Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.



Podobne dokumenty
Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Krzysztof Świtała WPiA UKSW

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Marcin Soczko. Agenda

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Szkolenie otwarte 2016 r.

PRELEGENT Przemek Frańczak Członek SIODO

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Warszawa, 2 września 2013 r.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Samoocena Kontroli Zarządczej jako narzędzie służące poprawie funkcjonowania jednostki samorządu terytorialnego m.st. Warszawy

SZCZEGÓŁOWY HARMONOGRAM KURSU

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Zdrowe podejście do informacji

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

Normalizacja dla bezpieczeństwa informacyjnego

Promotor: dr inż. Krzysztof Różanowski

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Reforma ochrony danych osobowych RODO/GDPR

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Bezpieczeństwo teleinformatyczne danych osobowych

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Czy wszystko jest jasne??? Janusz Czauderna Tel

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Bezpieczeństwo danych w sieciach elektroenergetycznych

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Zarządzenie Nr Or.I Burmistrza Gogolina z dnia 11 stycznia 2016r.

Kwestionariusz samooceny kontroli zarządczej

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

KARTA AUDYTU WEWNĘTRZNEGO

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Bezpieczeństwo informacji. jak i co chronimy

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Standardy kontroli zarządczej

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Informatyka w kontroli i audycie

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Przedszkole Nr 30 - Śródmieście

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Procedury Audytu Wewnętrznego Gminy Stalowa Wola

POLITYKA E-BEZPIECZEŃSTWA

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

SPIS TREŚCI Audyt wewnętrzny wydanie II

POLITYKA BEZPIECZEŃSTWA

KARTA AUDYTU WEWNĘTRZNEGO

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Transkrypt:

Wprowadzenie Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy Grażyna Paulina Wójcik Zastępca Dyrektora Biura Audytu Wewnętrznego Urzędu m.st. Warszawy Zapewnienie bezpieczeństwa nie jest prostym zadaniem i wymaga ciągłych nakładów pracy, planowania oraz edukacji użytkowników. Mimo znaczącej wiedzy, którą zgromadzono w ostatnich dziesięcioleciach na temat teoretycznych i praktycznych aspektów bezpieczeństwa teleinformatycznego, liczba stwierdzanych poważnych problemów w świecie każdego roku wzrasta, i staje się coraz poważniejszym problemem dla użytkowników komputerów, wymagając nieustannej aktualizacji oprogramowania i szczególnej ostrożności przy korzystaniu z Internetu. Katowice, 1-2 października 2015 r. it.sheridancollege.ca 2 Akty prawne dot. audytu BI Podstawowy akt prawny czystygabinet.pl www.treesolution.com Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114). Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2015 r. poz. 1190) Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2014 r. Nr 100, poz. 1671). Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024). ) 3 Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2015 r. poz. 1190) dalej UoFP DZIAŁ VI Audyt wewnętrzny oraz koordynacja audytu wewnętrznego w jednostkach sektora finansów publicznych Art. 276. W jednostce samorządu terytorialnego zadania przypisane kierownikowi jednostki związane z audytem wewnętrznym wykonują odpowiednio: wójt, burmistrz, prezydent miasta, przewodniczący zarządu jednostki samorządu terytorialnego. 4 Podstawowy akt prawny www.siscertifications.co.in Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2014 r. Nr 100, poz. 1671) dalej Rozporządzenie KRI 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Decyzją Prezydenta m.st. Warszawy Biuro Audytu Wewnętrznego w zakresie swoich zadań realizuje audyt bezpieczeństwa informacji. 5 6 mcglobaltech.com 1

Jak podeszliśmy do tego obowiązku? Opracowaliśmy wstępną koncepcję zmierzenia się z wyzwaniem. Analizie poddano możliwość zlecenia zadania usługodawcy zewnętrznemu lub wyłonienia z organizacji pracowników, którzy realizowali by zadania w obszarze bezpieczeństwa informacji. www.imggrid.com Jak podeszliśmy do tego obowiązku? Należy pamiętać, że JST m.st. Warszawa to: 36 Biur Urzędu 18 Urzędów Dzielnic oraz ok. 1000 jednostek organizacyjnych i osób prawnych, które podlegają lub są nadzorowane przez Prezydenta m.st. Warszawy 7 8 websecgeeks.com www.governica.com W strukturze Biura Audytu Wewnętrznego utworzono: Wydział Audytu Bezpieczeństwa Systemów Teleinformatycznych, Zespół Analiz. Pracowników do ww. komórek organizacyjnych pozyskano w trybie rekrutacji wewnętrznej nie zwiększając zatrudnienia w Urzędzie m.st. Warszawy. Przyjęto informatyków z Wydziałów Informatyki urzędów dzielnicowych m. st. Warszawy oraz z Biura Informatyki i Przetwarzania Informacji Urzędu m. st. Warszawy. 9 10 edugiodo.giodo.gov.pl www.interstrony.net W Biurze Audytu Wewnętrznego Urzędu m.st. Warszawy przy realizacji audytów bezpieczeństwa informacji uczestniczą audytorzy i informatycy przejęci z obszaru. Zalety przyjętego rozwiązania - obie strony uczą się nawzajem: Audytorzy stają się ekspertami w dziedzinie informatyki, Informatycy zdobywają uprawnienia audytora wewnętrznego co stanowi niezaprzeczalną wartość dodaną. Pracownicy Wydziału Audytu Bezpieczeństwa Systemów Teleinformatycznych przeprowadzają audyty zapewniające w zakresie oceny bezpieczeństwa informacji w jednostkach organizacyjnych i osobach prawnych m.st. Warszawy z wyłączeniem spółek prawa handlowego. 11 12 weblog.infopraca.pl edugiodo.giodo.gov.pl 2

Pracownicy Zespołu Analiz przeprowadzają audyty analityczne w zakresie oceny bezpieczeństwa informacji w jednostkach organizacyjnych i osobach prawnych m.st. Warszawy z wyłączeniem spółek prawa handlowego. Cechą charakterystyczną audytu analitycznego jest ocena dużej populacji jednostek w danym obszarze. Jest on realizowany poprzez kwestionariusz, w których zawarte są pytania wynikające z 20 ust. 2 pkt. 14 Rozporządzenia KRI. 13 14 www.vormetric.com Pracownicy Zespołu Analiz - przeprowadzają szkolenia dla pracowników JST m.st. Warszawy, dla JST m.st. Warszawy, w których planowany jest audyt analityczny (odpowiednik narady otwierającej) omawiając zawartość kwestionariusza oceny bezpieczeństwa informacji, w tym użytą terminologię. 15 cel audytu BI szkoleniaa.bloog.pl Dokonanie oceny dostosowania jednostki do wymagań wynikających z Rozporządzenia KRI poprzez weryfikację prawidłowości wdrożenia Polityki Bezpieczeństwa Informacji w badanych jednostkach m.st. Warszawy, ze szczególnym uwzględnieniem: adekwatności systemu bezpieczeństwa dotyczącego środowiska informatycznego, adekwatności i skuteczności zasad zarządzania systemami operacyjnymi, adekwatności i skuteczności wdrożonych mechanizmów kontroli w zakresie bezpieczeństwa aplikacji, zarządzania zasobami oraz siecią komputerową. 16 blog.eholiday.pl Wytyczne dot. audytu BI http://www.isaca.org Polska Norma PN-ISO/IEC 27001 - System Zarządzania Bezpieczeństwem Informacji. Polska Norma PN-ISO/IEC 17799 - w odniesieniu do ustanawiania zabezpieczeń (do 2014). Polska Norma PN-ISO/IEC 27002 - w odniesieniu do ustanawiania zabezpieczeń (od 2015). Polska Norma PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem. Polska Norma PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. Standard COBIT 4.1 (ang. Control Objectives for Information and related Technology) Wewnętrzne polityki i procedury w zakresie bezpieczeństwa systemów informatycznych Zakres przedmiotowy audytu bezpieczeństwa informacji 1. Zarządzanie i ochrona danych osobowych; 2. Kopie zapasowe i ich zabezpieczenia oraz testy odtworzeniowe; 3. Użytkowane Usługi i Aplikacje IT; 4. Stacje robocze i urządzenia mobilne; dzplacide.over-blog.com 5. Serwery i ich zabezpieczenia; 6. Serwerownie i punkty dystrybucyjne oraz urządzenia IT i zabezpieczenia sieciowe. 17 18 3

