrócić uwagę, aby usługi świadczone przez zewnętrznych dostawców były odpowiednio nadzorowane i opisane. SW: BieŜące nadzorowanie i prawo do audytowania powinny być zapisane w umowie z usługodawcą. AB: Wszystkie prawa i ochronę interesów usługobiorcy powinna regulować umowa (usługobiorca będzie dokonywał audytu, w jaki sposób jego wymagania zostały spełnione). PD: Audytor zawsze ma moŝliwość sprawdzenia aktualności listy identyfikatorów (np. czy po odejściu pracownika zaktualizowano listę identyfikatorów). Jakie wskaźniki zastosować do oceny adekwatności, skuteczności i efektywności systemów bezpieczeństwa informacji? SW: Odpowiednie mierniki podaje ISO 27004 (20 mierników) lub moŝna zastosować rozwiązanie wskazane w COBIT, który zawiera duŝo informacji na temat mierników i pokazuje, jak moŝna takie mierniki wprowadzić. NaleŜy przy tym pamiętać, Ŝe nie uzyska się 100% skuteczności danego zabezpieczenia. PD: Poza tym uniwersalnym i obiektywnym miernikiem dotyczącym ciągłości działania jest miernik straty czasu na przerwę i odzyskiwanie danych po awarii. MoŜna nawet dokonywać wyliczeń kosztowych poniesionych strat.

Czy moŝemy zrobić audyt bezpieczeństwa informacji nie mając norm? Czy jednostka musi zakupić normy? BSz: Korzystniejsze dla jednostki jest posiadanie norm. Z uwagi na ceny norm najtańszym sposobem ich nabycia jest zakup kilku licencji dla całej instytucji. SW: Zakup norm nie jest koniecznością, gdyŝ nie ma obowiązku badania na zgodności z normą. Audyty mogą być prowadzone na podstawie rozporządzenia. KP: WaŜniejsze od posiadania norm są kompetencje pozwalające prowadzić audyt oraz odpowiednie przeszkolenie. DYSKUSJA II Pytania z sali Dlaczego w rozdziale IV 20 ust. 2 KRI, dotyczącym minimalnych wymagań teleinformatycznych, znalazł się zapis o bezpieczeństwie informacji w całej organizacji? KP: System IT jest usługowym dla całej organizacji. Natomiast kwestii bezpieczeństwa informacji nie moŝna ograniczyć wyłącznie do bezpieczeństwa w systemie teleinformatycznym. W organizacji ok. 80 % incydentów jest generowanych poza systemem informatycznym. Incydenty (ok. 80%) najczęściej generują pracownicy. System teleinformatyczny działa zawsze w otoczeniu kulturze organizacyjnej, zatem wymaganiami bezpieczeństwa informacji zostało równieŝ objęte otoczenie, w którym ten system funkcjonuje. System bezpieczeństwa informacji powinien być zatem kompleksowy. Jak komórka audytu wewnętrznego ma wywiązać się z przepisu stanowiącego, Ŝe audyt bezpieczeństwa informacji przeprowadza nie rzadziej niŝ na rok? AG: Zgodnie z upowszechnionym na stronie internetowej stanowiskiem Ministerstwa Finansów oraz Ministerstwa Cyfryzacji i Administracji kierownik jednostki nie powinien automatycznie wskazywać komórki audytu wewnętrznego jako tej, która realizuje audyt bezpieczeństwa informacji. Co w sytuacji, kiedy nikt w jednostce nie posiada uprawnień/kwalifikacji do przeprowadzania audytu bezpieczeństwa informacji? AB: W tej sytuacji zadanie naleŝy zlecić na zewnątrz i juŝ w tym momencie wpisać to zadanie do planu finansowego na następny rok. Dlaczego audyt bezpieczeństwa ma być wykonywany raz do roku? SB: W normach ISO, jeśli jest obowiązek audytu, audyt musi być przeprowadzany cyklicznie (minimum raz w roku, Ŝeby ocenić funkcjonowanie systemu zarządzania). KRI odnosi się częściowo do norm ISO, więc jeśli funkcjonuje w jednostce audyt jakości, audyt bezpieczeństwa informacji mogą realizować audytorzy z tzw. listy audytorów wewnętrznych jakościowych lub ISO. BSz: We wszystkich standardach mamy zainteresowane strony. W przypadku bezpieczeństwa informacji równieŝ istnieje określona grupa zainteresowanych, tzw. piąta kolumna. To wszyscy zainteresowani, Ŝeby bezpieczeństwu informacji zaszkodzić. Wynika to ze specyfiki normalnej działalności jednostki zawsze liczba szkodzących w tej sferze jest duŝa. Komórki audytu są nieliczne i zwykle mają duŝo zadań. Zaletą wszelkich audytów według systemów zarządzania jest to, Ŝe są krótkie. Na pierwszym szczeblu audyt moŝe trwać ok. 3 dni. W trakcie pierwszego etapu audytu nie da się doprowadzić do tego, Ŝeby system bezpieczeństwa działał dobrze, natomiast naleŝy ciągle go doskonalić. W bezpieczeństwie

