Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015

WDRAŻANIE
PN-ISO/IEC 27001
W WARUNKACH URZĘDU
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015

Adam Mizerski:
audytor systemów teleinformatycznych, ekspert ds. bezpieczeństwa (twórca
portalu http://www.itsecurity24.info/) oraz metod zintegrowanej analizy
ryzyka jak również zarządzania IT. Specjalista z obszaru informatyki
w zakresie wyceny środków trwałych oraz wartości niematerialnych
i prawnych wartości spółek giełdowych. Wieloletni „karbowy XXI wieku” czyli
szef działu IT.
Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwa
i Kontroli Systemów Informacyjnych (afiliacja w ISACA International),
wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego,
członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.

„STOWARZYSZENIE AUDYTU, KONTROLI
I BEZPIECZEŃSTWA SYSTEMÓW INFORMACYJNYCH”
POWSTAŁO W 2011 ROKU, Z INICJATYWY CZŁONKÓW
ISACA Z MAŁOPOLSKI I ŚLĄSKA. W LUTYM 2012 R.,
JAKO ISACA KATOWICE CHAPTER UZYSKAŁO
AFILIACJĘ OD ISACA INTERNATIONAL - ORGANIZACJI
DZIAŁAJĄCEJ OD 1967 ROKU, KTÓREJ CZŁONKAMI
NA CAŁYM ŚWIECIE JEST PONAD 109 000
PROFESJONALISTÓW.

C E L A M I S TAT U T O W Y M I S T O WA R Z Y S Z E N I A I S A C A K AT O W I C E C H A P T E R
S Ą :
P R O M O WA N I E W I E D Z Y D O T Y C Z Ą C E J N O R M , S TA N D A R D Ó W I D O B R Y C H
P R A K T Y K Z A R Z Ą D Z A N I A S Y S T E M A M I I N F O R M A C YJ N Y M I ,
D Z I A Ł A L N O Ś Ć E D U K A C YJ N A I N A U KO WA S Ł U Ż Ą C A P O D N O S Z E N I U O R A Z
R O Z W I J A N I U W I E D Z Y I U M I E J Ę T N O Ś C I W Z A K R E S I E Z A R Z Ą D Z A N I A ,
A U D Y T U I Z A P E W N I E N I A B E Z P I E C Z E Ń S T WA S Y S T E M Ó W
I N F O R M A C YJ N Y C H – W T Y M O R G A N I Z A C J A S Z KO L E Ń
P R Z Y G O T O W U J Ą C Y C H N A E G Z A M I N Y U M O Ż L I W I A J Ą C E U Z Y S K A N I E
P R E S T I Ż O W Y C H C E R T Y F I K AT Ó W C I S A , C I S M , C R I S C , C G E I T, C S X ,
Ś W I A D C Z E N I E U S Ł U G O P I N I O D AW C Z Y C H I D O R A D C Z Y C H W D Z I E D Z I N I E
Z A R Z Ą D Z A N I A , A U D Y T U I KO N T R O L I S Y S T E M Ó W I N F O R M A C YJ N Y C H
O R A Z B E Z P I E C Z E Ń S T WA I N F O R M A C J I .

W W Y N I K U I N T E N S Y W N E G O R O Z W O J U I S A C A K AT O W I C E C H A P T E R ,
W R O K U 2 0 1 3 C H A P T E R S U P P O R T C O M M I T T E E P R Z Y Z N A Ł I S A C A
K AT O W I C E N A G R O D Ę W K AT E G O R I I M A Ł E G O O D D Z I A Ł U Z A
O S I Ą G N I Ę C I E 4 2 % W Z R O S T U L I C Z B Y C Z Ł O N K Ó W – 2 0 1 3 G R O W T H
A W A R D W I N N E R F O R S M A L L C H A P T E R , K T Ó R A Z O S TA Ł A
W R Ę C Z O N A P R E Z E S O W I Z A R Z Ą D U , W R A M A C H
M I Ę D Z Y N A R O D O W E J K O N F E R E N C J I L I D E R Ó W I S A C A W L A S V E G A S ,
W 2 0 1 4 R .
ZAPRASZAMY DO WSPÓŁPRACY
WIĘCEJ INFORMACJI NA STRONIE
WWW.ISACA.KATOWICE.PL
J E D N O C Z E Ś N I E P R Z E K R A C Z A J Ą C L I C Z B Ę S T U C Z Ł O N K Ó W, I S A C A K AT O W I C E
P R Z E S U N Ę Ł A S I Ę D O G R U P Y M E D I U M C H A P T E R S .

SZEF I T = „ KARB OWY XXI WI EKU” (8 L AT )
AKT UAL NI E DEPARTAMENT AUDYT U WEWNĘT RZNEGO
WDRAŻANIE
PN-ISO/IEC 27001
OKIEM „KARBOWEGO XXI WIEKU”

CZY WARTO WDRAŻAĆ
PN-ISO/IEC 27001
W WARUNKACH URZĘDU ?

K R IXIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
https://openclipart.org/detail/18269/crow-flying-down
K R A
K R A
https://openclipart.org/detail/192510/2-fliegende-kraehen

§ 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża
i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania
bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji
z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność
i niezawodność.
2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez
zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających
realizację i egzekwowanie następujących działań:
1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego
się otoczenia;
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do
przetwarzania informacji obejmującej ich rodzaj i konfigurację;
3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub
poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do
wyników przeprowadzonej analizy;
I TAK DO PKT 14 !!!

3. Wymagania określone w ust. 1 i 2 uznaje się za
spełnione, jeżeli system zarządzania bezpieczeństwem
informacji został opracowany na podstawie Polskiej Normy
PN-ISO/IEC 27001, a ustanawianie zabezpieczeń,
zarządzanie ryzykiem oraz audytowanie odbywa się na
podstawie Polskich Norm związanych z tą normą, w tym:
1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania
zabezpieczeń;
2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania
ryzykiem;
3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania
techniki informatycznej po katastrofie w ramach zarządzania
ciągłością działania.

http://www.itsecurity24.info

http://www.itsecurity24.info
Czytając raport NIK można stwierdzić, że
kontrolowane urzędy skoncentrowały się głównie na
ochronie danych osobowych, jednak „nie wprzęgły”
ochrony danych osobowych w kompleksowy System
Zarządzania Bezpieczeństwem Informacji:

TAKIE SYSTEMOWE DZIAŁANIE
DAJE WYKORZYSTANIE
PN-ISO/IEC 27001

PN-ISO/IEC 27001
PN-ISO/IEC 27005
PN-ISO/IEC 27002

PN-ISO/IEC 27005:2014-01 - wersja polska
Technika informatyczna - Techniki bezpieczeństwa
Zarządzanie ryzykiem w bezpieczeństwie informacji
Zakres
W niniejszej Normie Międzynarodowej podano wytyczne dotyczące zarządzania ryzykiem
w bezpieczeństwie informacji.
W niniejszej Normie Międzynarodowej rozwinięto ogólne koncepcje określone w ISO/IEC 27001,
opracowano ją w celu wsparcia satysfakcjonującego wdrożenia podejścia do bezpieczeństwa
opartego na zarządzaniu ryzykiem.
Znajomość koncepcji, modeli, procesów i terminologii podanych w ISO/IEC 27001 oraz ISO/IEC
27002 jest istotna dla zrozumienia niniejszej Normy Międzynarodowej.
Niniejsza Norma Międzynarodowa ma zastosowanie do wszystkich typów organizacji (np.
przedsiębiorstw, instytucji rządowych, organizacji non-profit), które zamierzają zarządzać ryzykami,
które mogą spowodować naruszenie bezpieczeństwa informacji w tych organizacjach.
http://sklep.pkn.pl/pn-iso-iec-27005-2014-01p.html

PN-ISO/IEC 27002:2014-12 - wersja polska
Technika informatyczna - Techniki bezpieczeństwa
Praktyczne zasady zabezpieczania informacji
Zakres
W niniejszej Normie Międzynarodowej podano zalecenia dotyczące standardów bezpieczeństwa
informacji w organizacjach i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru,
wdrażania i zarządzania zabezpieczeniami, z uwzględnieniem środowiska (środowisk) w którym
(których) w organizacji występuje (-ą) ryzyko w bezpieczeństwie informacji.
Niniejsza Norma Międzynarodowa jest przeznaczona do stosowania przez organizacje, które
zamierzają:
a) wybierać zabezpieczenia w ramach procesu wdrażania Systemu Zarządzania Bezpieczeństwem
Informacji zgodnie z ISO/IEC 27001;
b) wdrażać powszechnie akceptowane zabezpieczenia informacji;
c) opracować własne zalecenia w zakresie zarządzania bezpieczeństwem informacji.
http://sklep.pkn.pl/pn-iso-iec-27002-2014-12p.html

https://openclipart.org/detail/189916/standing-unicorn

Sformułowano następujące hipotezy badawcze:
Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za
pomocą systemów teleinformatycznych zgodnie z przepisami KRI.
Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza usługami
realizowanymi za pomocą systemów teleinformatycznych jest zależna od
wielkości podmiotu, liczby i wykształcenia osób związanych z IT.
Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemu
zarządzania bezpieczeństwem informacji.
Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależy
od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.
Hipoteza 5: Większość systemów teleinformatycznych badanych podmiotów służących
do prezentacji zasobów informacji nie jest zgodnych ze standardem
WCAG 2.0.
Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemów
teleinformatycznych służących do prezentacji zasobów informacji ze
standardem WCAG 2.0.
Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak kwalifikacji kadry badanych
jednostek.

Z BADANIA PTI:
NA OK 330 URZĘDÓW:
NORMĘ 27001 POSIADA TYLKO
26 !?!*
* DANE NIEPEŁNE BADANIE W TRAKCIE REALIZACJI

Z BADANIA PTI:
* DANE NIEPEŁNE BADANIE W TRAKCIE REALIZACJI
Urząd Marszałkowski Województwa Podkarpackiego 2014
Urząd Miasta Bydgoszcz GM 2014
Urząd Miasta Jastrzębie Zdrój MNP 2014
Urząd Miasta Kielce MNP 2014
Urząd Miasta Legnica GM 2014
Urząd Miasta Ostróda GM 2011
Urząd Miasta Piotrkowa Trybunalskiego MNP 2012
Urząd Miasta Wałbrzych GM 2008
Urząd Miejski w Wolsztynie GM 2012

WDROŻENIE
PN-ISO/IEC 27001
W WARUNKACH URZĘDU

WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT IT ???

WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT ORGANIZACJI

WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT ORGANIZACJI
MUSI BYĆ „SPONSOR”

WDROŻENIE
PN-ISO/IEC 27001
W MODELU ITIL

WDROŻENIE
PN-ISO/IEC 27001
W MODELU ITIL
FORUM BEZPIECZEŃSTWA

FORUM BEZPIECZEŃSTWA :
 Przywództwo
 Reprezentatywność
 Regularne spotkania
 Przegląd „Załącznika A” w modelu PDCA
 Burza mózgów + cele S.M.A.R.T
+ „quick win”
https://openclipart.org/detail/3977/stopwatch-no-shading

Czarny sen
administratora
(szukając
pomocy w
ISO/IEC 22301
i COBIT 5)
Nie/Płacz po katastrofie:
PN-ISO/IEC 24762:2010
Źródło: http://www.itwadministracji.pl/numery/kwiecien-2015/apetyt-na-ryzyko.html

D Z I Ę K U J E
Z A
U W A G Ę
Adam Mizerski adam@mizerski.net.pl 507-071-401
www.isaca.katowice.pl
www.slideshare.net/AdamMizerski
www.itsecurity24.info

Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015

Semelhante a Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015 (10)

Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015