2. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Adam Mizerski:
audytor systemów teleinformatycznych, ekspert ds. bezpieczeństwa (twórca
portalu http://www.itsecurity24.info/) oraz metod zintegrowanej analizy
ryzyka jak również zarządzania IT. Specjalista z obszaru informatyki
w zakresie wyceny środków trwałych oraz wartości niematerialnych
i prawnych wartości spółek giełdowych. Wieloletni „karbowy XXI wieku” czyli
szef działu IT.
Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwa
i Kontroli Systemów Informacyjnych (afiliacja w ISACA International),
wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego,
członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.
3. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
„STOWARZYSZENIE AUDYTU, KONTROLI
I BEZPIECZEŃSTWA SYSTEMÓW INFORMACYJNYCH”
POWSTAŁO W 2011 ROKU, Z INICJATYWY CZŁONKÓW
ISACA Z MAŁOPOLSKI I ŚLĄSKA. W LUTYM 2012 R.,
JAKO ISACA KATOWICE CHAPTER UZYSKAŁO
AFILIACJĘ OD ISACA INTERNATIONAL - ORGANIZACJI
DZIAŁAJĄCEJ OD 1967 ROKU, KTÓREJ CZŁONKAMI
NA CAŁYM ŚWIECIE JEST PONAD 109 000
PROFESJONALISTÓW.
4. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
C E L A M I S TAT U T O W Y M I S T O WA R Z Y S Z E N I A I S A C A K AT O W I C E C H A P T E R
S Ą :
P R O M O WA N I E W I E D Z Y D O T Y C Z Ą C E J N O R M , S TA N D A R D Ó W I D O B R Y C H
P R A K T Y K Z A R Z Ą D Z A N I A S Y S T E M A M I I N F O R M A C YJ N Y M I ,
D Z I A Ł A L N O Ś Ć E D U K A C YJ N A I N A U KO WA S Ł U Ż Ą C A P O D N O S Z E N I U O R A Z
R O Z W I J A N I U W I E D Z Y I U M I E J Ę T N O Ś C I W Z A K R E S I E Z A R Z Ą D Z A N I A ,
A U D Y T U I Z A P E W N I E N I A B E Z P I E C Z E Ń S T WA S Y S T E M Ó W
I N F O R M A C YJ N Y C H – W T Y M O R G A N I Z A C J A S Z KO L E Ń
P R Z Y G O T O W U J Ą C Y C H N A E G Z A M I N Y U M O Ż L I W I A J Ą C E U Z Y S K A N I E
P R E S T I Ż O W Y C H C E R T Y F I K AT Ó W C I S A , C I S M , C R I S C , C G E I T, C S X ,
Ś W I A D C Z E N I E U S Ł U G O P I N I O D AW C Z Y C H I D O R A D C Z Y C H W D Z I E D Z I N I E
Z A R Z Ą D Z A N I A , A U D Y T U I KO N T R O L I S Y S T E M Ó W I N F O R M A C YJ N Y C H
O R A Z B E Z P I E C Z E Ń S T WA I N F O R M A C J I .
5. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
W W Y N I K U I N T E N S Y W N E G O R O Z W O J U I S A C A K AT O W I C E C H A P T E R ,
W R O K U 2 0 1 3 C H A P T E R S U P P O R T C O M M I T T E E P R Z Y Z N A Ł I S A C A
K AT O W I C E N A G R O D Ę W K AT E G O R I I M A Ł E G O O D D Z I A Ł U Z A
O S I Ą G N I Ę C I E 4 2 % W Z R O S T U L I C Z B Y C Z Ł O N K Ó W – 2 0 1 3 G R O W T H
A W A R D W I N N E R F O R S M A L L C H A P T E R , K T Ó R A Z O S TA Ł A
W R Ę C Z O N A P R E Z E S O W I Z A R Z Ą D U , W R A M A C H
M I Ę D Z Y N A R O D O W E J K O N F E R E N C J I L I D E R Ó W I S A C A W L A S V E G A S ,
W 2 0 1 4 R .
ZAPRASZAMY DO WSPÓŁPRACY
WIĘCEJ INFORMACJI NA STRONIE
WWW.ISACA.KATOWICE.PL
J E D N O C Z E Ś N I E P R Z E K R A C Z A J Ą C L I C Z B Ę S T U C Z Ł O N K Ó W, I S A C A K AT O W I C E
P R Z E S U N Ę Ł A S I Ę D O G R U P Y M E D I U M C H A P T E R S .
7. SZEF I T = „ KARB OWY XXI WI EKU” (8 L AT )
AKT UAL NI E DEPARTAMENT AUDYT U WEWNĘT RZNEGO
WDRAŻANIE
PN-ISO/IEC 27001
OKIEM „KARBOWEGO XXI WIEKU”
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
8. CZY WARTO WDRAŻAĆ
PN-ISO/IEC 27001
W WARUNKACH URZĘDU ?
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
9. K R IXIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
https://openclipart.org/detail/18269/crow-flying-down
K R A
K R A
https://openclipart.org/detail/192510/2-fliegende-kraehen
10. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
§ 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża
i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania
bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji
z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność
i niezawodność.
2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez
zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających
realizację i egzekwowanie następujących działań:
1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego
się otoczenia;
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do
przetwarzania informacji obejmującej ich rodzaj i konfigurację;
3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub
poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do
wyników przeprowadzonej analizy;
I TAK DO PKT 14 !!!
11. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
3. Wymagania określone w ust. 1 i 2 uznaje się za
spełnione, jeżeli system zarządzania bezpieczeństwem
informacji został opracowany na podstawie Polskiej Normy
PN-ISO/IEC 27001, a ustanawianie zabezpieczeń,
zarządzanie ryzykiem oraz audytowanie odbywa się na
podstawie Polskich Norm związanych z tą normą, w tym:
1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania
zabezpieczeń;
2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania
ryzykiem;
3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania
techniki informatycznej po katastrofie w ramach zarządzania
ciągłością działania.
12. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
3. Wymagania określone w ust. 1 i 2 uznaje się za
spełnione, jeżeli system zarządzania bezpieczeństwem
informacji został opracowany na podstawie Polskiej Normy
PN-ISO/IEC 27001, a ustanawianie zabezpieczeń,
zarządzanie ryzykiem oraz audytowanie odbywa się na
podstawie Polskich Norm związanych z tą normą, w tym:
1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania
zabezpieczeń;
2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania
ryzykiem;
3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania
techniki informatycznej po katastrofie w ramach zarządzania
ciągłością działania.
13. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
http://www.itsecurity24.info
14. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
http://www.itsecurity24.info
15. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
http://www.itsecurity24.info
Czytając raport NIK można stwierdzić, że
kontrolowane urzędy skoncentrowały się głównie na
ochronie danych osobowych, jednak „nie wprzęgły”
ochrony danych osobowych w kompleksowy System
Zarządzania Bezpieczeństwem Informacji:
16. TAKIE SYSTEMOWE DZIAŁANIE
DAJE WYKORZYSTANIE
PN-ISO/IEC 27001
XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
18. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
PN-ISO/IEC 27005:2014-01 - wersja polska
Technika informatyczna - Techniki bezpieczeństwa
Zarządzanie ryzykiem w bezpieczeństwie informacji
Zakres
W niniejszej Normie Międzynarodowej podano wytyczne dotyczące zarządzania ryzykiem
w bezpieczeństwie informacji.
W niniejszej Normie Międzynarodowej rozwinięto ogólne koncepcje określone w ISO/IEC 27001,
opracowano ją w celu wsparcia satysfakcjonującego wdrożenia podejścia do bezpieczeństwa
opartego na zarządzaniu ryzykiem.
Znajomość koncepcji, modeli, procesów i terminologii podanych w ISO/IEC 27001 oraz ISO/IEC
27002 jest istotna dla zrozumienia niniejszej Normy Międzynarodowej.
