Standardy organizacyjne zapewniające bezpieczeństwo informacji

Prezentacja na temat: "Standardy organizacyjne zapewniające bezpieczeństwo informacji"— Zapis prezentacji:

1 Standardy organizacyjne zapewniające bezpieczeństwo informacji
Białowieża – maj 2008r.

2 Co nas wyróżnia ? Jesteśmy publiczną spółką konsultingową
copyright (c) 2008 DGA S.A. | All rights reserved. O NAS Co nas wyróżnia ? Jesteśmy publiczną spółką konsultingową 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie Papierów Wartościowych w Warszawie Działamy od 18-stu lat! Od początku istnienia naszą spółkę cechuje imponująca dynamika wzrostu przychodów i liczby zatrudnionych. Pomagamy klientom w doskonaleniu Rocznie realizujemy kilkaset projektów doradczych. Transfer wiedzy – podstawowa cecha projektów DGA Podczas realizacji projektów z zakresu zarządzania staramy się przygotować klienta do utrzymania i doskonalenia wdrożonego systemu zarządzania

3 Dbamy o jakość i bezpieczeństwo
copyright (c) 2008 DGA S.A. | All rights reserved. O NAS Co nas wyróżnia ? Dbamy o jakość i bezpieczeństwo Jesteśmy pierwszą firmą konsultingową w Polsce, która wdrożyła System Zarządzania Jakością ISO 9001:2000 w zakresie usług konsultingowych, szkoleń, wdrażania systemów informatycznych, zarządzania procesami biznesowymi oraz zarządzania jakością. W 2003 roku jako pierwsza firma w Polsce uzyskaliśmy akredytowany certyfikat ISO 27001(BS ) Systemu Zarządzania Bezpieczeństwem Informacji. Łączymy tradycyjny konsulting z nowoczesnymi rozwiązaniami informatycznymi.

4 BEZPIECZEŃSTWO ORGANIZACJA OPTYMALIZACJA AUTOMATYZACJA ISO 27001
copyright (c) 2007 DGA S.A. | All rights reserved. O NAS BEZPIECZEŃSTWO ORGANIZACJA ISO 27001 Modelowanie procesów biznesowych Audyt teleinformatyczny Zarządzanie zmianą Korporacyjna analiza ryzyka Prowadzenie projektów Wybór rozwiązań bezpieczeństwa informacji ISO 9001:2000 Budowa struktur organizacyjnych Ciągłość działania Audyt zabezpieczeń fizycznych Doradztwo HR Antyfraudy OPTYMALIZACJA AUTOMATYZACJA Optymalizacja procesowa Wdrożenie narzędzi DGA BPM Optymalizacja kosztowa Wdrożenie Systemów Antyfraud Procedury ITIL, ISO 20000 Wdrożenie Systemów Zarządzania Ryzykiem Przygotowanie do wdrożenia systemów informatycznych Optymalizacja obsługi Klienta

5 Wybrane regulacje prawne obszaru bezpieczeństwa informacji
Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych Ustawa z dnia 27 lipca 2001r. o ochronie baz danych Ustawa z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną Ustawa z dnia 12 września 2002r. o elektronicznych instrumentach płatniczych Ustawa z dnia 18 września 2001r. o podpisie elektronicznym Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnej Ustawa z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne Ustawa z dnia 14 lipca 1983r. - o narodowym zasobie archiwalnym i archiwach Rozporządzenie w sprawie minimalnych wymagań dla systemów teleinformatycznych Rozporządzenie w sprawie sposobu, zakresu i trybu udostępniania danych zgromadzonych w rejestrze publicznym Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania

6 Nadzór i kontrola nad systemem informacji i bazami danych
USTAWA o systemie informacji w ochronie zdrowia Projekt z dnia 1 sierpnia 2007 r. Rozdział 7 Nadzór i kontrola nad systemem informacji i bazami danych Art. 38. Podmioty prowadzące bazy danych w zakresie ochrony zdrowia są obowiązane do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych, a w szczególności zabezpieczenia danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą.

7 Usługi DGA z obszaru bezpieczeństwa informacji
System Zarządzania Jakością wg ISO 9001:2000 System Zarządzania Bezpieczeństwem Informacji wg ISO 27001:2005 Zarządzanie bezpieczeństwem informacji w ochronie zdrowia ISO (projekt) System Zarządzania Usługami IT ISO 20000:2005 System Zarządzania Ciągłością Działania – (BS 25999) Bezpieczeństwo danych osobowych Audyt bezpieczeństwa teleinformatycznego Audyt bezpieczeństwa fizycznego

8 Wspólne podstawy ISO 9001 i ISO 27001
ZINTEGROWANY SYSTEM ZARZĄDZANIA ISO 9001 Wymagania Wymagania Polityka bezpieczeństwa Odpowiedzialność kierownictwa System zarządzania jakością Organizacja bezpieczeństwa Odpowiedzialność kierownictwa Klasyfikacja i kontrola aktywów Zarządzanie zasobami ludzkimi Zarządzanie zasobami Bezpieczeństwo osobowe Nadzorowanie infrastruktury Realizacja zadania Bezpieczeństwo fizyczne i środowiskowe Nadzorowanie dokumentacji Pomiary, analiza i doskonalenie Zarządzanie systemami i sieciami Nadzorowanie firm współpracujących Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Nadzorowanie i doskonalenie systemu Ustanowienie Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania ISO 27001 Zgodność z wymaganiami prawa i własnymi standardami Wdrożenie i eksploatacja Utrzymanie i doskonalenie Monitorowanie i przegląd

9 Dlaczego ISO 27001? Szczególny nacisk położony jest na zarządzanie ryzykiem utraty ważnych informacji Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań Pozwala organizacji na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing Slajdy np. dla klientów którzy chcą przejść z BS na ISO oraz chcą poznań różnice i podstawy o normie

10 Obszary normy ISO/IEC 27001 ISO/IEC 27001 Polityka bezpieczeństwa
Organizacja bezpieczeństwa Klasyfikacja i kontrola zasobów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Zgodność z wymaganiami prawa i własnymi standardami ISO/IEC 27001 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola zasobów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Zgodność z wymaganiami prawa i własnymi standardami

11 Korzyści z wdrożenia SZBI na podstawie ISO 27001
Usprawnienie zarządzania informacją i infrastrukturą IT Ustanowienie jednolitych reguł dotyczących bezpieczeństwa informacji, sklasyfikowane i zinwentaryzowane aktywa Standaryzacja pracy w sytuacjach kryzysowych Przejrzyste procedury postępowania w przypadku zaistnienia incydentu bezpieczeństwa Ochrona pracowników przed nieświadomym naruszeniem bezpieczeństwa Świadomi i przeszkoleni pracownicy Obniżenie ryzyka utraty informacji, poprzez skuteczne inwestycje podparte analizą ryzyka Budowanie wizerunku firmy profesjonalnej Podniesienie atrakcyjności organizacji

12 PN-EN ISO 27799 Zarządzanie bezpieczeństwem informacji w ochronie zdrowia projekt
wskazówki dla wsparcia interpretacji i stosowania w informatyce ochrony zdrowia normy ISO/IEC zbiór szczegółowych narzędzi kontrolnych do zarządzania bezpieczeństwem informacji w ochronie zdrowia najlepsze wskazówki praktyczne zarządzania bezpieczeństwem informacji w ochronie zdrowia, zapewnienie minimalnego koniecznego poziomu bezpieczeństwa, zachowywanie integralności informacji zapewnienie poufnego charakteru informacji Zapewnienie dostępności personalnych informacji w ochronie zdrowia 

13 System Zarządzania Bezpieczeństwem Informacji
Bezpieczeństwo osobowe Ludzie Usługi System Zarządzania Bezpieczeństwem Informacji SZBI Bezpieczeństwo fizyczne Bezpieczeństwo informatyczne Informacja Ludzie Technologia Usługi Informacje Technologia Bezpieczeństwo prawne

14 System Zarządzania Usługami IT ISO/IEC 20000
ISO to pierwszy międzynarodowy formalny standard zarządzania usługami IT, opisujący zintegrowane podejście procesowe gwarantujące dostarczenie efektywnych usług. ISO składa się z dwóch części: 1: to zbiór formalnych wymagań, które musi spełnić organizacja aby dostarczała wysokiej jakości usługi. 2: to zbiór najlepszych praktyk, pomagających organizacji spełnić wymagania zawarte w ISO

15 Dlaczego warto stosować podejście usługowe w IT?
Wykorzystanie podejścia usługowego w dziale IT pozwala m.in. na: Dostarczenie jasnych wskaźników wydajności dla kadry zarządzającej i decyzji inwestycyjnych Ustalenie „wspólnego języka” działu IT ze stroną biznesową Jasne określenie strategii rozwoju IT, która pozwoli sprostać przyszłym wymaganiom biznesu Wdrażanie projektów informatycznych na czas, zgodnie z założeniami oraz zgodnie z budżetem Integrację procesów IT ze sobą oraz innymi procesami w organizacji DOSTAWCY Zarządzanie usługami IT BIZNES PROCESY LUDZIE TECHNOLOGIA

16 Dlaczego warto stosować podejście usługowe w IT?
Wykorzystanie podejścia usługowego w dziale IT pozwala m.in. na: Poprawienie dostępności, niezawodności i bezpieczeństwa krytycznych usług IT Znaczące zmniejszenie liczby ciągle występujących awarii i niesprawności, eliminacje ciągle powtarzanej pracy Optymalizację wykorzystania zasobów IT Sprawne zarządzanie kosztami IT DOSTAWCY Zarządzanie usługami IT BIZNES PROCESY LUDZIE TECHNOLOGIA

17 Ochrona danych osobowych w Polsce i Unii Europejskiej
Konstytucja Rzeczypospolitej Polskiej Dyrektywa Parlamentu Europejskiego 95/46/EC Ustawa o ochronie danych osobowych Rozporządzenie MSWiA z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

18 Dane wrażliwe – art. 27 ustawy
Dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych wrażliwych jest szczególnie chronione

19 Oferta DGA: usługa dostosowania do wymogów rozporządzenia MSWiA z 29 kwietnia 2004

20 Bezpieczeństwo Danych Osobowych Korzyści dla organizacji
Zgodność z wymogami prawa w zakresie ochrony danych osobowych Procedury porządkujące zarządzanie systemami informatycznymi Wzrost świadomości pracowników w zakresie bezpieczeństwa informacji

21 Audyt bezpieczeństwa teleinformatycznego
Celem audytu jest określenie aktualnego stanu pod względem przyjętych standardów oraz identyfikacja i ocena zagrożeń związanych z bezpieczeństwem danych przetwarzanych w systemach teleinformatycznych Niezależny audyt bezpieczeństwa teleinformatycznego pozwala realnie ocenić skuteczność i adekwatność zastosowanych mechanizmów i obiektywnie ocenić poziom bezpieczeństwa informacji w środowisku informatycznym. Złożoność i dynamika zmian systemów informatycznych to powód aby powierzyć to zadanie specjalistom.

22 Audyt bezpieczeństwa teleinformatycznego – zakres

23 Obszary bezpieczeństwa teleinformatycznego
Bezpieczeństwo fizyczne infrastruktury teleinformatycznej. Bezpieczeństwo sieci teleinformatycznej. Zarządzanie zdalnym dostępem. Systemy antywirusowe, antyspamowe, antywłamaniowe (IDS, IPS). Zarządzanie środowiskiem domenowym. Zarządzanie kontami oraz uprawnieniami użytkowników. Stosowana polityka haseł. Bezpieczeństwo serwerów i systemów baz danych. 23 23

24 Obszary bezpieczeństwa teleinformatycznego
Zarządzanie kopiami zapasowymi. Zarządzanie zmianą w systemach informatycznych. Zarządzanie sprzętem komputerowym. Zarządzanie legalnością oprogramowania. Monitorowanie aktywności użytkowników. Szkolenia użytkowników i administratorów. Strategia IT w obszarze bezpieczeństwa. Zgodność systemów informatycznych z wymaganiami prawnymi. 24 24

25 Audyt bezpieczeństwa teleinformatycznego - korzyści
Niezależna i profesjonalna ocena stanu bezpieczeństwa teleinformatycznego organizacji Zidentyfikowanie podatności oraz zagrożeń związanych z systemami teleinformatycznymi Wnioski i rekomendacje których wdrożenie zapewni podwyższenie poziomu bezpieczeństwa

26 Zarządzanie Ciągłością Działania: BS 25999
Zarządzanie Ciągłością Działania to podejście do prowadzenia działalności w sposób pozwalający na utrzymanie określonego poziomu: dostarczania produktów, świadczenia usług, w przypadku wystąpienia określonych zakłóceń w funkcjonowaniu procesów organizacji. BCM (Business Continuity Management) – Zarządzanie ciągłością działania

27 Zarządzania Ciągłością Działania: Cele
Funkcjonowanie po zajściu sytuacji kryzysowych Minimalizacja strat będących wynikiem przerw w procesach biznesowych Budowanie wizerunku organizacji wiarygodnej i profesjonalnej Celem zarządzanie ciągłością ma być utrzymanie zdolności do świadczenia usług lub wytwarzania produktów – do generowania wartości.

28 Zarządzania Ciągłością Działania: efekt końcowy
RAPORT Zarządzania Ciągłością Działania: efekt końcowy ANALIZA RYZYKA ZAKŁÓCENIA CIĄGŁOŚCI STRATEGIA ZAPEWNIENIA CIĄGŁOŚCI Wdrożony BCM Świadomość bezpieczeństwa Zwiększenie zysku organizacji ZARZĄDZANIE CIĄGŁOŚCIĄ PLANY AWARYJNE

29 Zarządzania Ciągłością Działania: efekt końcowy
Zapewnienie przetrwania Optymalizacja ponoszonych strat Wizerunek profesjonalisty oraz… Zapewnienie spełnienia wymagań prawnych: Prawo bankowe, Prawo telekomunikacyjne, Prawo pocztowe, Prawo energetyczne, Zapewnienie spełnienie zapisów tzw. umów gwarancji poziomu świadczenia usług (SLA)

30 BPM NIE! Jak to zrobić……… System Zarządzania Jakością
Wrzucę wszystko do jednego worka – ale czy to jest dobre rozwiązanie? Eureka!!!! Jak to wszystko zintegrować? System Zarządzania Jakością System Zarządzania Bezpieczeństwem Informacji BPM NIE! System zarządzania ciągłością działania

31 Piotr Malarski Dyrektor ds. Klientów Kluczowych