Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011



Podobne dokumenty
Ryzyko systemów informatycznych Fakty

ZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Procesowa specyfikacja systemów IT

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Świtała WPiA UKSW

Promotor: dr inż. Krzysztof Różanowski

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Zarządzanie projektami a zarządzanie ryzykiem

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzanie usługami IT

Enterprise Architecture podejście holistyczne w zarządzaniu transformacją jednostek administracji publicznej

dr Mariusz Ulicki Dyrektor Biura Informatyki i Telekomunikacji Centrali KRUS

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

PODSTAWY ZARZĄDZANIA PROJEKTAMI

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Data Governance jako część ładu korporacyjnego

Kultura usługowa i jej znaczenie dla relacji biznes - IT

ISO w Banku Spółdzielczym - od decyzji do realizacji

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Architektura korporacyjna państwa a nowoczesna administracja publiczna

Warsztaty FRAME. Sygnatura warsztatu: W1 (W3) Czas trwania: 3 dni

Grzegorz Pieniążek Hubert Szczepaniuk

Skrócone opisy pryncypiów architektury korporacyjnej podmiotów publicznych

Wykorzystanie standardów serii ISO oraz OGC dla potrzeb budowy infrastruktury danych przestrzennych

Opis przedmiotu zamówienia

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. 1. Cel szkolenia

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Nasze kompetencje. Co nas wyróżnia. Skuteczne wdrożenie - dopasowanie do strategii klientów

REKOMENDACJA D Rok PO Rok PRZED

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

Projekt architektury systemów informatycznych Uniwersytetu Warszawskiego w oparciu o metodykę TOGAF. Tomasz Turski

Szkolenie 2. Zarządzanie programami

6 Metody badania i modele rozwoju organizacji

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

BAKER TILLY POLAND CONSULTING

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Standaryzacja cyfrowych usług publicznych

W książce omówiono: SAP zostań ekspertem w 24 godziny!

Zarządzanie usługami IT zwinność

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Kompleksowe Przygotowanie do Egzaminu CISMP

Architektura oprogramowania w praktyce. Wydanie II.

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

HP Service Anywhere Uproszczenie zarządzania usługami IT

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Zarządzanie relacjami z dostawcami

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

PAŹDZIERNIKA Mercure Grand Hotel Warszawa ZARZĄDZANIE PROCESOWE, MAPOWANIE PROCESÓW. praktyczne aspekty optymalizacji procesów w administracji

Dlaczego modele architektoniczne to zamało? Wprowadzeniedo ładu architekturykorporacyjnej

IBM DATASTAGE COMPETENCE CENTER

Robert Meller, Nowoczesny audyt wewnętrzny

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Spis treści. Konwencja zapisu przyjęta w niniejszym podręczniku

epolska XX lat później Daniel Grabski Paweł Walczak

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

I. O P I S S Z K O L E N I A

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

COBIT 5 WHITE PAPER WSTĘP

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

Systemowe rozwiązania Smart Grid ofertą do nowoczesnego zarządzania przedsiębiorstwami sieciowymi

ZARZĄDZANIE INNOWACJĄ

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

ORGANIZACJA Z CHARAKTEREM OFERTA WSZECHNICY UJ. Jak świadomie kształtować kulturę organizacyjną firmy?

Certified IT Manager Training (CITM ) Dni: 3. Opis:

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka wdrożenia. System Jakości ISO 9001

Tematy prac magisterskich Rok akademicki 2013/2014

Bezpieczeństwo dziś i jutro Security InsideOut

Polityka biznesu społecznie odpowiedzialnego (CSR)

Wykład 2 Rola otoczenia w procesie formułowania strategii organizacji

Globalny monitoring na rzecz środowiska i bezpieczeństwa (GMES) Anna Badurska 12 czerwca 2008

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Świętokrzysko Podkarpacki Klaster Energetyczny OFERTA USŁUG

Analityk i współczesna analiza

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Wartość audytu wewnętrznego dla organizacji. Warszawa,

BOC dla KJUF Podsumowanie warsztatów listopada 2011

Projekt: PROLOG wzrost potencjału przedsiębiorstw logistycznych województwa pomorskiego

SAP w 24 godziny / Michael Missbach, George Anderson. Gliwice, cop Spis treści

Biznes plan innowacyjnego przedsięwzięcia

Projektowanie Infrastruktury Sieciowej v2 2012/09/01

CSA STAR czy można ufać dostawcy

Transkrypt:

Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011

Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów danych i haseł wyciekło z Sony Online Entertainment, usługi oferującej gry typu MMOG. W sumie wyciekły dane ponad 100 milionów użytkowników z całego świata. Liczba incydentów zgłoszonych do CERT/CC w latach 1988 2003 Strona 2

Podejścia do zapewnienia Podejście techniczne Opracowywanie i wdrażanie konkretnych rozwiązań technicznych. Pogoń za zmianami technologicznymi i rosnącą liczbą nowych rodzajów ryzyka. Podejście zarządcze Ludzie są największym źródłem zagrożenia dla informacji: Tworzenie struktur odpowiedzialnych za zarządzanie bezpieczeństwem informacji (obecnie 82% firm posiada taką scentralizowaną strukturę)* Podejście instytucjonalne Standaryzacja systemów informatycznych oraz budowa i wdrażanie systemów zarządzania bezpieczeństwem informacji poprzez wykorzystanie uznanych norm i standardów. Certyfikacja rozwiązań. Ład Bezpieczeństwo informacji jako systematyczna ochrona tych danych, które są najważniejsze z punktu widzenia ich wpływu na osiąganie celów biznesowych organizacji. Traktowanie informacji jak strategicznego aspektu egzystencji firmy. Architektura * Ernst & Young 10th Annual Global Information Security Survey Strona 3

Architektura Cele wdrożenia architektury w organizacji Bezpieczeństwo Architektura to spójny zestaw zasad, zaleceń, wzorców i standardów z zakresu wraz z opisem ich wzajemnych powiązań uwzględniający bieżące i przyszłe uwarunkowania biznesowe organizacji Kontrola kosztów Stan idealny (nierealny) Użyteczność Stan optymalny (docelowy) Perspektywa w nowoczesnej organizacji: Koncentracja na obszarach, które kreują wartość dodaną dla organizacji Zharmonizowanie funkcji z realizowanymi procesami biznesowymi Racjonalizacja kosztów zapewnienia W nowoczesnej organizacji rozbieżność celów wdrożenia architektury kreuje twórcze myślenie o bezpieczeństwie Strona 4

Architektura SABSA (1/3) Metodyka SABSA (Sherwood Applied Business Security Architecture) prezentuje biznesowe podejście do kwestii w organizacji. Kompleksowe zarządzanie usługami i architekturą. Wykorzystanie powszechnie znanych standardów jako składników architektury, które wspólnie tworzą kompleksowy model, oparty na wymaganiach biznesowych. Metodyka SABSA jest szeroko wykorzystywana w administracji publicznej na świecie, m.in.: Ministerstwo Obrony Narodowej Wielkiej Brytanii, Holenderskie Ministerstwo Sprawiedliwości, Agencje rządowe Australii, Kanady oraz Stanów Zjednoczonych Ameryki Północnej. Metodyka SABSA jest zgodna ze standardami: BS 7799, ISO 27001 / ISO 17799, ITIL / ISO 20000, CobIT, BS 15000 / AS 8018. http://www.sabsa-institute.org/ Strona 5

Architektura SABSA (2/3) Całościowe podejście do zarządzania usługami i architekturą w przedsiębiorstwie opiera się na sześciu warstwach*: kontekstową, obejmującą umiejscowienie Bezpieczeństwa i jego roli w Biznesie, koncepcyjną, zawierającą wysokopoziomowy opis Bezpieczeństwa Strategię Bezpieczeństwa, logiczną, zawierającą model organizacji, model przepływu informacji i Politykę Bezpieczeństwa, fizyczną, opisującą procedury, mechanizmy, platformę i infrastrukturę sieciową, komponentową, obejmującą bezpośrednie narzędzia wdrożenia Bezpieczeństwa standardy, protokoły, certyfikaty, kontekstowa koncepcyjna logiczna fizyczna komponentowa operacyjna operacyjną, warstwę spinającą pozostałe warstwy w codziennym funkcjonowaniu organizacji Bezpieczeństwo aplikacji, sieci, pomoc techniczna. * Warstwowy model architektury opracowany został na bazie siatki Zachmana Strona 6

