Jak uzyskać zgodność ISO27001 z Krajowymi Ramami Interoperacyjności
1. Jak uzyskać zgodność z Krajowymi Ramami Interoperacyjności,
czyli o minimalnych wymaganiach w zakresie bezpieczeństwa
systemów teleinformatycznych oraz zapewnieniu zgodności
z wymaganiami normy ISO 27001
Katarzyna Cieślak – Audytor Wewnętrzny 27001, Administrator Bezpieczeństwa
Informacji (FORSAFE Sp. z o.o.)
5 listopada 2015r.
Łódź
2. Akty prawne
Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących
zadania Publiczne (tekst jednolity: Dz. U. z 2014 r. poz. 1114 z późn. zm.)
Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych
Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów
teleinformatycznych (Dz. U. z 2012 r. poz. 526 z późn. zm.)
Wymagania normy ISO/IEC 27001:2014-12 – Technika informacyjna – Techniki
bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania
5. Założenia interoperacyjności
Stworzenie warunków dla rozwoju rynku
usług świadczonych drogą elektroniczną
obywatelom i przedsiębiorcom
Efektywne świadczenie usług publicznych
Usprawnienie pracy administracji publicznej
13. Wymagania dla strony www
• Alternatywa w postaci tekstu
• Media zmienne w czasie
• Możliwość adaptacji
• Możliwość rozróżnienia
Postrzegalność
• Dostępność z klawiatury
• Wystarczająca ilość czasu
• Ataki padaczki
• Możliwość nawigacji
Funkcjonalność
14. Wymagania dla strony www
• Możliwość odczytania
• Przewidywalność
• Pomoc przy wprowadzaniu
informacji
Zrozumiałość
• KompatybilnośćSolidność
15. Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak Polityki
Bezpieczeństwa Informacji
Polityka
Bezpieczeństwa
Informacji
Polityka
Bezpieczeństwa
Danych
Osobowych
16. Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Wykorzystywanie
tradycyjnego systemu
rozpatrywania spraw
Źródło obrazu: kobieta.pl
17. Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Niewłaściwe zarządzanie
uprawnieniami
użytkowników w zakresie
dostępu do systemów
informatycznych
Źródło obrazu: archiwum własne
18. Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak zapisów o zachowaniu
poufności w umowach
z wykonawcami realizującymi
serwis oprogramowania lub
sprzętu komputerowego
Źródło obrazu: infor.pl
19. Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak zasad bezpiecznej
pracy na komputerach
przenośnych
Źródło obrazu: archiwum prywatne
20. Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak realizacji corocznych
audytów wewnętrznych
w zakresie bezpieczeństwa
informacji
Źródło obrazu: seo4.net
21. Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak szkoleń pracowników
z bezpieczeństwa informacji
Źródło obrazu: kadry.infor.pl
22. Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Błędy w prezentowaniu
treści strony www
dostosowanych do potrzeb
osób niepełnosprawnych
Źródło obrazu: uke.gov.pl
ujednolicenie, rozumiane jako zastosowanie kompatybilnych norm, standardów i procedur przez różne podmioty realizujące zadania publiczne,
wymienność, rozumianą jako możliwość zastąpienia produktu, procesu lub usługi bez jednoczesnego zakłócenia wymiany informacji pomiędzy podmiotami realizującymi zadania publiczne lub pomiędzy tymi podmiotami a ich klientami, przy jednoczesnym spełnieniu wszystkich wymagań funkcjonalnych i poza funkcjonalnych współpracujących systemów
zgodność, rozumianą jako przydatność produktów, procesów lub usług przeznaczonych do wspólnego użytkowania, pod specyficznymi warunkami zapewniającymi spełnienie istotnych wymagań i przy braku niepożądanych oddziaływań
W kontekście dostępności informacji dla wszystkich obywateli istotne jest wprowadzanie rozwiązań technicznych umożliwiających korzystanie z nich przez osoby niepełnosprawne. Stąd informacje udostępniane na stronach internetowych urzędów powinny charakteryzować się także pełną czytelnością dla osób niepełnosprawnych.
Dostępność – właściwość bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot
Integralność – zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania
Poufność – zapewnienie, że informacja jest dostępna tylko dla osób do tego upoważnionych