Wykorzystywane techniki audytu bezpieczeństwa informacji - analiza przekazanej dokumentacji, - przeprowadzanie rozmów z kierownictwem i pracownikami, - uzyskiwanie pisemnych wyjaśnień od pracowników jednostki, - sporządzanie kwestionariuszy i list kontrolnych audytu, - przeprowadzanie oględzin pomieszczeń. www.studenci.ue.katowice.pl 19 Przeprowadzane testy w trakcie audytu BI przeglądowe - stanowiące rozpoznawcze badanie systemu i mających na celu zidentyfikowanie kontroli wewnętrznych, zgodności - polegające na szczegółowym badaniu systemu w celu uzyskania dowodów na przestrzeganie uregulowań wewnętrznych, rzeczywiste (wiarygodności) - mające na celu sprawdzenie, czy informacje zawarte w dokumentacji są kompletne i dokładne oraz czy odzwierciedlają stan faktyczny, penetracyjne - potwierdzające prawidłowość działania systemów informatycznych za pomocą oprogramowania GFI Languard oraz Acunetix Web Vulnerability Skaner. 20 Audyt zapewniający w JST m.st. Warszawy 2013-2015 Lp. Nazwa procesu sterującego Średnia liczba problemów identyfikowanych w audytowanej jednostce Liczba jednostek objętych badaniem audytowym Liczba jednostek w procesie % jednostek w procesie objętych badaniem audytowym 1 Funkcjonowanie organów władzy 7 1 1 100 2 Finanse publiczne 11 2 2 100 3 Aktywność obywatelska 13 1 1 100 4 Edukacja 13 8 816 1 5 Kultura 14 5 69 8 6 Ochrona zdrowia 13 6 20 30 7 Pomoc społeczna 12 8 64 13 8 Sport i rekreacja 13 3 17 18 9 Bezpieczeństwo i porządek publiczny 20 3 3 100 10 Gospodarowanie nieruchomościami miasta 15 4 15 27 11 Gospodarowanie środowiskiem 16 3 3 100 12 Usługi komunalne 15 3 3 100 13 Architektura i urbanistyka 13 1 1 100 14 Transport, komunikacja i drogownictwo 17 4 4 100 Razem 52 1019 Audyt analityczny w JST m.st. Warszawy 2013-2015 Lp. Nazwa procesu sterującego Liczba jednostek w procesie objętym badaniem audytowym 1. Gospodarowanie nieruchomościami miasta - 2013 10 2. Pomoc społeczna - 2013 (DPS i OPS) 32 3. Sport i rekreacja - 2013 (OSiR) 16 4. Kultura - 2014 (Teatry, Muzea, Domy Kultury) 71 5. Edukacja - 2014 (PPP) 25 6. Ochrona zdrowia - 2014 (ZOZ) 14 7. Edukacja - 2014 (Szkoły Podstawowe i Technika) 250 8. Edukacja - 2015 (Licea, Gimnazja i ZSZ) 236 Razem 654 22 Szczególną uwagę zwracamy na Szczególną uwagę zwracamy na Zagrożenia dotyczące poufności danych - pokonanie zabezpieczeń fizycznych lub programowych - niekontrolowana obecność w obszarze przetwarzania osób nieuprawnionych - niekontrolowane wytwarzanie i wypływ poza obszar przetwarzania nośników informacji i komputerów przenośnych, urządzeń mobilnych (np. tablet, smartphone) - naprawy i konserwacje systemu lub sieci teleinformatycznej wykonywane przez osoby nieuprawnione - podsłuch lub podgląd Zagrożenia dotyczące integralności danych - uszkodzenie, celowe lub przypadkowe, systemu operacyjnego, oprogramowania lub urządzeń sieciowych - celowe lub przypadkowe uszkodzenie, zniszczenie lub nieuprawniona modyfikacja danych - infekcje wirusowe - klęski żywiołowe: pożar, powódź, huragan - atak terrorystyczny www.itvikings.com 23 www.cyber-wall.com 24 4