Architektura SABSA (3/3) Proces projektowania architektury polega na rozważeniu aspektów w poszczególnych warstwach macierzy SABSA. Zasoby (Co?) Motywacja (Dlaczego?) Proces (Jak?) Ludzie (Kto?) Miejsce (Gdzie?) Czas (Kiedy?) Zwiększenie poziomu szczegółowości aspektu kontekstowa koncepcyjna logiczna fizyczna komponentowa operacyjna Biznes Profil atrybutów biznesowych Model informacyjny biznesu Model danych biznesu Szczegółowe struktury danych Zapewnienie ciągłości operacyjnej Model ryzyka biznesowego Cele kontrolne Polityka Bezpieczeństwa Reguły, praktyki i procedury Standardy Zarządzanie ryzykiem operacyjnym Model procesów biznesowych Strategia Bezpieczeństwa i warstwy architektury Usługi Mechanizmy Produkty i narzędzia Zarządzanie i wsparcie usługami Organizacja biznesowa i jej powiązania Model jednostki i struktury zaufania Schemat jednostek i profile uprawnień Użytkownicy, aplikacje i interfejs użytkownika Tożsamości, funkcje, czynności i ACL Zarządzanie i wsparcie użytkowników i aplikacji Geografia biznesu Model domeny Definicje i ich powiązania Platforma i infrastruktura sieci Procesy, węzły, adresy i protokoły Bezpieczeństwo systemów, sieci i platform Zależności czasowe biznesu Czasy życia i terminy związane z bezpieczeństwem Cykl procesów Czas wykonanie struktury kontrolnej Kolejkowanie kroków Rozkład czynności Sprawdzenia uzasadnienia aspektu Strona 7

Praktyczne zastosowanie metodyki SABSA Profil atrybutów biznesowych danych pacjentów Standardowe podejście Zgodnie z BS-7799 / ISO 27001 bezpieczeństwo zasobów rozpatrywane jest w trzech aspektach: Integralność, Poufność, Dostępność. Podejście według metodyki SABSA Według metodyki SABSA każdy zasób może być opisany za pomocą profilu atrybutów biznesowych. Profil atrybutów biznesowych: Pełne zestawienie atrybutów biznesowych dla konkretnego zasobu, Typ metryki, Metoda pomiarowa, Miara wydajności. Atrybuty biznesowe to biznesowe przedstawienie właściwości związanych z zasobem, które powinny podlegać ochronie. Metodyka SABSA definiuje 85 najczęściej używanych atrybutów biznesowych. Profil atrybutów biznesowych umożliwia mierzenie wydajności atrybutów biznesowych z perspektywy Biznesu. Strona 8

Podsumowanie Dane dotyczące stanu zdrowia są danymi wrażliwymi w związku należy poświęcić szczególną uwagę właściwemu ich zabezpieczeniu. Istotne jest, aby podejść w sposób spójny i kompleksowy, a nie punktowy i wybiórczy. Idealnym rozwiązaniem jest wykorzystanie metodyki SABSA, która: opisuje model dostosowany do potrzeb biznesowych, ułatwia dialog pomiędzy organizacją Bezpieczeństwa a przedstawicielami Biznesu, jest otwartym standardem, jest bezpłatna, nie jest związana z żadnym dostawcą rozwiązań, jest skalowalna (może być wprowadzana w kolejnych obszarach i systemach), jest w sposób ciągły utrzymywana i rozwijana. Strona 9

Dziękujemy za uwagę: dr Aleksander Poniewierski aleksander.poniewierski@pl.ey.com dr inż. Mirosław Ryba miroslaw.ryba@pl.ey.com

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres