MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Podobne dokumenty

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Krzysztof Świtała WPiA UKSW

PRELEGENT Przemek Frańczak Członek SIODO

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zdrowe podejście do informacji

Marcin Soczko. Agenda

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Promotor: dr inż. Krzysztof Różanowski

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Normalizacja dla bezpieczeństwa informacyjnego

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Bezpieczeństwo informacji. jak i co chronimy

Umowa nr.. zawarta r. w Warszawie pomiędzy: Ministerstwem Kultury i Dziedzictwa Narodowego reprezentowanym przez MKiDN, zwanego dalej

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Czy wszystko jest jasne??? Janusz Czauderna Tel

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Szkolenie otwarte 2016 r.

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Zarządzenie nr 1/2017 Dyrektora Przedszkola nr 20 w Rybniku z dnia 17 stycznia 2017 roku

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

ISO bezpieczeństwo informacji w organizacji

Krajowe Ramy Interoperacyjności obowiązkowe wyzwanie dla JST w

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

Zarządzenie nr 2/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 12 czerwca 2015 roku

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Zarządzenie nr 8/2015 Dyrektora Zespołu Szkół nr 2 w Rybniku z dnia 11 czerwca 2015 roku

Warszawa, 2 września 2013 r.

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Społeczeństwo informacyjne Rola normalizacji. Jerzy Krawiec Warszawa,

SZCZEGÓŁOWY HARMONOGRAM KURSU

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

WYSTĄPIENIE POKONTROLNE

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ZARZĄDZENIE Nr 58/2014 Starosty Bielskiego z dnia 23 grudnia 2014 r.

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

KRAJOWE RAMY INTEROPERACYJNOŚCI

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

Maciej Byczkowski ENSI 2017 ENSI 2017

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Imed El Fray Włodzimierz Chocianowicz

ZARZĄDZENIE Starosty Bielskiego

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU MARSZAŁKOWSKIEGO WOJEWÓDZTWA POMORSKIEGO DOKUMENT GŁÓWNY

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

ZARZĄDZENIE Nr 22/2018 Starosty Bielskiego z dnia 24 maja 2018 r.

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

Standaryzacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)

Kryteria oceny Systemu Kontroli Zarządczej

Program Kontroli Jakości Bezpieczeństwa Informacji

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

Ministerstwo Cyfryzacji

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

ISO nowy standard bezpieczeństwa. CryptoCon,

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Zarządzenie nr 206/2015/2016 Dyrektora Szkoły Podstawowej z Oddziałami Integracyjnymi nr 1 im. Janusza Korczaka w Rybniku z dnia 17 marca 2016 roku

Jak zbudować spójny i efektywny system bezpieczeństwa informacji bez nadmiaru

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Amatorski Klub Sportowy Wybiegani Polkowice

Transkrypt:

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e

D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzane Polityka bezpieczeństwa informacji udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa (zasoby) swego systemu informatycznego oraz przetwarzane informacje System zarządzania bezpieczeństwem informacji część całościowego systemu zarządzania urzędem, oparta na podejściu wynikającym z szacowania ryzyka, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji 2

J a k i j e s t c e l S Z B I? Kierownictwo urzędu jest zobowiązane zadbać o to, aby zadania stojące przed organem, który urząd obsługuje, mogły być realizowane w sposób nieprzerwany i w wymaganym czasie, w warunkach zapewniających bezpieczeństwo informacji i systemów teleinformatycznych 3

D l a c z e g o b e z p i e c z e ń s t w o i n f o r m a c j i, a n i e t y l k o b e z p i e c z e ń s t w o t e l e i n f o r m a t y c z n e? Bezpieczeństwo informacji to nie tylko ochrona danych w systemach TI. Utrata kontroli nad informacją może zajść w każdym miejscu organizacji, a informacja może być składowana, używana i transferowana w różnych postaciach. 4

Podział nak ładów na bezpieczeństwo 5

R e g u l a c j e p r a w n e Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 r. poz. 526 ze zm. Dz. U. 2014 r. poz. 1671): 20 ust. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 20 ust. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 6

1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; 3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji; 7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami; 8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 11) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych; 12) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 13) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. 7

Po l s k i e N o r m y 20 ust. 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń (PN-ISO/IEC 27002 ); 2) PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem (PN-ISO 31000); 3) PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania (PN-EN ISO 22301Bezpieczeństwo powszechne - Systemy zarządzania ciągłością działania Wymagania). 8

Zarządzanie bezpieczeństwem informacji jest procesem, a nie stanem! 9

Cykl życia SZBI 10

Jak ustanowić i eksploatować SZBI? 1) Ustanowienie polityki bezpieczeństwa informacji; 2) Określenie zakresu systemu; 3) Inwentaryzacja zasobów; 4) Szacowanie ryzyk; 5) Postępowanie z ryzykami wdrożenie zabezpieczeń; 6) Opracowanie procedur, regulaminów, instrukcji itp. dokumentów o charakterze operacyjnym; 7) Gromadzenie zapisów dokumentujących realizację procedur; 8) Ocena funkcjonowania systemu w drodze przeglądów i audytu; 9) Działania naprawcze i korygujące. 11

Struktura dokumentacji SZBI Polityka Bezpieczeń stwa Polityki szczegółowe (Zasady użycia zabezpieczeń, regulaminy, metodyki) Poziom Strategii Urzędu Poziom Strategii Szczegółowych Procedury Poziom Dokumentacji Operacyjnej Formularze zapisów Poziom Zapisów 12

Polityki szczegółowe 1) Polityka zarządzania zasobami (aktywami); 2) Polityka zarządzania ryzykiem; 3) Polityka zarządzania zasobami ludzkimi; 4) Polityka zarządzania bezpieczeństwem w TI; 5) Polityka bezpieczeństwa fizycznego i środowiskowego; 6) Polityka zgodności; 7) Polityka zarządzania ciągłością działania; 8) Polityka zarządzania incydentami; 9) Polityka szkoleniowa; 10)Polityka rozwoju; 11)Polityka audytu wewnętrznego; 13

Stworzenie dokumentacji SZBI nie jest celem samym w sobie! 14

Działanie SZBI polega na postępowaniu zgodnie z ustanowionymi procedurami i dokumentowaniu tego postępowania w postaci zapisów. 15

Zapisy generowane w SZBI stanowią ślad audytowy 16

Audyt w SZBI 17

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI