Standardy organizacyjne zapewniające bezpieczeństwo informacji Białowieża – maj 2008r.
Co nas wyróżnia ? Jesteśmy publiczną spółką konsultingową copyright (c) 2008 DGA S.A. | All rights reserved. O NAS Co nas wyróżnia ? Jesteśmy publiczną spółką konsultingową 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie Papierów Wartościowych w Warszawie Działamy od 18-stu lat! Od początku istnienia naszą spółkę cechuje imponująca dynamika wzrostu przychodów i liczby zatrudnionych. Pomagamy klientom w doskonaleniu Rocznie realizujemy kilkaset projektów doradczych. Transfer wiedzy – podstawowa cecha projektów DGA Podczas realizacji projektów z zakresu zarządzania staramy się przygotować klienta do utrzymania i doskonalenia wdrożonego systemu zarządzania
Dbamy o jakość i bezpieczeństwo copyright (c) 2008 DGA S.A. | All rights reserved. O NAS Co nas wyróżnia ? Dbamy o jakość i bezpieczeństwo Jesteśmy pierwszą firmą konsultingową w Polsce, która wdrożyła System Zarządzania Jakością ISO 9001:2000 w zakresie usług konsultingowych, szkoleń, wdrażania systemów informatycznych, zarządzania procesami biznesowymi oraz zarządzania jakością. W 2003 roku jako pierwsza firma w Polsce uzyskaliśmy akredytowany certyfikat ISO 27001(BS 7799-2) Systemu Zarządzania Bezpieczeństwem Informacji. Łączymy tradycyjny konsulting z nowoczesnymi rozwiązaniami informatycznymi.
BEZPIECZEŃSTWO ORGANIZACJA OPTYMALIZACJA AUTOMATYZACJA ISO 27001 copyright (c) 2007 DGA S.A. | All rights reserved. O NAS BEZPIECZEŃSTWO ORGANIZACJA ISO 27001 Modelowanie procesów biznesowych Audyt teleinformatyczny Zarządzanie zmianą Korporacyjna analiza ryzyka Prowadzenie projektów Wybór rozwiązań bezpieczeństwa informacji ISO 9001:2000 Budowa struktur organizacyjnych Ciągłość działania Audyt zabezpieczeń fizycznych Doradztwo HR Antyfraudy OPTYMALIZACJA AUTOMATYZACJA Optymalizacja procesowa Wdrożenie narzędzi DGA BPM Optymalizacja kosztowa Wdrożenie Systemów Antyfraud Procedury ITIL, ISO 20000 Wdrożenie Systemów Zarządzania Ryzykiem Przygotowanie do wdrożenia systemów informatycznych Optymalizacja obsługi Klienta
Wybrane regulacje prawne obszaru bezpieczeństwa informacji Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych Ustawa z dnia 27 lipca 2001r. o ochronie baz danych Ustawa z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną Ustawa z dnia 12 września 2002r. o elektronicznych instrumentach płatniczych Ustawa z dnia 18 września 2001r. o podpisie elektronicznym Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnej Ustawa z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne Ustawa z dnia 14 lipca 1983r. - o narodowym zasobie archiwalnym i archiwach Rozporządzenie w sprawie minimalnych wymagań dla systemów teleinformatycznych Rozporządzenie w sprawie sposobu, zakresu i trybu udostępniania danych zgromadzonych w rejestrze publicznym Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania
Nadzór i kontrola nad systemem informacji i bazami danych USTAWA o systemie informacji w ochronie zdrowia Projekt z dnia 1 sierpnia 2007 r. Rozdział 7 Nadzór i kontrola nad systemem informacji i bazami danych Art. 38. Podmioty prowadzące bazy danych w zakresie ochrony zdrowia są obowiązane do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych, a w szczególności zabezpieczenia danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą.
Usługi DGA z obszaru bezpieczeństwa informacji System Zarządzania Jakością wg ISO 9001:2000 System Zarządzania Bezpieczeństwem Informacji wg ISO 27001:2005 Zarządzanie bezpieczeństwem informacji w ochronie zdrowia ISO 27799 (projekt) System Zarządzania Usługami IT ISO 20000:2005 System Zarządzania Ciągłością Działania – (BS 25999) Bezpieczeństwo danych osobowych Audyt bezpieczeństwa teleinformatycznego Audyt bezpieczeństwa fizycznego
Wspólne podstawy ISO 9001 i ISO 27001 ZINTEGROWANY SYSTEM ZARZĄDZANIA ISO 9001 Wymagania Wymagania Polityka bezpieczeństwa Odpowiedzialność kierownictwa System zarządzania jakością Organizacja bezpieczeństwa Odpowiedzialność kierownictwa Klasyfikacja i kontrola aktywów Zarządzanie zasobami ludzkimi Zarządzanie zasobami Bezpieczeństwo osobowe Nadzorowanie infrastruktury Realizacja zadania Bezpieczeństwo fizyczne i środowiskowe Nadzorowanie dokumentacji Pomiary, analiza i doskonalenie Zarządzanie systemami i sieciami Nadzorowanie firm współpracujących Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Nadzorowanie i doskonalenie systemu Ustanowienie Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania ISO 27001 Zgodność z wymaganiami prawa i własnymi standardami Wdrożenie i eksploatacja Utrzymanie i doskonalenie Monitorowanie i przegląd
Dlaczego ISO 27001? Szczególny nacisk położony jest na zarządzanie ryzykiem utraty ważnych informacji Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań Pozwala organizacji na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing Slajdy np. dla klientów którzy chcą przejść z BS na ISO oraz chcą poznań różnice i podstawy o normie
Obszary normy ISO/IEC 27001 ISO/IEC 27001 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola zasobów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Zgodność z wymaganiami prawa i własnymi standardami ISO/IEC 27001 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola zasobów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Zgodność z wymaganiami prawa i własnymi standardami
Korzyści z wdrożenia SZBI na podstawie ISO 27001 Usprawnienie zarządzania informacją i infrastrukturą IT Ustanowienie jednolitych reguł dotyczących bezpieczeństwa informacji, sklasyfikowane i zinwentaryzowane aktywa Standaryzacja pracy w sytuacjach kryzysowych Przejrzyste procedury postępowania w przypadku zaistnienia incydentu bezpieczeństwa Ochrona pracowników przed nieświadomym naruszeniem bezpieczeństwa Świadomi i przeszkoleni pracownicy Obniżenie ryzyka utraty informacji, poprzez skuteczne inwestycje podparte analizą ryzyka Budowanie wizerunku firmy profesjonalnej Podniesienie atrakcyjności organizacji
PN-EN ISO 27799 Zarządzanie bezpieczeństwem informacji w ochronie zdrowia projekt wskazówki dla wsparcia interpretacji i stosowania w informatyce ochrony zdrowia normy ISO/IEC 17799. zbiór szczegółowych narzędzi kontrolnych do zarządzania bezpieczeństwem informacji w ochronie zdrowia najlepsze wskazówki praktyczne zarządzania bezpieczeństwem informacji w ochronie zdrowia, zapewnienie minimalnego koniecznego poziomu bezpieczeństwa, zachowywanie integralności informacji zapewnienie poufnego charakteru informacji Zapewnienie dostępności personalnych informacji w ochronie zdrowia
System Zarządzania Bezpieczeństwem Informacji Bezpieczeństwo osobowe Ludzie Usługi System Zarządzania Bezpieczeństwem Informacji SZBI Bezpieczeństwo fizyczne Bezpieczeństwo informatyczne Informacja Ludzie Technologia Usługi Informacje Technologia Bezpieczeństwo prawne
System Zarządzania Usługami IT ISO/IEC 20000 ISO 20000 to pierwszy międzynarodowy formalny standard zarządzania usługami IT, opisujący zintegrowane podejście procesowe gwarantujące dostarczenie efektywnych usług. ISO 20000 składa się z dwóch części: 1: to zbiór formalnych wymagań, które musi spełnić organizacja aby dostarczała wysokiej jakości usługi. 2: to zbiór najlepszych praktyk, pomagających organizacji spełnić wymagania zawarte w ISO 20000-1
Dlaczego warto stosować podejście usługowe w IT? Wykorzystanie podejścia usługowego w dziale IT pozwala m.in. na: Dostarczenie jasnych wskaźników wydajności dla kadry zarządzającej i decyzji inwestycyjnych Ustalenie „wspólnego języka” działu IT ze stroną biznesową Jasne określenie strategii rozwoju IT, która pozwoli sprostać przyszłym wymaganiom biznesu Wdrażanie projektów informatycznych na czas, zgodnie z założeniami oraz zgodnie z budżetem Integrację procesów IT ze sobą oraz innymi procesami w organizacji DOSTAWCY Zarządzanie usługami IT BIZNES PROCESY LUDZIE TECHNOLOGIA
Dlaczego warto stosować podejście usługowe w IT? Wykorzystanie podejścia usługowego w dziale IT pozwala m.in. na: Poprawienie dostępności, niezawodności i bezpieczeństwa krytycznych usług IT Znaczące zmniejszenie liczby ciągle występujących awarii i niesprawności, eliminacje ciągle powtarzanej pracy Optymalizację wykorzystania zasobów IT Sprawne zarządzanie kosztami IT DOSTAWCY Zarządzanie usługami IT BIZNES PROCESY LUDZIE TECHNOLOGIA
Ochrona danych osobowych w Polsce i Unii Europejskiej Konstytucja Rzeczypospolitej Polskiej Dyrektywa Parlamentu Europejskiego 95/46/EC Ustawa o ochronie danych osobowych Rozporządzenie MSWiA z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
Dane wrażliwe – art. 27 ustawy Dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych wrażliwych jest szczególnie chronione
Oferta DGA: usługa dostosowania do wymogów rozporządzenia MSWiA z 29 kwietnia 2004
Bezpieczeństwo Danych Osobowych Korzyści dla organizacji Zgodność z wymogami prawa w zakresie ochrony danych osobowych Procedury porządkujące zarządzanie systemami informatycznymi Wzrost świadomości pracowników w zakresie bezpieczeństwa informacji
Audyt bezpieczeństwa teleinformatycznego Celem audytu jest określenie aktualnego stanu pod względem przyjętych standardów oraz identyfikacja i ocena zagrożeń związanych z bezpieczeństwem danych przetwarzanych w systemach teleinformatycznych Niezależny audyt bezpieczeństwa teleinformatycznego pozwala realnie ocenić skuteczność i adekwatność zastosowanych mechanizmów i obiektywnie ocenić poziom bezpieczeństwa informacji w środowisku informatycznym. Złożoność i dynamika zmian systemów informatycznych to powód aby powierzyć to zadanie specjalistom.
Audyt bezpieczeństwa teleinformatycznego – zakres
Obszary bezpieczeństwa teleinformatycznego Bezpieczeństwo fizyczne infrastruktury teleinformatycznej. Bezpieczeństwo sieci teleinformatycznej. Zarządzanie zdalnym dostępem. Systemy antywirusowe, antyspamowe, antywłamaniowe (IDS, IPS). Zarządzanie środowiskiem domenowym. Zarządzanie kontami oraz uprawnieniami użytkowników. Stosowana polityka haseł. Bezpieczeństwo serwerów i systemów baz danych. 23 23
Obszary bezpieczeństwa teleinformatycznego Zarządzanie kopiami zapasowymi. Zarządzanie zmianą w systemach informatycznych. Zarządzanie sprzętem komputerowym. Zarządzanie legalnością oprogramowania. Monitorowanie aktywności użytkowników. Szkolenia użytkowników i administratorów. Strategia IT w obszarze bezpieczeństwa. Zgodność systemów informatycznych z wymaganiami prawnymi. 24 24
Audyt bezpieczeństwa teleinformatycznego - korzyści Niezależna i profesjonalna ocena stanu bezpieczeństwa teleinformatycznego organizacji Zidentyfikowanie podatności oraz zagrożeń związanych z systemami teleinformatycznymi Wnioski i rekomendacje których wdrożenie zapewni podwyższenie poziomu bezpieczeństwa
Zarządzanie Ciągłością Działania: BS 25999 Zarządzanie Ciągłością Działania to podejście do prowadzenia działalności w sposób pozwalający na utrzymanie określonego poziomu: dostarczania produktów, świadczenia usług, w przypadku wystąpienia określonych zakłóceń w funkcjonowaniu procesów organizacji. BCM (Business Continuity Management) – Zarządzanie ciągłością działania
Zarządzania Ciągłością Działania: Cele Funkcjonowanie po zajściu sytuacji kryzysowych Minimalizacja strat będących wynikiem przerw w procesach biznesowych Budowanie wizerunku organizacji wiarygodnej i profesjonalnej Celem zarządzanie ciągłością ma być utrzymanie zdolności do świadczenia usług lub wytwarzania produktów – do generowania wartości.
Zarządzania Ciągłością Działania: efekt końcowy RAPORT Zarządzania Ciągłością Działania: efekt końcowy ANALIZA RYZYKA ZAKŁÓCENIA CIĄGŁOŚCI STRATEGIA ZAPEWNIENIA CIĄGŁOŚCI Wdrożony BCM Świadomość bezpieczeństwa Zwiększenie zysku organizacji ZARZĄDZANIE CIĄGŁOŚCIĄ PLANY AWARYJNE
Zarządzania Ciągłością Działania: efekt końcowy Zapewnienie przetrwania Optymalizacja ponoszonych strat Wizerunek profesjonalisty oraz… Zapewnienie spełnienia wymagań prawnych: Prawo bankowe, Prawo telekomunikacyjne, Prawo pocztowe, Prawo energetyczne, Zapewnienie spełnienie zapisów tzw. umów gwarancji poziomu świadczenia usług (SLA)
BPM NIE! Jak to zrobić……… System Zarządzania Jakością Wrzucę wszystko do jednego worka – ale czy to jest dobre rozwiązanie? Eureka!!!! Jak to wszystko zintegrować? System Zarządzania Jakością System Zarządzania Bezpieczeństwem Informacji BPM NIE! System zarządzania ciągłością działania
Piotr Malarski Dyrektor ds. Klientów Kluczowych e-mail: piotr.malarski@dga.pl