Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.

Slides:



Advertisements
Podobne prezentacje
Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.
Advertisements

Systemy oceny jakości Akredytacja w ochronie zdrowia vs ISO 9000 Jerzy Hennig Andrzej Warunek.
ORGANIZACJA KONTROLI OZNAKOWANIA CE W ŚRODOWISKU PRACY – OMÓWIENIE PODSTAWOWYCH PROBLEMÓW POJAWIAJĄCYCH SIĘ W TOKU KONTROLI Warszawa - czerwiec 2005.
PODSTAWOWE DOKUMENTY Z ZAKRESU REALIZACJI ZADAŃ OBRONY CYWILNEJ PREZENTUJE: HIERONIM WAWRZYNIAK Kierownik Oddziału Ochrony Ludności Wydziału Zarządzania.
Rachunki regionalne Urząd Statystyczny w Katowicach Ośrodek Rachunków Regionalnych Ogólnopolska konferencja naukowa z okazji obchodów Dnia Statystyki Polskiej.
Rozwój informatyzacji Rozwój informatyzacji - cele i wyzwania Agnieszka Konkel Konferencja: bezpieczeństwo teleinformatyczne państwa,
CO TO SĄ PROJEKTY INNOWACYJNE? PROJEKTY INNOWACYJNE WYTYCZNE EFS NIE WSKAZUJĄ ODRĘBNEJ DEFINICJI INNOWACYJNOŚCI.
Informacja o działalności Biura Analiz Instytucjonalnych i Raportowania oraz audycie informacji instytucjonalnej na UJ Maria Próchnicka.
Urząd Transportu Kolejowego, Al. Jerozolimskie 134, Warszawa, Polityka regulacyjna państwa w zakresie dostępu do infrastruktury na.
Olsztyn, 27 czerwca 2012 Propozycja zmian kryteriów merytorycznych dla Osi I Przedsiębiorczość RPO WiM w ramach Poddziałania
Warszawa, Krótka sprzedaż – monitoring i nadzór GPW Iwona Edris Dyrektor Biura Audytu i Kontroli.
Ogólnopolskie Stowarzyszenie Inżynierów i Techników Zabezpieczeń Technicznych i Zarządzania Bezpieczeństwem „POLALARM” Politechnika Warszawska Wydział.
Technik bezpieczeństwa i higieny pracy Czas trwania nauki: 1,5 roku.
ZASADY PRZYSTOSOWANIA NIERUCHOMOŚCI DLA POTRZEB ZABIEGÓW SPECJALNYCH Wydział Zarządzania Kryzysowego i Bezpieczeństwa Urzędu Miasta Poznania ul. Karola.
„Wdrażanie elektronicznych usług dla ludności woj. podlaskiego – część II, administracja samorządowa”
Warszawa, Tytuł prezentacji Warszawa, Warszawa, 7 marca 2016 r. ZMIANA USTAWY O TRANSPORCIE KOLEJOWYM.
AS-QUAL Szkolenia Doradztwo Audity Usprawnienia zarządzania organizacjami (normy zarzadzania) Grażyna.
Projekt Regulaminu Działania Komitetu Monitorującego Regionalny Program Operacyjny Województwa Pomorskiego na lata
UKE URZĄD KOMUNIKACJI ELEKTRONICZNEJDEBATA O CZĘSTOTLIWOŚCIACH, 4 lipca 2006 r. DEBATA NA TEMAT KRAJOWEJ STRATEGII GOSPODARKI CZĘSTOTLIWOŚCIOWEJ Zamierzenia.
Bezpieczeństwo i zdrowie w pracy dotyczy każdego. Jest dobre dla ciebie. Dobre dla firmy. Partnerstwo dla prewencji Co badanie ESENER może nam powiedzieć.
EWALUACJA JAKO ISTOTNY ELEMENT PROJEKTÓW SYSTEMOWYCH Sonia Rzeczkowska.
Audyt rachunkowości w jsfp (podsumowanie) oraz audyt projektów UE Ministerstwo Finansów 25 czerwca 2015 r. 1.
Rachunkowość w jsfp Audyt prowadzenia ksiąg rachunkowych w jednostkach sektora publicznego Ministerstwo Finansów 30 kwietnia 2015 r. 1.
Komisja Wspólna Rządu i Samorządu Terytorialnego, dnia 22 lutego 2012.
Dokumenty potrzebne do złożenia wniosku o dofinansowanie projektu w ramach Regionalnego Programu Operacyjnego Województwa Pomorskiego na lata
Wieloaspektowa analiza czasowo- kosztowa projektów ze szczególnym uwzględnieniem kryterium jakości rozwiązań projektowych AUTOR: ANNA MARCINKOWSKA PROMOTOR:
Podsumowanie wdrażania części Osi „Przedsiębiorczość” RPO Warmia i Mazury 2007–2013 w 2008 roku.
Systemy oceny jakości Akredytacja w ochronie zdrowia ISO 9000 Jerzy Hennig Andrzej Warunek.
Ustalenia z misji audytowych przeprowadzonych przez Europejski Trybunał Obrachunkowy w ramach PROW w obszarze zamówień publicznych.
1 Studia o profilu praktycznym. Aspekty prawne i organizacyjne KONFERENCJA „PO PIERWSZE PRACA…” Konin, 18 września 2014 r. Artur Zimny Państwowa Wyższa.
Dziękuję za uwagę Projekt ustawy o zmianie ustawy o wspieraniu rozwoju obszarów wiejskich z udziałem środków Europejskiego Funduszu Rolnego na rzecz Rozwoju.
POLITYKA BEZPIECZEŃSTWA
Departament Rozwoju Regionalnego i Funduszy Europejskich
AKTA STAŁE Wykaz aktów prawnych
organizowanie ochrony informacji niejawnych
Koncepcja „generacji” praw człowieka
Rola IOD w zapewnieniu bezpieczeństwa Systemu Informatycznego
regulacje NATO i Unii Europejskiej
Przejście zakładu pracy na innego pracodawcę
Konkurencyjność w dobie globalizacji
E- SKARGA Formalne wymogi wniesienia skargi do WSA w kontekście informatyzacji postępowania sądowoadministracyjnego- wybrane zagadnienia.
Akredytacja w Szpitalu Uniwersyteckim
Wdrażanie podejścia LEADER/RLKS w Polsce
Omówienie zmian w regulaminie konkursu w ramach działania 4. 2
Koncepcja tworzenia Programu Rozwoju Społeczeństwa Informacyjnego
Karnoprawna ochrona tajemnicy zawodowej dotyczącej działalności funduszy emerytalnych II Międzynarodowa Konferencja Naukowa pt. ZABEZPIECZENIE EMERYTALNE.
GRC.
Aspekty nadzoru nad bezpieczeństwem farmakoterapii: Badania dotyczące bezpieczeństwa przeprowadzane po wydaniu pozwolenia (ang. Post-Authorisation Safety.
Świetlice szkolne w rzeczywistości prawnej
Rządowe Centrum Legislacji Warszawa, październik 2013 r.
Tytuł – [najlepiej aby jak najtrafniej oddawał opisywane rozwiązanie]
Zmiany w przepisach ustawy z dnia 26 stycznia 1982 r
Współczesne postrzeganie bezpieczeństwa informacyjnego
Obowiązki obywatelskie i obywatelskie nieposłuszeństwo
Narzędzie rozwoju i kształtowania kultury organizacyjnej
Ocena pracy nauczyciela i dyrektora
Misją Pomorskiego Urzędu Wojewódzkiego w Gdańsku jest profesjonalna realizacja prawnie przypisanych mu zadań, a istotnym elementem tej Misji jest właściwe.
Zmiany w ustawie o systemie oświaty
Departament Rozwoju Regionalnego i Funduszy Europejskich
KONTROLA I AUDYT WEWNĘTRZNY
Plan Produkcji i Obrotu
Tytuł – [najlepiej aby jak najtrafniej oddawał opisywane rozwiązanie]
Departament Rozwoju Regionalnego i Funduszy Europejskich
Stosowanie norm polskich i międzynarodowych w budownictwie.
Departament Rozwoju Regionalnego i Funduszy Europejskich
Nowe podejście do zamówień publicznych
Wyrok WSA w Bydgoszczy z dnia 27 października 2016 r., I SA/Bd 613/16
Forum Komisji Dialogu Społecznego
Umowa Partnerstwa Rzeszów 17 września 2015.
Wspomaganie pracy szkół
Zapis prezentacji:

Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international user group ISMS Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO Stowarzyszenie Wspierania Rozwoju Systemów Zarządzania bezpieczeństwem informacji ISMS Polska Polish Chapter Jak rozwijać społeczeństwo informacyjne w latach 2007-2010 26 czerwca 2007

Plan prezentacji Krótkie wprowadzenie Wymagania bezpieczeństwa systemów teleinformatycznych używanych przez podmioty publiczne do realizacji zadań publicznych Bezpieczeństwo systemów teleinformatycznych i informacji oparte na Polskich Normach Rodzina norm ISO/IEC 2700x Krótka prezentacja normy ISO/IEC 27001:2005 (PrPN ISO/IEC 27001) Wymagania na systemy zarządzania bezpieczeństwem informacji. Warunki dojścia do certyfikacji na zgodność z ISO 27001 Praktyczne zastosowanie normy ISO/IEC 17799 (27002) – odwzorowania wymagań przepisów prawa na kryteria bezpieczeństwa zgodne z normą Podsumowanie

Czym jest bezpieczeństwo informacji? Błędne podejście: Pokaż mi ROI To tylko generuje koszty Czy mogę mieć pewność? Transfer ryzyka = transfer odpowiedzialności Bezpieczeństwo informacji = bezpieczeństwo internetowe Bezpieczeństwo to sprzęt, a nie organizacja („twarde”, a nie „miękkie”) W rzeczywistości: Model oparty na ryzyku To jest dźwignia biznesu Mogę zmniejszyć ryzyko, ale nie mogę go wyeliminować w 100% Większość problemów z bezpieczeństwem ma swoje źródło wewnątrz organizacji Bezpieczeństwo to tylko 5% nakładów na informatykę Bezpieczeństwo jest b. niedojrzałym biznesem

Podstawowe definicje bezpieczeństwo informacji i systemów teleinformatycznych –wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzane PN ISO/IEC 17799:2003 PN-I-13335-1:1999 polityka bezpieczeństwa informacji - udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa swego systemu informatycznego oraz przetwarzane informacje. PN ISO/IEC 17799:2003 system zarządzania bezpieczeństwem informacji - ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji ISO/IEC 27001:2005

Podejście do określania wymagań bezpieczeństwa informacji w polskich aktach prawnych Brak przywołań norm Ustawa o ochronie danych osobowych i rozporządzenie MSWiA [….] w sprawie warunków organizacyjnych i technicznych, jakim powinny odpowiadać systemy służące do przetwarzania danych osobowych Rozporządzenie o Biuletynie Informacji Publicznej Strukturalny problem aktualizacji aktów prawnych wraz ze zmieniającym się stanem techniki i uaktualnieniem norm Ustawa o podpisie elektronicznym Wpisane w dyrektywy normalizacyjne mechanizmy uaktualniania norm W ISO – normy techniczne są aktualizowane co 3 lata, normy dotyczące zarządzania – co 5 lat Normy można ustanowić, ale można też wycofać

Nowe podejście w aktach prawnych a wymagania dotyczące bezpieczeństwa informacji Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne Rozporządzenie RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych § 3. 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji.

Wymagania dla akredytacji jednostek certyfikujących Opublikowane jako Polskie normy Polska Norma w opracowaniu Projekty norm międzynarodowych w opracowaniu Wymagania dla akredytacji jednostek certyfikujących Fundamentals and vocabulary ISMS Auditor Guidelines ISMS Risk Management Wymagania Wytyczne do wdrażania zabezpieczeń ISM measurements ISMS implementation guidelines

*Zgodnie z planem prac ISO/IEC JTC1/SC27 Numer normy ISO/IEC Tytuł normy międzynarodowej (ISO/IEC)/ Tytuł normy polskiej (PN) Termin opublikowania 27000 ISMS. Fundamentals and Vocabulary Listopad 2008* 27001 Information security management systems – Requirements Systemy zarządzania bezpieczeństwem informacji. Wymagania Październik 2005 Styczeń 2007 17799 (27002) Code of Practice for Information Security Management Praktyczne zasady zarządzania bezpieczeństwem informacji Czerwiec 2005 27003 ISMS Implementation Guidance 27004 Information security management measurements Maj 2008* 27005 Information Security Risk Management Luty 2008* 27006 Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems Luty 2007 27007 ISMS Auditor Guidelines 2010* *Zgodnie z planem prac ISO/IEC JTC1/SC27

Systemy Zarządzania Bezpieczeństwem Informacji - zgodne z PN ISO/IEC 27001

Nowa norma międzynarodowa ISO/IEC 27001

Model PDCA Systemu Zarządzania Bezpieczeństwem Informacji Wdrożenie SZBI Zaplanowanie SZBI Utrzymywanie & Doskonalenie ISMS Monitorowanie & Przegląd SZBI Cykl życia SZBI Źródło: Ted Humphreys, Konferencja Wyzwania bezpieczeństwa informacji, Warszawa, 30 marca 2006

Wytyczne a Wymagania bezpieczeństwa System zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 ISO/IEC 27002(17799) Zbiór wytycznych ISO/IEC 27001 – Załącznik A Zbiór wymagań ISO/IEC 27002 jest normą niezbędną do wdrożenia ISO/IEC 27001

Czym ISO/IEC 17799 jest, a czym nie jest? Zarządzanie bezpieczeństwem informacji Zasady (polityka) bezpieczeństwa informacji z punktu widzenia potrzeb biznesowych Organizacja bezpieczeństwa Gestorzy aktywów Delegacja odpowiedzialności Mechanizmy wykonawcze, zarządcze (zatwierdzanie), nadzoru (przegląd), kontroli (niezależny audyt) Wyniki szacowania ryzyka podstawą wyboru zabezpieczeń Nie jest to poradnik dotyczący szacowania ryzyka Jakkolwiek dodano nowy rozdział o szacowaniu i postępowaniu z ryzykiem ISO/IEC 27005 jako następca ISO/IEC 13335-1/3

Wydanie 2000 Wydanie 2005 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Rozwój i utrzymanie systemu Zarządzanie ciągłością działania Zgodność Wydanie 2000 Polityka bezpieczeństwa Organizacja bezp. informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Pozyskanie, rozwój i utrzymanie systemów informacyjnych Zarządzanie ciągłością działania Zgodność Zarządzanie incydentami naruszenia bezpieczeństwa informacji Wydanie 2005

OBSZAR BEZPIECZEŃSTWA CEL STOSOWANIA ZABEZPIECZEŃ 11 głównych zagadnień bezpieczeństwa OBSZAR BEZPIECZEŃSTWA 39 celów stosowania zabezpieczeń w obszarach bezpieczeństwa CEL STOSOWANIA ZABEZPIECZEŃ ZABEZPIECZENIE + Wskazówki do wdrożenia przemieszane z innymi informacjami W 1. wydaniu: W 2. wydaniu: Deklaracja zabezpieczenia spełniającego cel stosowania ZABEZPIECZENIE Wytyczne do wdrożenia Wytyczne ułatwiające wdrożenie zabezpieczenia w sposób umożliwiający spełnienie celu stosowania Inne informacje Wyjaśnienia związane z wdrożeniem zabezpieczenia (np. uwarunkowania prawne), które należy uwzględnić przy wdrożeniu

Praktyczne zastosowanie normy ISO/IEC 17799 – audyt bezpieczeństwa Sformułowanie kryteriów audytu Zdefiniowanie mierników spełnienia kryteriów Poszukiwanie dowodów spelnienia kryteriów Ocena - porównanie stanu faktycznego z stanem opisanym za pomocą mierników 1 3 2 4

Normy certyfikacji na zgodność Certyfikacja systemów zarządzania bezpieczeństwem informacji przez niezależną stronę trzecią Normy certyfikacji na zgodność ISO/IEC 27001:2005 (wcześniej BS 7799 Part:2002) – Załącznik A zawiera zabezpieczenia z ISO/IEC 17799:2005 ISO/IEC 27006 Wymagania akredytacji dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji ISO Guide 62/EN 45012 (ISO 17021) - Conformity assessment — Requirements for bodies providing audit and certification of management systems ISO 19011 (PN ISO 19011) Wytyczne do audytowania systemów zarządzania jakością i/lub środowiskowego

16 certyfikatów zgodności Dynamika wzrostu certyfikacji systemów zarządzania bezpieczeństwem informacji 16 certyfikatów zgodności organizacji polskich Źródło: http://www.iso27001certificates.com

Podsumowanie Kompletny zbiór norm międzynarodowych dotyczący zarządzania bezpieczeństwa informacji jest w trakcie tworzenia Kierunki są wyraźnie zaznaczone (horyzont 2008) Potrzeby są zdefiniowane (horyzont 2010) Rynek a obowiązek ISMS Wymagania kontraktowe Niezależne potwierdzenie strony trzeciej Możliwość wpisania mechanizmów zgodności z aktualnymi wydaniami norm międzynarodowych/krajowych jako wymagań bezpieczeństwa informacji i systemów teleinformatycznych do stosownych aktów prawnych Rozporządzenie Komisji UE 1290/2006 w sprawie akredytacji Agencji Płatniczych Ustawa o informatyzacji i rozporządzenie dot. minimalnych wymagań dla systemów teleinformatycznych - Ujednolicenie wymagań dla systemów administracji państwowej i samorządowej

Pytania, uwagi, komentarze ... prezes@ismspolska.org.pl