Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji w administracji państwowej i samorządowej Dr inż.

Podobne prezentacje


Prezentacja na temat: "Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji w administracji państwowej i samorządowej Dr inż."— Zapis prezentacji:

1 Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji w administracji państwowej i samorządowej Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO Stowarzyszenie Wspierania Rozwoju Systemów Zarządzania bezpieczeństwem informacji ISMS Polska Polish Chapter 26 czerwca 2007Jak rozwijać społeczeństwo informacyjne w latach

2 Plan prezentacji Krótkie wprowadzenie Wymagania bezpieczeństwa systemów teleinformatycznych używanych przez podmioty publiczne do realizacji zadań publicznych Bezpieczeństwo systemów teleinformatycznych i informacji oparte na Polskich Normach Rodzina norm ISO/IEC 2700x Krótka prezentacja normy ISO/IEC 27001:2005 (PrPN ISO/IEC 27001) Wymagania na systemy zarządzania bezpieczeństwem informacji. Warunki dojścia do certyfikacji na zgodność z ISO Praktyczne zastosowanie normy ISO/IEC (27002) – odwzorowania wymagań przepisów prawa na kryteria bezpieczeństwa zgodne z normą Podsumowanie

3 Czym jest bezpieczeństwo informacji? Błędne podejście: –Pokaż mi ROI –To tylko generuje koszty –Czy mogę mieć pewność? –Transfer ryzyka = transfer odpowiedzialności –Bezpieczeństwo informacji = bezpieczeństwo internetowe –Bezpieczeństwo to sprzęt, a nie organizacja (twarde, a nie miękkie) W rzeczywistości: –Model oparty na ryzyku –To jest dźwignia biznesu –Mogę zmniejszyć ryzyko, ale nie mogę go wyeliminować w 100% –Większość problemów z bezpieczeństwem ma swoje źródło wewnątrz organizacji –Bezpieczeństwo to tylko 5% nakładów na informatykę –Bezpieczeństwo jest b. niedojrzałym biznesem

4 bezpieczeństwo informacji i systemów teleinformatycznych – wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzane PN ISO/IEC 17799:2003 PN-I :1999 Podstawowe definicje system zarządzania bezpieczeństwem informacji - ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji ISO/IEC 27001:2005 polityka bezpieczeństwa informacji - udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa swego systemu informatycznego oraz przetwarzane informacje. PN ISO/IEC 17799:2003

5 Podejście do określania wymagań bezpieczeństwa informacji w polskich aktach prawnych Brak przywołań norm –Ustawa o ochronie danych osobowych i rozporządzenie MSWiA [….] w sprawie warunków organizacyjnych i technicznych, jakim powinny odpowiadać systemy służące do przetwarzania danych osobowych –Rozporządzenie o Biuletynie Informacji Publicznej Strukturalny problem aktualizacji aktów prawnych wraz ze zmieniającym się stanem techniki i uaktualnieniem norm –Ustawa o podpisie elektronicznym Wpisane w dyrektywy normalizacyjne mechanizmy uaktualniania norm –W ISO – normy techniczne są aktualizowane co 3 lata, normy dotyczące zarządzania – co 5 lat –Normy można ustanowić, ale można też wycofać

6 Nowe podejście w aktach prawnych a wymagania dotyczące bezpieczeństwa informacji Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne Rozporządzenie RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych § Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji.

7 ISMS Auditor Guidelines Wytyczne do wdrażania zabezpieczeń ISMS implementation guidelines ISM measurements ISMS Risk Management Wymagania Wymagania dla akredytacji jednostek certyfikujących Fundamentals and vocabulary Rodzina 2700x Opublikowane jako Polskie normy Projekty norm międzynarodowych w opracowaniu Polska Norma w opracowaniu

8 Numer normy ISO/IEC Tytuł normy międzynarodowej (ISO/IEC)/ Tytuł normy polskiej (PN) Termin opublikowania 27000ISMS. Fundamentals and VocabularyListopad 2008* 27001Information security management systems – Requirements Systemy zarządzania bezpieczeństwem informacji. Wymagania Październik 2005 Styczeń (27002) Code of Practice for Information Security Management Praktyczne zasady zarządzania bezpieczeństwem informacji Czerwiec 2005 Styczeń ISMS Implementation GuidanceListopad 2008* 27004Information security management measurementsMaj 2008* 27005Information Security Risk ManagementLuty 2008* 27006Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems Luty ISMS Auditor Guidelines2010* *Zgodnie z planem prac ISO/IEC JTC1/SC27

9 Systemy Zarządzania Bezpieczeństwem Informacji - zgodne z PN ISO/IEC 27001

10 Nowa norma międzynarodowa ISO/IEC 27001

11 Model PDCA Systemu Zarządzania Bezpieczeństwem Informacji Cykl życia SZBI PLAN DOCHECK ACT Zaplanowanie SZBI Wdrożenie SZBI Utrzymywanie & Doskonalenie ISMS Monitorowanie & Przegląd SZBI Źródło: Ted Humphreys, Konferencja Wyzwania bezpieczeństwa informacji, Warszawa, 30 marca 2006

12 System zarządzania bezpieczeństwem informacji zgodny z ISO/IEC Wytyczne a Wymagania bezpieczeństwa ISO/IEC 27002(17799) Zbiór wytycznych ISO/IEC – Załącznik A Zbiór wymagań ISO/IEC jest normą niezbędną do wdrożenia ISO/IEC 27001

13 Czym ISO/IEC jest, a czym nie jest? Zarządzanie bezpieczeństwem informacji –Zasady (polityka) bezpieczeństwa informacji z punktu widzenia potrzeb biznesowych –Organizacja bezpieczeństwa Gestorzy aktywów Delegacja odpowiedzialności –Mechanizmy wykonawcze, zarządcze (zatwierdzanie), nadzoru (przegląd), kontroli (niezależny audyt) Wyniki szacowania ryzyka podstawą wyboru zabezpieczeń Nie jest to poradnik dotyczący szacowania ryzyka –Jakkolwiek dodano nowy rozdział o szacowaniu i postępowaniu z ryzykiem –ISO/IEC jako następca ISO/IEC /3

14 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Rozwój i utrzymanie systemu Zarządzanie ciągłością działania Zgodność Wydanie 2000 Polityka bezpieczeństwa Organizacja bezp. informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Pozyskanie, rozwój i utrzymanie systemów informacyjnych Zarządzanie ciągłością działania Zgodność Zarządzanie incydentami naruszenia bezpieczeństwa informacji Wydanie 2005

15 ZABEZPIECZENIE + Wskazówki do wdro ż enia przemieszane z innymi informacjami W 1. wydaniu: ZABEZPIECZENIE W 2. wydaniu: Wytyczne do wdrożenia Inne informacje Deklaracja zabezpieczenia spełniającego cel stosowania Wytyczne ułatwiające wdrożenie zabezpieczenia w sposób umożliwiający spełnienie celu stosowania Wyjaśnienia związane z wdrożeniem zabezpieczenia (np. uwarunkowania prawne), które należy uwzględnić przy wdrożeniu OBSZAR BEZPIECZEŃSTWA CEL STOSOWANIA ZABEZPIECZEŃ 11 głównych zagadnień bezpieczeństwa 39 celów stosowania zabezpieczeń w obszarach bezpieczeństwa

16 Praktyczne zastosowanie normy ISO/IEC – audyt bezpieczeństwa Sformułowanie kryteriów audytu Zdefiniowanie mierników spełnienia kryteriów Poszukiwanie dowodów spelnienia kryteriów Ocena - porównanie stanu faktycznego z stanem opisanym za pomocą mierników

17 Certyfikacja systemów zarządzania bezpieczeństwem informacji przez niezależną stronę trzecią Normy certyfikacji na zgodność –ISO/IEC 27001:2005 (wcześniej BS 7799 Part:2002) – Załącznik A zawiera zabezpieczenia z ISO/IEC 17799:2005 ISO/IEC Wymagania akredytacji dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji –ISO Guide 62/EN (ISO 17021) - Conformity assessment Requirements for bodies providing audit and certification of management systems –ISO (PN ISO 19011) Wytyczne do audytowania systemów zarządzania jakością i/lub środowiskowego

18 Dynamika wzrostu certyfikacji systemów zarządzania bezpieczeństwem informacji Źródło: 16 certyfikatów zgodności organizacji polskich

19 Kompletny zbiór norm międzynarodowych dotyczący zarządzania bezpieczeństwa informacji jest w trakcie tworzenia –Kierunki są wyraźnie zaznaczone (horyzont 2008) –Potrzeby są zdefiniowane (horyzont 2010) Rynek a obowiązek ISMS –Wymagania kontraktowe –Niezależne potwierdzenie strony trzeciej Możliwość wpisania mechanizmów zgodności z aktualnymi wydaniami norm międzynarodowych/krajowych jako wymagań bezpieczeństwa informacji i systemów teleinformatycznych do stosownych aktów prawnych –Rozporządzenie Komisji UE 1290/2006 w sprawie akredytacji Agencji Płatniczych –Ustawa o informatyzacji i rozporządzenie dot. minimalnych wymagań dla systemów teleinformatycznych - Ujednolicenie wymagań dla systemów administracji państwowej i samorządowej Podsumowanie

20 Pytania, uwagi, komentarze... Pytania, uwagi, komentarze...


Pobierz ppt "Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji w administracji państwowej i samorządowej Dr inż."

Podobne prezentacje


Reklamy Google