• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
 

System zarządzania bezpieczeństwem informacji w podmiotach publicznych

on

  • 1,918 views

 

Statistics

Views

Total Views
1,918
Views on SlideShare
1,918
Embed Views
0

Actions

Likes
0
Downloads
16
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    System zarządzania bezpieczeństwem informacji w podmiotach publicznych System zarządzania bezpieczeństwem informacji w podmiotach publicznych Presentation Transcript

    • Krzysztof Świtała WPiA UKSW
    • Podstawa prawna § 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526)1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w ust. 2.4. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach 2
    • Wcześniejszy stan prawny § 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212 poz. 1766) 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji. 3
    • Przepisy KRI a normy § 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:1) PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do ustanawiania zabezpieczeń;2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem;3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4
    • Hierarchia norm związanych zSZBI 5
    • Terminy i definicje związane z SZBI wg normy ISO 27001Bezpieczeństwo informacji Zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.System zarządzania Ta część całościowego systemu zarządzania,bezpieczeństwem informacji oparta na podejściu wynikającym z ryzyka(ang. Information Security biznesowego, odnosząca się do ustanawiania,Management System) wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.Deklaracja stosowania Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji.Analiza ryzyka Systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 6
    • Atrybuty bezpieczeństwa informacjiPoufność właściwość, że informacja nie jest udostępniana lub wyjawiana(ISO 27001) nieupoważnionym osobom, podmiotom lub procesom;Integralność właściwość zapewnienia dokładności i kompletności aktywów(ISO 27001) (zasobów);Dostępność właściwość bycia dostępnym i użytecznym na żądanie(ISO 27001) upoważnionego podmiotu;Autentyczność właściwość polegającą na tym, że pochodzenie lub zawartość(KRI) danych opisujących obiekt są takie, jak deklarowane;Rozliczalność właściwość systemu pozwalającą przypisać określone działanie(KRI) w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie.Niezaprzeczalność brak możliwości zanegowania swego uczestnictwa w całości lub(KRI) w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;Niezawodność właściwość oznaczająca spójne, zamierzone zachowanie i(PN-I-13335-1) skutki. 7
    • Atrybuty bezpieczeństwa informacji – porównanie regulacjiAtrybuty Bezpieczeństwo informacjiinformacji ISO 27001 Informacje Dane Tajemnica Inne niejawne osobowe przedsiębiorstwa tajemnicePoufność Tak Tak Tak Tak TakIntegralność Tak Tak Tak - -Dostępność Tak Tak - - -Autentyczność Tak - - - -Rozliczalność Tak Tak Tak - -Niezaprzeczalność Tak - - - -Niezawodność Tak - - - - Źródło: A. Guzik, SZBI receptą na bezpieczeństwo informacji, Hakin9 3/2010, s. 70 - 77 8
    • Cykl Deminga (ang. Plan-Do-Check-Act) stosowany wprocesach SZBI PLANUJ Ustanowienie SZBIZainteresowane Zainteresowane strony strony WYKONUJ DZIAŁAJ Wymagania i Wdrożenie i Utrzymanie i oczekiwania eksploatacja doskonalenie SZBI SZBI dotyczące Zarządzaniebezpieczeństwa bezpieczeństwem informacji informacji SPRAWDZAJ Monitorowanie i przegląd SZBI Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 9
    • Cykl Deminga (ang. Plan-Do- Check-Act) stosowany w procesach SZBIPlanuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacjiWykonuj (wdrożenie i Wdrożenie i eksploatacja polityki SZBI,eksploatacja SZBI) zabezpieczeń, procesów i procedur.Sprawdzaj (monitorowanie Szacowanie, i tam gdzie ma zastosowanie, pomiari przegląd SZBI) wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu.Działaj (utrzymanie i Podejmowanie działań korygujących idoskonalenie SZBI) zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 10
    • Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności chronią przed narażają zwiększają zwiększająZabezpieczenia Ryzyka Zasoby realizowane analiza przez wskazuje zwiększają posiadają Wymagania w Wartości zakresie ochrony Źródło: PN-I-13335-1 11
    • Od kiedy podmiot publiczny będziezobowiązany do wprowadzeniaSZBI? § 23. Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia. 12