Krzysztof Świtała    WPiA UKSW
Podstawa prawna    § 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia     2012         r.     w         sprawie       ...
Wcześniejszy stan prawny   § 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11    października 2005 r. w sprawie minimalnych wyma...
Przepisy KRI a normy    § 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje     się   za     spełnione,   jeżeli   s...
Hierarchia norm związanych zSZBI                               5
Terminy i definicje związane z SZBI wg normy ISO 27001Bezpieczeństwo informacji                 Zachowanie     poufności, ...
Atrybuty bezpieczeństwa informacjiPoufność            właściwość, że informacja nie jest udostępniana lub wyjawiana(ISO 27...
Atrybuty bezpieczeństwa  informacji – porównanie regulacjiAtrybuty            Bezpieczeństwo informacjiinformacji         ...
Cykl Deminga (ang. Plan-Do-Check-Act)     stosowany wprocesach SZBI                                                   PLAN...
Cykl Deminga (ang. Plan-Do-  Check-Act)                      stosowany                      w  procesach SZBIPlanuj (ustan...
Związki w zarządzaniu ryzykiem          Zagrożenia           wykorzystują               Podatności        chronią         ...
Od kiedy podmiot publiczny będziezobowiązany do wprowadzeniaSZBI?   §     23.    Systemy     teleinformatyczne    podmiot...
Upcoming SlideShare
Loading in …5
×

System zarządzania bezpieczeństwem informacji w podmiotach publicznych

3,292 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,292
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

System zarządzania bezpieczeństwem informacji w podmiotach publicznych

  1. 1. Krzysztof Świtała WPiA UKSW
  2. 2. Podstawa prawna § 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526)1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w ust. 2.4. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach 2
  3. 3. Wcześniejszy stan prawny § 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212 poz. 1766) 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji. 3
  4. 4. Przepisy KRI a normy § 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:1) PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do ustanawiania zabezpieczeń;2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem;3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4
  5. 5. Hierarchia norm związanych zSZBI 5
  6. 6. Terminy i definicje związane z SZBI wg normy ISO 27001Bezpieczeństwo informacji Zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.System zarządzania Ta część całościowego systemu zarządzania,bezpieczeństwem informacji oparta na podejściu wynikającym z ryzyka(ang. Information Security biznesowego, odnosząca się do ustanawiania,Management System) wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.Deklaracja stosowania Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji.Analiza ryzyka Systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 6
  7. 7. Atrybuty bezpieczeństwa informacjiPoufność właściwość, że informacja nie jest udostępniana lub wyjawiana(ISO 27001) nieupoważnionym osobom, podmiotom lub procesom;Integralność właściwość zapewnienia dokładności i kompletności aktywów(ISO 27001) (zasobów);Dostępność właściwość bycia dostępnym i użytecznym na żądanie(ISO 27001) upoważnionego podmiotu;Autentyczność właściwość polegającą na tym, że pochodzenie lub zawartość(KRI) danych opisujących obiekt są takie, jak deklarowane;Rozliczalność właściwość systemu pozwalającą przypisać określone działanie(KRI) w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie.Niezaprzeczalność brak możliwości zanegowania swego uczestnictwa w całości lub(KRI) w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;Niezawodność właściwość oznaczająca spójne, zamierzone zachowanie i(PN-I-13335-1) skutki. 7
  8. 8. Atrybuty bezpieczeństwa informacji – porównanie regulacjiAtrybuty Bezpieczeństwo informacjiinformacji ISO 27001 Informacje Dane Tajemnica Inne niejawne osobowe przedsiębiorstwa tajemnicePoufność Tak Tak Tak Tak TakIntegralność Tak Tak Tak - -Dostępność Tak Tak - - -Autentyczność Tak - - - -Rozliczalność Tak Tak Tak - -Niezaprzeczalność Tak - - - -Niezawodność Tak - - - - Źródło: A. Guzik, SZBI receptą na bezpieczeństwo informacji, Hakin9 3/2010, s. 70 - 77 8
  9. 9. Cykl Deminga (ang. Plan-Do-Check-Act) stosowany wprocesach SZBI PLANUJ Ustanowienie SZBIZainteresowane Zainteresowane strony strony WYKONUJ DZIAŁAJ Wymagania i Wdrożenie i Utrzymanie i oczekiwania eksploatacja doskonalenie SZBI SZBI dotyczące Zarządzaniebezpieczeństwa bezpieczeństwem informacji informacji SPRAWDZAJ Monitorowanie i przegląd SZBI Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 9
  10. 10. Cykl Deminga (ang. Plan-Do- Check-Act) stosowany w procesach SZBIPlanuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacjiWykonuj (wdrożenie i Wdrożenie i eksploatacja polityki SZBI,eksploatacja SZBI) zabezpieczeń, procesów i procedur.Sprawdzaj (monitorowanie Szacowanie, i tam gdzie ma zastosowanie, pomiari przegląd SZBI) wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu.Działaj (utrzymanie i Podejmowanie działań korygujących idoskonalenie SZBI) zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 10
  11. 11. Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności chronią przed narażają zwiększają zwiększająZabezpieczenia Ryzyka Zasoby realizowane analiza przez wskazuje zwiększają posiadają Wymagania w Wartości zakresie ochrony Źródło: PN-I-13335-1 11
  12. 12. Od kiedy podmiot publiczny będziezobowiązany do wprowadzeniaSZBI? § 23. Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia. 12

×