informacji nigdy nie będzie idealnie, natomiast naleŝy dąŝyć do tego, Ŝeby było bezpieczniej. Inaczej audytuje się systemy zarządzania niŝ przeprowadza normalny audyt. SW: Systemy informatyczne i systemy zarządzania regulowane normami są obarczone wysokim ryzykiem. JeŜeli nie były one dawno audytowane, to dobre praktyki mówią, Ŝe obszar ten powinien mieć podwyŝszone ryzyko i być audytowany. Natomiast co roku moŝna audytować te elementy systemu, których podwyŝszone ryzyko wynika z przeprowadzonej analizy ryzyka. AG: NaleŜy podkreślić jednak waŝną rzecz - nie naleŝy zaczynać od audytu bezpieczeństwa informacji, dopóki nie zostanie zbudowany system bezpieczeństwa informacji. Nie bez przyczyny w prezentacjach była mowa o przywództwie i roli kierownictwa to nie audytorzy są odpowiedzialni za budowę systemu. NaleŜy zwrócić uwagę, Ŝe zgodnie z KRI systemy teleinformatyczne podmiotów realizujących zadania publiczne naleŝy dostosować do wymagań określonych w rozporządzeniu, nie później niŝ w terminie 3 lat od dnia wejścia w Ŝycie rozporządzenia. Ustawodawca załoŝył, Ŝe jest czas na stworzenie systemu, który będzie moŝna audytować. Błędnym zatem jest przekonanie, Ŝe trzeba audytować system, który nie istnieje lub dopiero się tworzy. KP: Odnosząc się do kwestii zapewnienia audytu wewnętrznego nie rzadziej niŝ raz w roku działanie to powinno bazować na analizie ryzyka. Nie jest wymagane, Ŝeby co roku dokonywać całościowego przeglądu systemu zarządzania bezpieczeństwem informacji. Taki pierwszy audyt powinien być dokonany całościowo i moŝe być zlecony na zewnątrz (outsourcing), by ustalić co funkcjonuje w jednostce. Kolejny audyt moŝe skupiać się na tym, co się wiąŝe się z wydanymi rekomendacjami. Czy moŝliwe byłoby ustalenie zakresu czasowego oraz minimalnych czasowych punktów kontroli w zakresie przeprowadzania audytu bezpieczeństwa informacji (np. całościowy przegląd co 3 lata)? AB: Nie moŝna ustalić arbitralnie, Ŝe audyt przeprowadza się np. co 3 lata, bo wynika to ze specyfiki jednostki i analizy ryzyka. Natomiast naleŝy podkreślić, Ŝe komórki audytu wewnętrznego same nie udźwigną tego obowiązku. Trwają zatem obecnie prace związane z nowelizacją ustawy i wydaje się, Ŝe zostaną równieŝ podjęte prace nad zmianą rozporządzenia. KP: NaleŜy zwrócić uwagę, Ŝe zagroŝenia dla bezpieczeństwa informacji narastają i nie unikniemy kwestii audytowania tego obszaru, czy w sektorze publicznym, czy np. bankowym. Kwestie bezpieczeństwa teleinformatycznego są bardzo istotne. W świetle tego wymagane będzie bardziej precyzyjne dookreślenie, jak dokonywać tego audytu. BSz: Nie jest prawdą, Ŝe w jednostkach nie ma systemu bezpieczeństwa informacji zawsze są jego elementy. Większość tych elementów jest nieopisana. Sama budowa świadomości, do której przyczynia się audyt, poprawia bezpieczeństwo. 3-letni cykl audytu wynika z systemu certyfikacji. Audyt certyfikacyjny, a potem audyty nadzoru, które zajmują 1/3 czasu są wpisane w przepisach dotyczących norm. Co roku nie trzeba wykonywać całościowego audytu. Trzeba pamiętać, Ŝe zawsze sprawdzamy co jest zgodne z normą, a co jest zrobione, nawet jeśli nie jest udokumentowane. PD: JeŜeli komórki audytu są przeciąŝone zadaniami to znaczy, Ŝe kierujący jednostką nie ma świadomości zagroŝeń związanych z bezpieczeństwem informacji. Cały proces naleŝy zacząć od inwentaryzacji zagroŝeń związanych z bezpieczeństwem informacji. Lista takich ryzyk byłaby przydatna dla kierownika jednostki.

Dlaczego w przepisach nie zostało wpisane explicite, Ŝe podmiot realizujący zadania publiczne ma wdroŝyć system oparty o normę ISO 27001? KP: Z punktu widzenia prawnego było to niemoŝliwe. Normy są dobrowolnego stosowania i nie moŝna w polskim systemie prawnym zobowiązać podmiotów do ich stosowania. W 20 ust. 2 KRI zostały ujęte obszary, które powinny być ujęte w systemie zarządzania bezpieczeństwem informacji. Oprócz norm dopuszczalne jest stosowanie innych metod, o ile zostaną objęte obszary wymienione w 20 ust. 2 KRI. Czy Departament DA mógłby wydać dobre praktyki lub przewodnik, który byłby pomocny do przeprowadzenia audytu bezpieczeństwa informacji? KP: Przeprowadzanie audytu zarządzania bezpieczeństwem informacji wymaga 10 % wiedzy z zakresu teleinformatyki, a reszta to wiedza z zakresu zarządzania jednostką. Jeśli plan audytu wymaga specyficznych działań, np. dokonania testów penetracyjnych, to nie ma sensu utrzymywania specjalistów wykonujących takie prace na etacie w jednostce. AG: Obszar bezpieczeństwa informacji tak czy inaczej jest obszarem wysokiego ryzyka i nie moŝna go wyłączać z analizy ryzyka sprawdzonej w ramach audytu wewnętrznego. Jeśli chodzi o pomoc Ministerstwa Finansów musielibyśmy skorzystać z wiedzy specjalistów. Jeśli zdołamy zebrać grupę specjalistów, to moŝemy podjąć się tego zadania. W 1 pkt 2 KRI jest mowa o minimalnych wymaganiach dla rejestrów publicznych i wymiany informacji w postaci elektronicznej. Co w przypadku, gdy system informatyczny nie jest rejestrem publicznym i nie wymienia informacji np. system kasy zapomogowo-poŝyczkowej? BSz: Norma 13335 sugerująca, Ŝe dla kaŝdego systemu naleŝy budować politykę bezpieczeństwa, została wykreślona. Natomiast w przypadku zarządzania bezpieczeństwem informacji - dla wszystkich systemów ustala się podstawowe zabezpieczenia w oparciu o analizę ryzyka. Dla najwaŝniejszych systemów ustala się powaŝne zabezpieczenia. Audyt bezpieczeństwa informacji sprowadza się do poziomych sprawdzeń wszystkich systemów jednocześnie. Przy nowoczesnym podejściu najwaŝniejsze jest wykazanie ryzyka dotyczącego wszystkich systemów. Rolą audytora jest wskazanie rzeczywistego ryzyka, a resztę mogą zrobić specjaliści (informatycy). Jestem z małej gminy, mamy 7 jednostek podległych. Czy jeŝeli kaŝda z tych jednostek odrębnie zawrze w procedurach kontrolnych zapis, Ŝe ten obszar jest uregulowany w oparciu o normę ISO (nie certyfikujemy się, bo nas na to nie stać), czy to wystarczy? AB: Na razie wystarczy. KaŜda jednostka organizacyjna samorządu ma swojego kierownika. W KRI jest zapis, Ŝe to kierownik jednostki ma zapewnić coroczny audyt bezpieczeństwa informacji. Czy dotyczy to takŝe jednostek organizacyjnych samorządu takich jak np. biblioteka, basen? Czy w kaŝdej z tych jednostek oraz w jednostkach pozarządowych, realizujących zadania publiczne trzeba przeprowadzić audyt bezpieczeństwa informacji? AB: Tak. Jak wspominano wcześniej, komórki audytu wewnętrznego mogą nie podołać temu zadaniu. Dlatego trzeba teraz planować zasoby na ten cel na 2014 r. AG: Pytanie jest o zakres podmiotowy rozporządzenia w sprawie KRI. Katalog jednostek prowadzących audyt wewnętrzny jest zamknięty. Jest równieŝ szereg jednostek, które zostały wymienione w pytaniu, które nie prowadzą audytu wewnętrznego na podstawie ustawy o finansach publicznych, a są objęte obowiązkiem prowadzenia audytu bezpieczeństwa informacji.

SB: W przypadku małych systemów informatycznych, np. w bibliotece, głównym aktywem są dane osobowe i w związku z tym głównym zagroŝeniem jest wyciek danych osobowych lub utrata integralności tych danych. Zakładamy, Ŝe te aktywa są sklasyfikowane jako osobowe i będą one w odpowiedni sposób audytowane. Większość audytorów nie posiada wiedzy specjalistycznej z zakresu audytu informatycznego. Przygotowanie ram takiego audytu byłoby dla nich pomocne do przeprowadzenia tego audytu. Czy takie ramy moŝna byłoby opracować? BSz: Norma ISO 27001 zawiera załącznik normatywny A, w którym jest lista 134 zabezpieczeń (m.in. polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie systemami i sieciami). Ponadto norma ISO 27006 zawiera załącznik D, opisujący jak je audytować. Mogą to być wskazówki dla audytorów.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres