K rajowe R amy I nteroperacyjno ś ci doradztwo, audyty
Transkrypt
K rajowe R amy I nteroperacyjno ś ci doradztwo, audyty
K r a j o w e R a m y I n t e r o p e r a c y j n o ś c i B doradztwo, audyty, szkolenia, oprogramowanie Z dniem 30 maja 2012 r. weszło w życie rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Interoperacyjność – to zdolność systemów informacyjnych jednostek administracji publicznej do wspólnego działania na rzecz realizacji zadań publicznych. Krajowe Ramy Interoperacyjności (KRI) - zbiór uzgodnionych definicji, wymagań, reguł architektury systemów teleinformatycznych, procedur i zasad, których stosowanie umożliwi współdziałanie systemów informacyjnych jednostek administracji publicznej w procesach realizacji zadań publicznych drogą elektroniczną. KRI – minimalne wymagania w zakresie systemów teleinformatycznych Co należy uregulować/wdrożyć : specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym; zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; przeprowadzania okresowych analiz ryzyka pod kątem bezpieczeństwa informacji oraz podejmowania działań minimalizujących to ryzyko; zarządzanie kontrolą dostępu do informacji; zapewnienie organizacji szkoleń dla pracowników; stosowanie środków zapewniających bezpieczeństwo informacji; zawieranie w umowach serwisowych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; ustalenie zasad postępowania z informacjami (publiczna, chroniona, …); zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych; kontrolę zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w sposób, umożliwiający szybkie podjęcie działań korygujących; zapewnienie okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Zakres usług Podstawowy audyt minimalnych wymagań w zakresie systemów teleinformatycznych – w zakres usługi wchodzą audyty bezpieczeństwa informacji i zarządzania usługami IT, ale tylko w minimalnym zakresie wymaganym przez Rozporządzenie dot. KRI w zakresie systemów teleinformatycznych, efektem końcowym jest raport wskazujący istniejące zagrożenia oraz kierunki doskonalenia. Audyt bezpieczeństwa informacji i usług IT - w zakres usługi wchodzą audyty bezpieczeństwa informacji (wg. Normy PN-ISO/IEC 27001) oraz audyty systemu zarządzania usługami IT (wg normy PN-ISO/IEC 20000) w pełnym zakresie wymagań norm, efektem końcowym jest raport wskazujący istniejące zagrożenia oraz kierunki doskonalenia. Testy penetracyjne infrastruktury IT – zasymulowane przy pomocy specjalistycznych narzędzi działań potencjalnego intruza (hakera), próbującego uzyskać nieautoryzowany dostęp do systemu lub aplikacji webowych, bądź zakłócić ich pracę; w efekcie określenie rzeczywistej odporności na ataki. Szkolenia: - Szkolenie z zakresu budowy systemu spełniającego minimalne wymagania w ramach Krajowych Ram Interoperacyjności. - Szkolenie i warsztaty doskonalące dla audytorów systemu zarządzania w ramach Krajowych ram Interoperacyjności. - Szkolenie z zasad ochrony danych osobowych i wymagań przepisów prawnych. www.pbsg.pl Wdrożenie systemu – opracowanie spójnych zasad i mechanizmów bezpieczeństwa informacji i zarządzania usługami IT. Usługa obejmuje budowę sformalizowanego systemu spełniającej minimalne wymagania KRI w zakresie systemów teleinformatycznych. Dokumentacja bierze pod uwagę wymagania wg norm: o PN-ISO/IEC 27001 (bezpieczeństwo informacji) o PN-ISO/IEC 20000-1 (usługi IT) o ciągłość działania (m.in. ISO/IEC 22301, PN-ISO 24762) oraz wytyczne wg norm: o PN-ISO/IEC 17799 (bezpieczeństwo informacji) o PN-ISO/IEC 20000-2 (usługi IT) o PN-ISO 27799 (bezpieczeństwo informacji w ochronie zdrowia) o ISO/IEC 27013 (bezpieczeństwo informacji i usługi IT) Zakres prac uwzględnia przeprowadzenie szkolenia powdrożeniowego dla pracowników oraz wsparcie w pierwszej fazie funkcjonowania systemu, tj.: - identyfikacji grup informacji i doboru odpowiedniego poziomu ochrony; - przeprowadzeniu pierwszej analizy ryzyka; - opracowani planów ciągłości działania. K r a j o w e R a m y I n t e r o p e r a c y j n o ś c i Rozporządzenie to w zasadniczy sposób porządkuje prawodawstwo w zakresie podstawowych wymagań i zaleceń dla nowych oraz istniejących systemów teleinformatycznych jednostek publicznych (urzędy, ministerstwa, agencje, stowarzyszenia, towarzystwa, sądy, szpitale). Rozporządzenie wskazuje również, że kompleksowym sposobem spełnienia zawartych w nim wymagań jest wdrożenie systemu zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001 oraz systemu zarządzania jakością usług informatycznych wg normy PN-ISO/IEC 20000-1 – w każdym podmiocie realizującym zadania publiczne w Polsce. wybrane projekty - - korzyści Ministerstwo Spraw Wewnętrznych audyt systemu bezpieczeństwem informacji w systemie ePUAP na zgodność z wymaganiami normy PN-ISO/IEC 27001 oraz opracowanie raportu poaudytowego wraz z wydaniem świadectwa stosowania SZBI. Zgodność z prawem polskim dotyczącym jednostek publicznych (Rozporządzeniem RM w sprawie Krajowych Ram Interoperacyjności) Podniesienie poziomu bezpieczeństwa systemów teleinformatycznych Ministerstwo Gospodarki Zminimalizowanie ryzyka związanego z sytuacją awaryjną (plany ciągłości działania) Sprawne reagowanie na zmiany i postęp dotyczący infrastruktury teleinformatycznej Dostosowanie jednostki IT do ciągłych zmian wynikających z potrzeb użytkowników Poprawa efektywność działania Wdrażanie innowacji w celu poprawy jakości usług Efektywne i trwałe rozwiązywanie problemów Kontrola kosztów i ryzyk Wyciąganie wniosków z doświadczeń – – szczegółowy audyt infrastruktury i systemów informatycznych wraz z opracowaniem rekomendacji doskonalących. - Narodowy Fundusz Zdrowia – szczegółowy audyt bezpieczeństwa systemu Zdrowotny Informator Pacjenta w oparciu o metodykę OWASP. - Ministerstwo Rozwoju Regionalnego – wdrożenie zarządzania ciągłością działania Krajowego Systemu Informatycznego KSI SIMIK w oparciu o BS 25999. - Centralny Ośrodek Informatyki – doradztwo w ramach prowadzonych prac projektowych w oparciu o ITIL oraz doświadczenia we wdrażaniu systemów ITSM. - Urząd Miasta Wrocławia – opracowanie koncepcji i wdrożenie systemu zarządzania jakością usług IT wg ISO 20000. Przygotowanie urzędu do certyfikacji na zgodność z ISO 20000. - Śląskie Centrum Społeczeństwa Informacyjnego – wdrożenie zintegrowanego systemu zarządzania potwierdzonego akredytowanymi certyfikatami ISO 9001, ISO/IEC 27001 i ISO/IEC 20000. kontakt PBSG Sp. z o.o. www.pbsg.pl ul. Skotarska 8 www.e-risk.pl 61-625 Poznań www.iso27000.pl T: 61 826 11 52 www.e-szkolenie24.pl F: 61 826 01 87 - Urząd Dozoru technicznego M: [email protected] – audyt bezpieczeństwa infrastruktury informatycznej oraz wdrożenie zintegrowanego systemu zarządzania obejmującego bezpieczeństwo informacji i zarządzanie usługami IT według ISO/IEC 27001 i ISO/IEC 20000. - Urząd Miasta Krakowa – audyt bezpieczeństwa infrastruktury informatycznej oraz wdrożenie systemu zarządzania bezpieczeństwem informacji potwierdzonego akredytowanym certyfikatem ISO/IEC 27001. www.pbsg.pl