Niniejsza Norma Międzynarodowa ma zastosowanie do wszystkich typów organizacji (np.
przedsiębiorstw, instytucji rządowych, organizacji non-profit), które zamierzają zarządzać ryzykami,
które mogą spowodować naruszenie bezpieczeństwa informacji w tych organizacjach.
http://sklep.pkn.pl/pn-iso-iec-27005-2014-01p.html
19. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
PN-ISO/IEC 27002:2014-12 - wersja polska
Technika informatyczna - Techniki bezpieczeństwa
Praktyczne zasady zabezpieczania informacji
Zakres
W niniejszej Normie Międzynarodowej podano zalecenia dotyczące standardów bezpieczeństwa
informacji w organizacjach i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru,
wdrażania i zarządzania zabezpieczeniami, z uwzględnieniem środowiska (środowisk) w którym
(których) w organizacji występuje (-ą) ryzyko w bezpieczeństwie informacji.
Niniejsza Norma Międzynarodowa jest przeznaczona do stosowania przez organizacje, które
zamierzają:
a) wybierać zabezpieczenia w ramach procesu wdrażania Systemu Zarządzania Bezpieczeństwem
Informacji zgodnie z ISO/IEC 27001;
b) wdrażać powszechnie akceptowane zabezpieczenia informacji;
c) opracować własne zalecenia w zakresie zarządzania bezpieczeństwem informacji.
http://sklep.pkn.pl/pn-iso-iec-27002-2014-12p.html
20. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
https://openclipart.org/detail/189916/standing-unicorn
22. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Sformułowano następujące hipotezy badawcze:
Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za
pomocą systemów teleinformatycznych zgodnie z przepisami KRI.
Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza usługami
realizowanymi za pomocą systemów teleinformatycznych jest zależna od
wielkości podmiotu, liczby i wykształcenia osób związanych z IT.
Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemu
zarządzania bezpieczeństwem informacji.
Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależy
od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.
Hipoteza 5: Większość systemów teleinformatycznych badanych podmiotów służących
do prezentacji zasobów informacji nie jest zgodnych ze standardem
WCAG 2.0.
Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemów
teleinformatycznych służących do prezentacji zasobów informacji ze
standardem WCAG 2.0.
Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak kwalifikacji kadry badanych
jednostek.
23. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Z BADANIA PTI:
NA OK 330 URZĘDÓW:
NORMĘ 27001 POSIADA TYLKO
26 !?!*
* DANE NIEPEŁNE BADANIE W TRAKCIE REALIZACJI
24. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Z BADANIA PTI:
* DANE NIEPEŁNE BADANIE W TRAKCIE REALIZACJI
Urząd Marszałkowski Województwa Podkarpackiego 2014
Urząd Miasta Bydgoszcz GM 2014
Urząd Miasta Jastrzębie Zdrój MNP 2014
Urząd Miasta Kielce MNP 2014
Urząd Miasta Legnica GM 2014
Urząd Miasta Ostróda GM 2011
Urząd Miasta Piotrkowa Trybunalskiego MNP 2012
Urząd Miasta Wałbrzych GM 2008
Urząd Miejski w Wolsztynie GM 2012
25. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
W WARUNKACH URZĘDU
26. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT IT ???
27. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT ORGANIZACJI
28. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
JAKO PROJEKT ORGANIZACJI
MUSI BYĆ „SPONSOR”
29. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
W MODELU ITIL
30. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
WDROŻENIE
PN-ISO/IEC 27001
W MODELU ITIL
FORUM BEZPIECZEŃSTWA
31. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
FORUM BEZPIECZEŃSTWA :
Przywództwo
Reprezentatywność
Regularne spotkania
Przegląd „Załącznika A” w modelu PDCA
Burza mózgów + cele S.M.A.R.T
+ „quick win”
https://openclipart.org/detail/3977/stopwatch-no-shading
32. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
Czarny sen
administratora
(szukając
pomocy w
ISO/IEC 22301
i COBIT 5)
Nie/Płacz po katastrofie:
PN-ISO/IEC 24762:2010
Źródło: http://www.itwadministracji.pl/numery/kwiecien-2015/apetyt-na-ryzyko.html
33. XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015
D Z I Ę K U J E
Z A
U W A G Ę
Adam Mizerski adam@mizerski.net.pl 507-071-401
www.isaca.katowice.pl
www.slideshare.net/AdamMizerski
www.itsecurity24.info