SlideShare uma empresa Scribd logo

System zarządzania bezpieczeństwem informacji w podmiotach publicznych

Transferir como PPTX, PDF
K
KS KS
1 de 12
Krzysztof Świtała WPiA UKSW
Podstawa prawna  § 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526) 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w ust. 2. 4. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach 2
Wcześniejszy stan prawny  § 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212 poz. 1766)  1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych.  2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji. 3
Przepisy KRI a normy  § 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4
Hierarchia norm związanych z SZBI 5
Terminy i definicje związane z SZBI wg normy ISO 27001 Bezpieczeństwo informacji Zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. System zarządzania Ta część całościowego systemu zarządzania, bezpieczeństwem informacji oparta na podejściu wynikającym z ryzyka (ang. Information Security biznesowego, odnosząca się do ustanawiania, Management System) wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Deklaracja stosowania Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji. Analiza ryzyka Systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 6
Atrybuty bezpieczeństwa informacji Poufność właściwość, że informacja nie jest udostępniana lub wyjawiana (ISO 27001) nieupoważnionym osobom, podmiotom lub procesom; Integralność właściwość zapewnienia dokładności i kompletności aktywów (ISO 27001) (zasobów); Dostępność właściwość bycia dostępnym i użytecznym na żądanie (ISO 27001) upoważnionego podmiotu; Autentyczność właściwość polegającą na tym, że pochodzenie lub zawartość (KRI) danych opisujących obiekt są takie, jak deklarowane; Rozliczalność właściwość systemu pozwalającą przypisać określone działanie (KRI) w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. Niezaprzeczalność brak możliwości zanegowania swego uczestnictwa w całości lub (KRI) w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie; Niezawodność właściwość oznaczająca spójne, zamierzone zachowanie i (PN-I-13335-1) skutki. 7
Atrybuty bezpieczeństwa informacji – porównanie regulacji Atrybuty Bezpieczeństwo informacji informacji ISO 27001 Informacje Dane Tajemnica Inne niejawne osobowe przedsiębiorstwa tajemnice Poufność Tak Tak Tak Tak Tak Integralność Tak Tak Tak - - Dostępność Tak Tak - - - Autentyczność Tak - - - - Rozliczalność Tak Tak Tak - - Niezaprzeczalność Tak - - - - Niezawodność Tak - - - - Źródło: A. Guzik, SZBI receptą na bezpieczeństwo informacji, Hakin9 3/2010, s. 70 - 77 8
Cykl Deminga (ang. Plan-Do- Check-Act) stosowany w procesach SZBI PLANUJ Ustanowienie SZBI Zainteresowane Zainteresowane strony strony WYKONUJ DZIAŁAJ Wymagania i Wdrożenie i Utrzymanie i oczekiwania eksploatacja doskonalenie SZBI SZBI dotyczące Zarządzanie bezpieczeństwa bezpieczeństwem informacji informacji SPRAWDZAJ Monitorowanie i przegląd SZBI Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 9
Cykl Deminga (ang. Plan-Do- Check-Act) stosowany w procesach SZBI Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji Wykonuj (wdrożenie i Wdrożenie i eksploatacja polityki SZBI, eksploatacja SZBI) zabezpieczeń, procesów i procedur. Sprawdzaj (monitorowanie Szacowanie, i tam gdzie ma zastosowanie, pomiar i przegląd SZBI) wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu. Działaj (utrzymanie i Podejmowanie działań korygujących i doskonalenie SZBI) zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 10
Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności chronią przed narażają zwiększają zwiększają Zabezpieczenia Ryzyka Zasoby realizowane analiza przez wskazuje zwiększają posiadają Wymagania w Wartości zakresie ochrony Źródło: PN-I-13335-1 11
Od kiedy podmiot publiczny będzie zobowiązany do wprowadzenia SZBI?  § 23. Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia. 12

Recomendados

DISKUSI (HARISKI ANANDA).docx
DISKUSI (HARISKI ANANDA).docxDISKUSI (HARISKI ANANDA).docx
DISKUSI (HARISKI ANANDA).docxLeoSusanto5
 
9. Korupsi Kolusi Nepotisme.pptx
9. Korupsi Kolusi Nepotisme.pptx9. Korupsi Kolusi Nepotisme.pptx
9. Korupsi Kolusi Nepotisme.pptxTataListiyawati19
 
PKI (Partai Komunis Indonesia)
PKI (Partai Komunis Indonesia)PKI (Partai Komunis Indonesia)
PKI (Partai Komunis Indonesia)Anita Yuza
 
Analisis kasus ketenagakerjaan
Analisis kasus ketenagakerjaanAnalisis kasus ketenagakerjaan
Analisis kasus ketenagakerjaanFranky L. Tobing
 
Kuhp buku ketiga
Kuhp buku ketigaKuhp buku ketiga
Kuhp buku ketigaSei Enim
 
Ppt demokrasi indonesia
Ppt demokrasi indonesiaPpt demokrasi indonesia
Ppt demokrasi indonesiaSri Hartati
 
Bahan Ajar PPL 2
Bahan Ajar PPL 2Bahan Ajar PPL 2
Bahan Ajar PPL 2depaislangga
 
Presentasi sosiologi hukum
Presentasi sosiologi hukumPresentasi sosiologi hukum
Presentasi sosiologi hukumRoy Punk
 

Recomendados

DISKUSI (HARISKI ANANDA).docx
DISKUSI (HARISKI ANANDA).docxDISKUSI (HARISKI ANANDA).docx
DISKUSI (HARISKI ANANDA).docxLeoSusanto5
 
9. Korupsi Kolusi Nepotisme.pptx
9. Korupsi Kolusi Nepotisme.pptx9. Korupsi Kolusi Nepotisme.pptx
9. Korupsi Kolusi Nepotisme.pptxTataListiyawati19
 
PKI (Partai Komunis Indonesia)
PKI (Partai Komunis Indonesia)PKI (Partai Komunis Indonesia)
PKI (Partai Komunis Indonesia)Anita Yuza
 
Analisis kasus ketenagakerjaan
Analisis kasus ketenagakerjaanAnalisis kasus ketenagakerjaan
Analisis kasus ketenagakerjaanFranky L. Tobing
 
Kuhp buku ketiga
Kuhp buku ketigaKuhp buku ketiga
Kuhp buku ketigaSei Enim
 
Ppt demokrasi indonesia
Ppt demokrasi indonesiaPpt demokrasi indonesia
Ppt demokrasi indonesiaSri Hartati
 
Bahan Ajar PPL 2
Bahan Ajar PPL 2Bahan Ajar PPL 2
Bahan Ajar PPL 2depaislangga
 
Presentasi sosiologi hukum
Presentasi sosiologi hukumPresentasi sosiologi hukum
Presentasi sosiologi hukumRoy Punk
 
1. prota promes-pekan efektif. ok
1. prota promes-pekan efektif. ok1. prota promes-pekan efektif. ok
1. prota promes-pekan efektif. okAlfian Achmad
 
Negara hukum dan hak asasi manusia
Negara hukum dan hak asasi manusiaNegara hukum dan hak asasi manusia
Negara hukum dan hak asasi manusiaNurul Annisa
 
Orde baru (Politik,ekonomi, dan keamanan)
Orde baru (Politik,ekonomi, dan keamanan)Orde baru (Politik,ekonomi, dan keamanan)
Orde baru (Politik,ekonomi, dan keamanan)Satya Hs
 
Sarekat islam
Sarekat islamSarekat islam
Sarekat islamBagus Aji
 
ancaman di bidang ideologi dan politik
ancaman di bidang ideologi dan politikancaman di bidang ideologi dan politik
ancaman di bidang ideologi dan politikNoname Noname
 
Ppt perubahan sosial
Ppt perubahan sosialPpt perubahan sosial
Ppt perubahan sosialAchmady1
 
Cuadernillo actividades (1 5)
Cuadernillo actividades (1 5)Cuadernillo actividades (1 5)
Cuadernillo actividades (1 5)Laura Iglesias Donaire. IES Fray Andrés. Puertollano
 
