2. Podstawa prawna
§ 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia
2012 r. w sprawie Krajowych Ram
Interoperacyjności, minimalnych wymagań dla rejestrów
publicznych i wymiany informacji w postaci elektronicznej oraz
minimalnych wymagań dla systemów teleinformatycznych (Dz.U z
2012 r. nr 526)
1. Podmiot realizujący zadania publiczne opracowuje i
ustanawia, wdraża i eksploatuje, monitoruje i przegląda
oraz utrzymuje i doskonali system zarządzania
bezpieczeństwem informacji zapewniający
poufność, dostępność i integralność informacji z
uwzględnieniem takich atrybutów, jak
autentyczność, rozliczalność, niezaprzeczalność i
niezawodność.
2. Zarządzanie bezpieczeństwem informacji realizowane jest w
szczególności przez zapewnienie przez kierownictwo
podmiotu publicznego warunków umożliwiających realizację i
egzekwowanie działań wymienionych w ust. 2.
4. Niezależnie od zapewnienia działań, o których mowa w ust.
2, w przypadkach uzasadnionych analizą ryzyka w systemach 2
3. Wcześniejszy stan prawny
§ 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11
października 2005 r. w sprawie minimalnych wymagań
dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212
poz. 1766)
1. Podmiot publiczny opracowuje, modyfikuje w
zależności od potrzeb oraz wdraża politykę
bezpieczeństwa dla systemów teleinformatycznych
używanych przez ten podmiot do realizacji zadań
publicznych.
2. Przy opracowywaniu polityki bezpieczeństwa, o której
mowa w ust. 1, podmiot publiczny powinien uwzględniać
postanowienia Polskich Norm z zakresu bezpieczeństwa
informacji.
3
4. Przepisy KRI a normy
§ 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje
się za spełnione, jeżeli system zarządzania
bezpieczeństwem informacji został opracowany na
podstawie Polskiej Normy PN-ISO/IEC 27001, a
ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz
audytowanie odbywa się na podstawie Polskich Norm
związanych z tą normą, w tym:
1) PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do
ustanawiania zabezpieczeń;
2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania
ryzykiem;
3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania
techniki informatycznej po katastrofie w ramach
zarządzania ciągłością działania.
4
6. Terminy i definicje związane z
SZBI wg normy ISO 27001
Bezpieczeństwo informacji Zachowanie poufności, integralności i
dostępności informacji; dodatkowo mogą być
brane pod uwagę inne własności, takie jak
autentyczność, rozliczalność, niezaprzeczalność i
niezawodność.
System zarządzania Ta część całościowego systemu zarządzania,
bezpieczeństwem informacji oparta na podejściu wynikającym z ryzyka
(ang. Information Security biznesowego, odnosząca się do ustanawiania,
Management System) wdrażania, eksploatacji, monitorowania,
utrzymywania i doskonalenia bezpieczeństwa
informacji.
Deklaracja stosowania Dokument, w którym opisano cele stosowania
zabezpieczeń oraz zabezpieczenia, które odnoszą
się i mają zastosowanie w SZBI danej organizacji.
Analiza ryzyka Systematyczne wykorzystanie informacji do
zidentyfikowania źródeł i oszacowania ryzyka.
Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
zarządzania bezpieczeństwem informacji - Wymagania 6
7. Atrybuty bezpieczeństwa
informacji
Poufność właściwość, że informacja nie jest udostępniana lub wyjawiana
(ISO 27001) nieupoważnionym osobom, podmiotom lub procesom;
Integralność właściwość zapewnienia dokładności i kompletności aktywów
(ISO 27001) (zasobów);
Dostępność właściwość bycia dostępnym i użytecznym na żądanie
(ISO 27001) upoważnionego podmiotu;
Autentyczność właściwość polegającą na tym, że pochodzenie lub zawartość
(KRI) danych opisujących obiekt są takie, jak deklarowane;
Rozliczalność właściwość systemu pozwalającą przypisać określone działanie
(KRI) w systemie do osoby fizycznej lub procesu oraz umiejscowić je w
czasie.
Niezaprzeczalność brak możliwości zanegowania swego uczestnictwa w całości lub
(KRI) w części wymiany danych przez jeden z podmiotów
uczestniczących w tej wymianie;
Niezawodność właściwość oznaczająca spójne, zamierzone zachowanie i
(PN-I-13335-1) skutki.
7
8. Atrybuty bezpieczeństwa
informacji – porównanie regulacji
Atrybuty Bezpieczeństwo informacji
informacji
ISO 27001 Informacje Dane Tajemnica Inne
niejawne osobowe przedsiębiorstwa tajemnice
Poufność Tak Tak Tak Tak Tak
Integralność Tak Tak Tak - -
Dostępność Tak Tak - - -
Autentyczność Tak - - - -
Rozliczalność Tak Tak Tak - -
Niezaprzeczalność Tak - - - -
Niezawodność Tak - - - -
Źródło: A. Guzik, SZBI receptą na bezpieczeństwo
informacji, Hakin9 3/2010, s. 70 - 77 8
9. Cykl Deminga (ang. Plan-Do-
Check-Act) stosowany w
procesach SZBI
PLANUJ
Ustanowienie
SZBI
Zainteresowane Zainteresowane
strony strony
WYKONUJ DZIAŁAJ
Wymagania i Wdrożenie i Utrzymanie i
oczekiwania eksploatacja doskonalenie
SZBI SZBI
dotyczące Zarządzanie
bezpieczeństwa bezpieczeństwem
informacji informacji
SPRAWDZAJ
Monitorowanie i
przegląd SZBI
Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
zarządzania bezpieczeństwem informacji - Wymagania 9
10. Cykl Deminga (ang. Plan-Do-
Check-Act) stosowany w
procesach SZBI
Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i
procedur istotnych dla zarządzania ryzykiem oraz
doskonalenia bezpieczeństwa informacji tak, aby
uzyskać wyniki zgodne z ogólnymi politykami i
celami organizacji
Wykonuj (wdrożenie i Wdrożenie i eksploatacja polityki SZBI,
eksploatacja SZBI) zabezpieczeń, procesów i procedur.
Sprawdzaj (monitorowanie Szacowanie, i tam gdzie ma zastosowanie, pomiar
i przegląd SZBI) wydajności procesów w odniesieniu do polityki SZBI,
celów i doświadczenia praktycznego oraz
dostarczanie raportów kierownictwu do przeglądu.
Działaj (utrzymanie i Podejmowanie działań korygujących i
doskonalenie SZBI) zapobiegawczych w oparciu o wyniki wewnętrznego
audytu SZBI i przeglądu realizowanego przez
kierownictwo lub innych istotnych informacji, w celu
zapewnienia ciągłego doskonalenia SZBI.
Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
zarządzania bezpieczeństwem informacji - Wymagania 10
11. Związki w zarządzaniu
ryzykiem
Zagrożenia wykorzystują Podatności
chronią
przed narażają
zwiększają zwiększają
Zabezpieczenia Ryzyka Zasoby
realizowane analiza
przez wskazuje zwiększają posiadają
Wymagania w
Wartości
zakresie ochrony
Źródło: PN-I-13335-1 11
12. Od kiedy podmiot publiczny będzie
zobowiązany do wprowadzenia
SZBI?
§ 23. Systemy teleinformatyczne
podmiotów realizujących zadania publiczne
funkcjonujące w dniu wejścia w życie
rozporządzenia na podstawie dotychczas
obowiązujących przepisów należy
dostosować do wymagań, o których mowa
w rozdziale IV rozporządzenia, nie później
niż w dniu ich pierwszej istotnej
modernizacji przypadającej po wejściu w
życie rozporządzenia.
12