Szczególną uwagę zwracamy na Zagrożenia dotyczące dostępności danych - niewłaściwa administracja systemem informatycznym - niewłaściwa konfiguracja systemu informatycznego - zniszczenie/zafałszowanie logów systemowych - nie rejestrowanie udostępniania danych osobowych - podszywanie się pod innego użytkownika Audyt bezpieczeństwa informacji w JST m.st. Warszawy Lp. Najczęściej identyfikowane problemy 1. Brak potwierdzenia legalności oprogramowania 2. Brak zainstalowanych poprawek bezpieczeństwa systemów i aplikacji 3. Nieprawidłowa infrastruktura serwerowni 4. Podatność serwisu www 5. Brak standardu stacji roboczych lub innych urządzeń 6. Brak procedur testowych dla urządzeń UPS 7. Brak planu ciągłości działania w przypadku awarii 8. Brak wykonywania testów kopii bezpieczeństwa 9. Nieudokumentowanie konfiguracji systemów i urządzeń 25 10. Stosowanie nieprawidłowych haseł 26 www.maxpol.com.pl Audyt bezpieczeństwa informacji w JST m.st. Warszawy Lp. Najczęściej identyfikowane problemy Mapa oceny dojrzałości audytowanych jednostek z możliwym trendem zmiany opracowana na podstawie audytu analitycznego 1. Brak przechowywania kopii zapasowych w innej fizycznej lokalizacji. 2. Brak identyfikacji ryzyk związanych z niedostępnością usługi IT, w szczególności nieposiadających poziomu SLA w zawartych umowach. 3. Brak rozwiązania pozwalającego na analizy ruchu sieciowego oraz dostępu do sieci Internet. 4. Brak stałej rejestracji i analizy informacji z mierników temperatury i wilgotności. 5. Brak archiwizowania i analizowania zdarzeń z aplikacji. 6. Brak programu zastępowania systemów operacyjnych, obecnie pozbawionych wsparcia bezpieczeństwa, do rozwiązań wspieranych przez producenta oprogr. 7. Brak harmonogramu badania podatności wykorzystywanych systemów. 8. 9. Brak wyposażenia wszystkich urządzeń krytycznych w minimum dwa zasilacze na urządzenie/półkę /macierz dyskową. Brak rozwiązania pozwalającego na blokowanie możliwości podłączania się do sieci wewnętrznej jednostki urządzeń obcych. 10. Brak standardu własnych stacji roboczych. 27 28 Zalety przyjętego rozwiązania Zalety przyjętego rozwiązania informationsystemsmanagers.com www.nexcons.com Dzięki audytom w zakresie oceny bezpieczeństwa informacji zmieniło się spojrzenie Kierownictwa Urzędu i jednostek organizacyjnych na ten obszar działalności. Podjęto szereg prac porządkujących i uspójniających działania, a w tym decyzje o centralizacji wielu usług IT. Bezcenne jest też podniesienie świadomości pracowników, czyli użytkowników różnych systemów informatycznych, o ich odpowiedzialności za bezpieczeństwo danych i informacji przetwarzanych w codziennej pracy. Usprawnienie nadzoru nad zarządzaniem bezpieczeństwem informacji i osadzenie go w kulturze organizacji na równi z pozostałymi kluczowymi procesami. Ustalenie ról i odpowiedzialności w zakresie bezpieczeństwa informacji na wszystkich szczeblach zarządzania. Usprawnienie zarządzania informacją i infrastrukturą IT oraz ustanowienie jednolitych reguł dotyczących bezpieczeństwa sklasyfikowanych i zinwentaryzowanych aktywów. 29 30 5

Wpływ audytu na proces doskonalenia bezpieczeństwa teleinformatycznego Pracownicy Biura Audytu Wewnętrznego Urzędu m. st. Warszawy przeprowadzają szkolenia dla pracowników JST m.st. Warszawy m.in. z zakresu: 1. Stosowania polityki bezpieczeństwa dla systemów komputerowych; www.logitor.umk.p 2. Przechowywania kopii zapasowych w miejscach zabezpieczających je przed nieuprawnionym przejściem, modyfikacją, uszkodzeniem lub zniszczeniem; 3. Stosowania procedur analizy ryzyka związanego z bezpieczeństwem teleinformatycznym; 4. Stosowania procedur reagowania i dokumentowanie incydentów naruszenia bezpieczeństwa. 31 Wpływ audytu na proces doskonalenia bezpieczeństwa teleinformatycznego Bezpieczeństwo informacji w JST m.st. Warszawy jest realizowane poprzez wdrożenie i stosowanie odpowiedniego systemu zabezpieczeń, w tym polityk, procesów, struktury organizacyjnej, funkcji oprogramowania i sprzętu. Zabezpieczenie te zostały ustanowione, wdrożone, monitorowane, sprawdzone i udoskonalone, w celu zapewnienia, że bezpieczeństwo i cele biznesowe organizacji są spełnione. 32 www.iaccm.com Wpływ audytu na proces doskonalenia bezpieczeństwa teleinformatycznego System Zarządzania Bezpieczeństwem Informacji JST m.st. Warszawy oparty o międzynarodową normę ISO/IEC 27001 swym zakresem obejmuje bezpieczeństwo informacji związane z zarządzaniem i ochroną informacji stanowiących tajemnicę oraz informacji prawnie chronionych, dopuszczeniem osób do informacji oraz systemów przetwarzania informacji do eksploatacji, procedurami kryzysowymi na wypadek incydentów bezpieczeństwa. 33 Podsumowanie www.dataguardstore.com Bezpieczeństwo teleinformatyczne zapewnia się, chroniąc informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą: poufności, dostępności i integralności. W JST m.st. Warszawy realizuje się go poprzez: określanie zasad autoryzacji i kontroli dostępu (do systemów, zasobów, usług), definiowanie zasad poufności i integralności danych w systemach komputerowych, definiowanie mechanizmów podnoszenia stopnia dostępności do informacji (nadmiarowość komponentów, archiwizacja danych, wykonywanie kopii zapasowych). 34 avkashk.wordpress.com Podsumowanie www.iso27001security.com Zarządzanie bezpieczeństwem teleinformatycznym polega na: tworzeniu polityki bezpieczeństwa dla systemów komputerowych, tworzeniu norm i zaleceń bezpieczeństwa, określaniu klas bezpieczeństwa systemów komputerowych, definiowaniu mechanizmów uwierzytelniania, monitorowaniu zabezpieczeń (monitorowanie transmisji danych, aktywności hostów), specyfikowaniu narzędzi służących do analizy zabezpieczeń, tworzeniu zasad dostępu do zasobów, tworzeniu procedur analizy ryzyka związanego z bezpieczeństwem teleinformatycznym, tworzeniu procedur reagowania i dokumentowanie incydentów naruszenia bezpieczeństwa, aktualizacji systemów operacyjnych i aplikacji. 35 Dziękuję za uwagę Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji JST m.st. Warszawy Grażyna Paulina Wójcik Zastępca Dyrektora Biura Audytu Wewnętrznego Urzędu m.st. Warszawy Katowice, 1-2 października 2015 r. 36 6

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres