Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.

Slides:



Advertisements
Podobne prezentacje
AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
Advertisements

Słabe strony administracji publicznej wg Narodowej Strategii Spójności 2007
Wewnętrzny system zapewniania jakości KSZTAŁCENIA
Plan gospodarowania wodami – harmonogram i planowane prace
ROMAN QUALITY SUPPORT - - cell:

Kompleksowe zarządzanie bezpieczeństwem informacji
Czy warto wdrażać ISO w Banku Spółdzielczym
Hotel Courtyard – Warszawa
Krajowy System Informatyczny (KSI) – rola KSI w kontekście działań kontrolnych i procesu informowania o nieprawidłowościach,
Program Rozwoju Obszarów Wiejskich na lata
Norma modelowa ISO 9001.
ZASADY AUDITOWANIA ZARZĄDZANIE PROGRAMEM AUDITÓW
Zarządzania Bezpieczeństwem Warto a może Nie?
Standardy organizacyjne zapewniające bezpieczeństwo informacji
Urząd Marszałkowski Województwa Dolnośląskiego27 lutego 2008 r Urząd Marszałkowski Województwa Dolnośląskiego1 Podsumowanie wdrażania Regionalnego.
Audyt wewnętrzny w systemie kontroli zarządczej
Podstawy prawne informatyzacji administracji publicznej
Stan prac nad projektami dokumentów programowych na lata Konferencja w sprawie ustalenia podziału priorytetów środowiskowych między PO Infrastruktura.
CENTRUM TECHNOLOGII PRÓŻNI
Adam Walicki - 30 września 2010
Polskie i europejskie aspekty infrastruktury informacji przestrzennej
IV posiedzenie Grupy roboczej ds. energetyki
AKREDYTACJA LABORATORIUM Czy warto
GRC.
COBIT 5 Streszczenie dla Kierownictwa
Audity i certyfikacja systemu zarządzania jakością
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Budowa struktur dla właściwego przekazu i odbioru informacji
OD KONTROLI DO AUDITU HACCP
Tworzenie infrastruktury informacyjnej dla polskiego
Justyna Gryz Jacek Losiak Michał Borsuk Adam Dargacz
Bezpieczeństwo fizyczne i techniczne systemów i sieci komputerowych
Dopuszczalne poziomy hałasu
Andrzej Łęszczak Konsultant systemów zarządzania
Zmiany w wymaganiach normy ISO (w kontekście EMAS)
Niezbędne działania dostosowujące organizacje do planowanych zmian wynikających z nowej wersji normy ISO14001 Maciej Kostrzanowski - PFISO14000-INEM Polska.
dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP
Przewidywany harmonogram dostosowania do zmian akredytowanej certyfikacji wg ISO 14001:2015 Barbara Zengel Warszawa, r.
Rozwój infrastruktury a ochrona środowiska Warszawa, 16 września 2008 r. Aspekty prawne systemu ocen oddziaływania na środowisko Aneta Pacek-Łopalewska.
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
1 Nowe przepisy unijne Dyrektywa z roku 2014 w sprawie ustawowych badań rocznych sprawozdań finansowych i skonsolidowanych sprawozdań finansowych Maria.
Bezpieczeństwo systemów informatycznych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Zarządzanie ryzykiem.
Zarządzanie bezpieczeństwem sieci akademickiej
Koncepcje zarządzania jakością (prof. nadzw. dr hab. Zofia Zymonik)
Przygotowali: Anna Farion Dariusz Droździel
Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
2015 Koncepcja weryfikacji wymagań dotyczących jakości usług świadczonych za pośrednictwem Rejestru Usług Rozwojowych.
Monitoring efektów realizacji Projektu PL0100 „Wzrost efektywności działalności Inspekcji Ochrony Środowiska, na podstawie doświadczeń norweskich” Ołtarzew:
Kontrola zarządcza w jednostce budżetowej
Bezpieczeństwo informacyjne i informatyczne państwa
MINISTERSTWO ROLNICTWA I ROZWOJU WSIBIURO POMOCY TECHNICZNEJ Krajowa Sieć Obszarów Wiejskich
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Metoda weryfikacji zakresu wdrożenia standardu ISO w przedsiębiorstwach Prowadzący: Krzysztof Janicki, Auditor Wiodący PRS Certyfikacja Termin i.
GROUP Systemy zarządzania wg norm ISO w placówkach medycznych – skuteczne narzędzie zarządzania Prof. dr hab. Marek Bugdol – Auditor Wiodący IMQ Dorota.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
COBIT 5 Streszczenie dla Kierownictwa
Konstytucyjny system źródeł prawa
TRANSPORTOWY DOZÓR TECHNICZNY
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Stowarzyszenie Klubu Polskie Forum ISO – INEM Polska, istnieje od 1996
Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.
Polskie uwarunkowania instytucjonalno-prawne dla realizacji projektów PPP 22 czerwca 2015.
Zapis prezentacji:

Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international user group ISMS Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO Stowarzyszenie Wspierania Rozwoju Systemów Zarządzania bezpieczeństwem informacji ISMS Polska Polish Chapter Jak rozwijać społeczeństwo informacyjne w latach 2007-2010 26 czerwca 2007

Plan prezentacji Krótkie wprowadzenie Wymagania bezpieczeństwa systemów teleinformatycznych używanych przez podmioty publiczne do realizacji zadań publicznych Bezpieczeństwo systemów teleinformatycznych i informacji oparte na Polskich Normach Rodzina norm ISO/IEC 2700x Krótka prezentacja normy ISO/IEC 27001:2005 (PrPN ISO/IEC 27001) Wymagania na systemy zarządzania bezpieczeństwem informacji. Warunki dojścia do certyfikacji na zgodność z ISO 27001 Praktyczne zastosowanie normy ISO/IEC 17799 (27002) – odwzorowania wymagań przepisów prawa na kryteria bezpieczeństwa zgodne z normą Podsumowanie

Czym jest bezpieczeństwo informacji? Błędne podejście: Pokaż mi ROI To tylko generuje koszty Czy mogę mieć pewność? Transfer ryzyka = transfer odpowiedzialności Bezpieczeństwo informacji = bezpieczeństwo internetowe Bezpieczeństwo to sprzęt, a nie organizacja („twarde”, a nie „miękkie”) W rzeczywistości: Model oparty na ryzyku To jest dźwignia biznesu Mogę zmniejszyć ryzyko, ale nie mogę go wyeliminować w 100% Większość problemów z bezpieczeństwem ma swoje źródło wewnątrz organizacji Bezpieczeństwo to tylko 5% nakładów na informatykę Bezpieczeństwo jest b. niedojrzałym biznesem

Podstawowe definicje bezpieczeństwo informacji i systemów teleinformatycznych –wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzane PN ISO/IEC 17799:2003 PN-I-13335-1:1999 polityka bezpieczeństwa informacji - udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa swego systemu informatycznego oraz przetwarzane informacje. PN ISO/IEC 17799:2003 system zarządzania bezpieczeństwem informacji - ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji ISO/IEC 27001:2005

Podejście do określania wymagań bezpieczeństwa informacji w polskich aktach prawnych Brak przywołań norm Ustawa o ochronie danych osobowych i rozporządzenie MSWiA [….] w sprawie warunków organizacyjnych i technicznych, jakim powinny odpowiadać systemy służące do przetwarzania danych osobowych Rozporządzenie o Biuletynie Informacji Publicznej Strukturalny problem aktualizacji aktów prawnych wraz ze zmieniającym się stanem techniki i uaktualnieniem norm Ustawa o podpisie elektronicznym Wpisane w dyrektywy normalizacyjne mechanizmy uaktualniania norm W ISO – normy techniczne są aktualizowane co 3 lata, normy dotyczące zarządzania – co 5 lat Normy można ustanowić, ale można też wycofać

Nowe podejście w aktach prawnych a wymagania dotyczące bezpieczeństwa informacji Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne Rozporządzenie RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych § 3. 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji.

Wymagania dla akredytacji jednostek certyfikujących Opublikowane jako Polskie normy Polska Norma w opracowaniu Projekty norm międzynarodowych w opracowaniu Wymagania dla akredytacji jednostek certyfikujących Fundamentals and vocabulary ISMS Auditor Guidelines ISMS Risk Management Wymagania Wytyczne do wdrażania zabezpieczeń ISM measurements ISMS implementation guidelines

*Zgodnie z planem prac ISO/IEC JTC1/SC27 Numer normy ISO/IEC Tytuł normy międzynarodowej (ISO/IEC)/ Tytuł normy polskiej (PN) Termin opublikowania 27000 ISMS. Fundamentals and Vocabulary Listopad 2008* 27001 Information security management systems – Requirements Systemy zarządzania bezpieczeństwem informacji. Wymagania Październik 2005 Styczeń 2007 17799 (27002) Code of Practice for Information Security Management Praktyczne zasady zarządzania bezpieczeństwem informacji Czerwiec 2005 27003 ISMS Implementation Guidance 27004 Information security management measurements Maj 2008* 27005 Information Security Risk Management Luty 2008* 27006 Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems Luty 2007 27007 ISMS Auditor Guidelines 2010* *Zgodnie z planem prac ISO/IEC JTC1/SC27

Systemy Zarządzania Bezpieczeństwem Informacji - zgodne z PN ISO/IEC 27001

Nowa norma międzynarodowa ISO/IEC 27001

Model PDCA Systemu Zarządzania Bezpieczeństwem Informacji Wdrożenie SZBI Zaplanowanie SZBI Utrzymywanie & Doskonalenie ISMS Monitorowanie & Przegląd SZBI Cykl życia SZBI Źródło: Ted Humphreys, Konferencja Wyzwania bezpieczeństwa informacji, Warszawa, 30 marca 2006

Wytyczne a Wymagania bezpieczeństwa System zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 ISO/IEC 27002(17799) Zbiór wytycznych ISO/IEC 27001 – Załącznik A Zbiór wymagań ISO/IEC 27002 jest normą niezbędną do wdrożenia ISO/IEC 27001

Czym ISO/IEC 17799 jest, a czym nie jest? Zarządzanie bezpieczeństwem informacji Zasady (polityka) bezpieczeństwa informacji z punktu widzenia potrzeb biznesowych Organizacja bezpieczeństwa Gestorzy aktywów Delegacja odpowiedzialności Mechanizmy wykonawcze, zarządcze (zatwierdzanie), nadzoru (przegląd), kontroli (niezależny audyt) Wyniki szacowania ryzyka podstawą wyboru zabezpieczeń Nie jest to poradnik dotyczący szacowania ryzyka Jakkolwiek dodano nowy rozdział o szacowaniu i postępowaniu z ryzykiem ISO/IEC 27005 jako następca ISO/IEC 13335-1/3

Wydanie 2000 Wydanie 2005 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Rozwój i utrzymanie systemu Zarządzanie ciągłością działania Zgodność Wydanie 2000 Polityka bezpieczeństwa Organizacja bezp. informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Pozyskanie, rozwój i utrzymanie systemów informacyjnych Zarządzanie ciągłością działania Zgodność Zarządzanie incydentami naruszenia bezpieczeństwa informacji Wydanie 2005

OBSZAR BEZPIECZEŃSTWA CEL STOSOWANIA ZABEZPIECZEŃ 11 głównych zagadnień bezpieczeństwa OBSZAR BEZPIECZEŃSTWA 39 celów stosowania zabezpieczeń w obszarach bezpieczeństwa CEL STOSOWANIA ZABEZPIECZEŃ ZABEZPIECZENIE + Wskazówki do wdrożenia przemieszane z innymi informacjami W 1. wydaniu: W 2. wydaniu: Deklaracja zabezpieczenia spełniającego cel stosowania ZABEZPIECZENIE Wytyczne do wdrożenia Wytyczne ułatwiające wdrożenie zabezpieczenia w sposób umożliwiający spełnienie celu stosowania Inne informacje Wyjaśnienia związane z wdrożeniem zabezpieczenia (np. uwarunkowania prawne), które należy uwzględnić przy wdrożeniu

Praktyczne zastosowanie normy ISO/IEC 17799 – audyt bezpieczeństwa Sformułowanie kryteriów audytu Zdefiniowanie mierników spełnienia kryteriów Poszukiwanie dowodów spelnienia kryteriów Ocena - porównanie stanu faktycznego z stanem opisanym za pomocą mierników 1 3 2 4

Normy certyfikacji na zgodność Certyfikacja systemów zarządzania bezpieczeństwem informacji przez niezależną stronę trzecią Normy certyfikacji na zgodność ISO/IEC 27001:2005 (wcześniej BS 7799 Part:2002) – Załącznik A zawiera zabezpieczenia z ISO/IEC 17799:2005 ISO/IEC 27006 Wymagania akredytacji dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji ISO Guide 62/EN 45012 (ISO 17021) - Conformity assessment — Requirements for bodies providing audit and certification of management systems ISO 19011 (PN ISO 19011) Wytyczne do audytowania systemów zarządzania jakością i/lub środowiskowego

16 certyfikatów zgodności Dynamika wzrostu certyfikacji systemów zarządzania bezpieczeństwem informacji 16 certyfikatów zgodności organizacji polskich Źródło: http://www.iso27001certificates.com

Podsumowanie Kompletny zbiór norm międzynarodowych dotyczący zarządzania bezpieczeństwa informacji jest w trakcie tworzenia Kierunki są wyraźnie zaznaczone (horyzont 2008) Potrzeby są zdefiniowane (horyzont 2010) Rynek a obowiązek ISMS Wymagania kontraktowe Niezależne potwierdzenie strony trzeciej Możliwość wpisania mechanizmów zgodności z aktualnymi wydaniami norm międzynarodowych/krajowych jako wymagań bezpieczeństwa informacji i systemów teleinformatycznych do stosownych aktów prawnych Rozporządzenie Komisji UE 1290/2006 w sprawie akredytacji Agencji Płatniczych Ustawa o informatyzacji i rozporządzenie dot. minimalnych wymagań dla systemów teleinformatycznych - Ujednolicenie wymagań dla systemów administracji państwowej i samorządowej

Pytania, uwagi, komentarze ... prezes@ismspolska.org.pl