Teori Hukum Pembangunan
Teori Hukum PembangunanTeori Hukum Pembangunan
Teori Hukum PembangunanKardoman Tumangger
 
Sosiologi hukum s-1
Sosiologi hukum s-1Sosiologi hukum s-1
Sosiologi hukum s-1ariirwanto
 
Jenis jenis-manusia-purba
Jenis jenis-manusia-purbaJenis jenis-manusia-purba
Jenis jenis-manusia-purbajust Aray
 
Bab 2 indonesia pada masa reformasi
Bab 2 indonesia pada masa reformasiBab 2 indonesia pada masa reformasi
Bab 2 indonesia pada masa reformasiNana Cahmaxcy
 
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa barat
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa baratPemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa barat
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa baratdwiandrititi
 
Pemilu prancis
Pemilu prancisPemilu prancis
Pemilu prancisMaulida Hannah
 
2017 d anisa_yasin_k.ppt
2017 d anisa_yasin_k.ppt2017 d anisa_yasin_k.ppt
2017 d anisa_yasin_k.pptnugrohodwic7
 
Natal kristiono mata kuliah hukum adat pokok pokok hukum adat
Natal kristiono mata kuliah hukum adat pokok pokok hukum adatNatal kristiono mata kuliah hukum adat pokok pokok hukum adat
Natal kristiono mata kuliah hukum adat pokok pokok hukum adatnatal kristiono
 
Memahami hubungan ips dengan ilmu ilmu sosial pak bahri
Memahami hubungan ips dengan ilmu ilmu sosial pak bahriMemahami hubungan ips dengan ilmu ilmu sosial pak bahri
Memahami hubungan ips dengan ilmu ilmu sosial pak bahriharis07_slideshare
 
Perlindungan Dan Penegakan Hukum
Perlindungan Dan Penegakan HukumPerlindungan Dan Penegakan Hukum
Perlindungan Dan Penegakan HukumKiagoesdoni
 
Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborMichał Tabor
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, WdrożenieRekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, WdrożenieIT Auditor Sp. z o.o.
 
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PROIDEA
 
Raport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuRaport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuBusiness Insider Polska
 

Mais conteúdo relacionado

Mais procurados

1. prota promes-pekan efektif. ok
1. prota promes-pekan efektif. ok1. prota promes-pekan efektif. ok
1. prota promes-pekan efektif. okAlfian Achmad
 
Negara hukum dan hak asasi manusia
Negara hukum dan hak asasi manusiaNegara hukum dan hak asasi manusia
Negara hukum dan hak asasi manusiaNurul Annisa
 
Orde baru (Politik,ekonomi, dan keamanan)
Orde baru (Politik,ekonomi, dan keamanan)Orde baru (Politik,ekonomi, dan keamanan)
Orde baru (Politik,ekonomi, dan keamanan)Satya Hs
 
Sarekat islam
Sarekat islamSarekat islam
Sarekat islamBagus Aji
 
ancaman di bidang ideologi dan politik
ancaman di bidang ideologi dan politikancaman di bidang ideologi dan politik
ancaman di bidang ideologi dan politikNoname Noname
 
Ppt perubahan sosial
Ppt perubahan sosialPpt perubahan sosial
Ppt perubahan sosialAchmady1
 
Sosiologi hukum s-1
Sosiologi hukum s-1Sosiologi hukum s-1
Sosiologi hukum s-1ariirwanto
 
Jenis jenis-manusia-purba
Jenis jenis-manusia-purbaJenis jenis-manusia-purba
Jenis jenis-manusia-purbajust Aray
 
Bab 2 indonesia pada masa reformasi
Bab 2 indonesia pada masa reformasiBab 2 indonesia pada masa reformasi
Bab 2 indonesia pada masa reformasiNana Cahmaxcy
 
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa barat
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa baratPemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa barat
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa baratdwiandrititi
 
2017 d anisa_yasin_k.ppt
2017 d anisa_yasin_k.ppt2017 d anisa_yasin_k.ppt
2017 d anisa_yasin_k.pptnugrohodwic7
 
Natal kristiono mata kuliah hukum adat pokok pokok hukum adat
Natal kristiono mata kuliah hukum adat pokok pokok hukum adatNatal kristiono mata kuliah hukum adat pokok pokok hukum adat
Natal kristiono mata kuliah hukum adat pokok pokok hukum adatnatal kristiono
 
Memahami hubungan ips dengan ilmu ilmu sosial pak bahri
Memahami hubungan ips dengan ilmu ilmu sosial pak bahriMemahami hubungan ips dengan ilmu ilmu sosial pak bahri
Memahami hubungan ips dengan ilmu ilmu sosial pak bahriharis07_slideshare
 
Perlindungan Dan Penegakan Hukum
Perlindungan Dan Penegakan HukumPerlindungan Dan Penegakan Hukum
Perlindungan Dan Penegakan HukumKiagoesdoni
 

Mais procurados (17)

1. prota promes-pekan efektif. ok
1. prota promes-pekan efektif. ok1. prota promes-pekan efektif. ok
1. prota promes-pekan efektif. ok
 
Negara hukum dan hak asasi manusia
Negara hukum dan hak asasi manusiaNegara hukum dan hak asasi manusia
Negara hukum dan hak asasi manusia
 
Orde baru (Politik,ekonomi, dan keamanan)
Orde baru (Politik,ekonomi, dan keamanan)Orde baru (Politik,ekonomi, dan keamanan)
Orde baru (Politik,ekonomi, dan keamanan)
 
Sarekat islam
Sarekat islamSarekat islam
Sarekat islam
 
ancaman di bidang ideologi dan politik
ancaman di bidang ideologi dan politikancaman di bidang ideologi dan politik
ancaman di bidang ideologi dan politik
 
Ppt perubahan sosial
Ppt perubahan sosialPpt perubahan sosial
Ppt perubahan sosial
 
Cuadernillo actividades (1 5)
Cuadernillo actividades (1 5)Cuadernillo actividades (1 5)
Cuadernillo actividades (1 5)
 
Teori Hukum Pembangunan
Teori Hukum PembangunanTeori Hukum Pembangunan
Teori Hukum Pembangunan
 
Sosiologi hukum s-1
Sosiologi hukum s-1Sosiologi hukum s-1
Sosiologi hukum s-1
 
Jenis jenis-manusia-purba
Jenis jenis-manusia-purbaJenis jenis-manusia-purba
Jenis jenis-manusia-purba
 
Bab 2 indonesia pada masa reformasi
Bab 2 indonesia pada masa reformasiBab 2 indonesia pada masa reformasi
Bab 2 indonesia pada masa reformasi
 
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa barat
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa baratPemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa barat
Pemberontakan Darul Islam/Tentara Islam Indonesia (DI/TII) jawa barat
 
Pemilu prancis
Pemilu prancisPemilu prancis
Pemilu prancis
 
2017 d anisa_yasin_k.ppt
2017 d anisa_yasin_k.ppt2017 d anisa_yasin_k.ppt
2017 d anisa_yasin_k.ppt
 
Natal kristiono mata kuliah hukum adat pokok pokok hukum adat
Natal kristiono mata kuliah hukum adat pokok pokok hukum adatNatal kristiono mata kuliah hukum adat pokok pokok hukum adat
Natal kristiono mata kuliah hukum adat pokok pokok hukum adat
 
Memahami hubungan ips dengan ilmu ilmu sosial pak bahri
Memahami hubungan ips dengan ilmu ilmu sosial pak bahriMemahami hubungan ips dengan ilmu ilmu sosial pak bahri
Memahami hubungan ips dengan ilmu ilmu sosial pak bahri
 
Perlindungan Dan Penegakan Hukum
Perlindungan Dan Penegakan HukumPerlindungan Dan Penegakan Hukum
Perlindungan Dan Penegakan Hukum
 

Semelhante a System zarządzania bezpieczeństwem informacji w podmiotach publicznych

Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborMichał Tabor
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, WdrożenieRekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, WdrożenieIT Auditor Sp. z o.o.
 
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PROIDEA
 
Raport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuRaport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuBusiness Insider Polska
 
nik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwonik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwoAdam Zakrzewski
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaPawel Krawczyk
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 

Semelhante a System zarządzania bezpieczeństwem informacji w podmiotach publicznych (9)

Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtabor
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, WdrożenieRekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
 
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
 
Raport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuRaport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwu
 
nik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwonik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwo
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 

System zarządzania bezpieczeństwem informacji w podmiotach publicznych

  • 2. Podstawa prawna  § 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526) 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w ust. 2. 4. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach 2
  • 3. Wcześniejszy stan prawny  § 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212 poz. 1766)  1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych.  2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji. 3
  • 4. Przepisy KRI a normy  § 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4
  • 6. Terminy i definicje związane z SZBI wg normy ISO 27001 Bezpieczeństwo informacji Zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. System zarządzania Ta część całościowego systemu zarządzania, bezpieczeństwem informacji oparta na podejściu wynikającym z ryzyka (ang. Information Security biznesowego, odnosząca się do ustanawiania, Management System) wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Deklaracja stosowania Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji. Analiza ryzyka Systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 6
  • 7. Atrybuty bezpieczeństwa informacji Poufność właściwość, że informacja nie jest udostępniana lub wyjawiana (ISO 27001) nieupoważnionym osobom, podmiotom lub procesom; Integralność właściwość zapewnienia dokładności i kompletności aktywów (ISO 27001) (zasobów); Dostępność właściwość bycia dostępnym i użytecznym na żądanie (ISO 27001) upoważnionego podmiotu; Autentyczność właściwość polegającą na tym, że pochodzenie lub zawartość (KRI) danych opisujących obiekt są takie, jak deklarowane; Rozliczalność właściwość systemu pozwalającą przypisać określone działanie (KRI) w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. Niezaprzeczalność brak możliwości zanegowania swego uczestnictwa w całości lub (KRI) w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie; Niezawodność właściwość oznaczająca spójne, zamierzone zachowanie i (PN-I-13335-1) skutki. 7
  • 8. Atrybuty bezpieczeństwa informacji – porównanie regulacji Atrybuty Bezpieczeństwo informacji informacji ISO 27001 Informacje Dane Tajemnica Inne niejawne osobowe przedsiębiorstwa tajemnice Poufność Tak Tak Tak Tak Tak Integralność Tak Tak Tak - - Dostępność Tak Tak - - - Autentyczność Tak - - - - Rozliczalność Tak Tak Tak - - Niezaprzeczalność Tak - - - - Niezawodność Tak - - - - Źródło: A. Guzik, SZBI receptą na bezpieczeństwo informacji, Hakin9 3/2010, s. 70 - 77 8
  • 9. Cykl Deminga (ang. Plan-Do- Check-Act) stosowany w procesach SZBI PLANUJ Ustanowienie SZBI Zainteresowane Zainteresowane strony strony WYKONUJ DZIAŁAJ Wymagania i Wdrożenie i Utrzymanie i oczekiwania eksploatacja doskonalenie SZBI SZBI dotyczące Zarządzanie bezpieczeństwa bezpieczeństwem informacji informacji SPRAWDZAJ Monitorowanie i przegląd SZBI Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 9
  • 10. Cykl Deminga (ang. Plan-Do- Check-Act) stosowany w procesach SZBI Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji Wykonuj (wdrożenie i Wdrożenie i eksploatacja polityki SZBI, eksploatacja SZBI) zabezpieczeń, procesów i procedur. Sprawdzaj (monitorowanie Szacowanie, i tam gdzie ma zastosowanie, pomiar i przegląd SZBI) wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu. Działaj (utrzymanie i Podejmowanie działań korygujących i doskonalenie SZBI) zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 10
  • 11. Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności chronią przed narażają zwiększają zwiększają Zabezpieczenia Ryzyka Zasoby realizowane analiza przez wskazuje zwiększają posiadają Wymagania w Wartości zakresie ochrony Źródło: PN-I-13335-1 11
  • 12. Od kiedy podmiot publiczny będzie zobowiązany do wprowadzenia SZBI?  § 23. Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia. 12