K rajowe R amy I nteroperacyjno ś ci doradztwo, audyty

K r a j o w e
R a m y
I n t e r o p e r a c y j n o ś c i
B
doradztwo, audyty, szkolenia, oprogramowanie
Z dniem 30 maja 2012 r. weszło w życie rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz
minimalnych wymagań dla systemów teleinformatycznych.
Interoperacyjność – to zdolność systemów informacyjnych jednostek administracji publicznej do wspólnego działania na rzecz
realizacji zadań publicznych.
Krajowe Ramy Interoperacyjności (KRI) - zbiór uzgodnionych definicji, wymagań, reguł architektury systemów
teleinformatycznych, procedur i zasad, których stosowanie umożliwi współdziałanie systemów informacyjnych jednostek
administracji publicznej w procesach realizacji zadań publicznych drogą elektroniczną.
KRI – minimalne wymagania w zakresie systemów teleinformatycznych
Co należy uregulować/wdrożyć :







specyfikację formatów danych oraz protokołów
komunikacyjnych i szyfrujących, które mają być stosowane
w oprogramowaniu interfejsowym;
zapewnienie aktualizacji regulacji wewnętrznych w zakresie
dotyczącym zmieniającego się otoczenia;
utrzymywanie aktualności inwentaryzacji sprzętu i
oprogramowania służącego do przetwarzania informacji
obejmującej ich rodzaj i konfigurację;
przeprowadzania okresowych analiz ryzyka pod kątem
bezpieczeństwa informacji oraz podejmowania działań
minimalizujących to ryzyko;
zarządzanie kontrolą dostępu do informacji;
zapewnienie organizacji szkoleń dla pracowników;
stosowanie środków zapewniających bezpieczeństwo informacji;






zawieranie w umowach serwisowych ze stronami trzecimi zapisów
gwarantujących odpowiedni poziom bezpieczeństwa informacji;
ustalenie zasad postępowania z informacjami (publiczna,
chroniona, …);
zapewnienie odpowiedniego poziomu bezpieczeństwa w
systemach teleinformatycznych;
kontrolę zgodności systemów teleinformatycznych z
odpowiednimi normami i politykami bezpieczeństwa;
bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa
informacji w sposób, umożliwiający szybkie podjęcie działań
korygujących;
zapewnienie okresowego audytu w zakresie bezpieczeństwa
informacji, nie rzadziej niż raz na rok.
Zakres usług
Podstawowy audyt minimalnych wymagań w zakresie
systemów teleinformatycznych – w zakres usługi wchodzą
audyty bezpieczeństwa informacji i zarządzania usługami IT,
ale tylko w minimalnym zakresie wymaganym przez
Rozporządzenie
dot.
KRI
w
zakresie
systemów
teleinformatycznych,
efektem
końcowym
jest
raport
wskazujący istniejące zagrożenia oraz kierunki doskonalenia.
Audyt bezpieczeństwa informacji i usług IT - w zakres
usługi wchodzą audyty bezpieczeństwa informacji (wg. Normy
PN-ISO/IEC 27001) oraz audyty systemu zarządzania
usługami IT (wg normy PN-ISO/IEC 20000) w pełnym
zakresie wymagań norm, efektem końcowym jest raport
wskazujący istniejące zagrożenia oraz kierunki doskonalenia.
Testy penetracyjne infrastruktury IT – zasymulowane
przy
pomocy
specjalistycznych
narzędzi
działań
potencjalnego intruza (hakera), próbującego uzyskać
nieautoryzowany dostęp do systemu lub aplikacji webowych,
bądź zakłócić ich pracę; w efekcie określenie rzeczywistej
odporności na ataki.
Szkolenia:
- Szkolenie z zakresu budowy systemu spełniającego
minimalne
wymagania
w
ramach
Krajowych
Ram
Interoperacyjności.
- Szkolenie i warsztaty doskonalące dla audytorów systemu
zarządzania w ramach Krajowych ram Interoperacyjności.
- Szkolenie z zasad ochrony danych osobowych i wymagań
przepisów prawnych.
www.pbsg.pl
Wdrożenie systemu – opracowanie spójnych zasad
i mechanizmów bezpieczeństwa informacji i zarządzania
usługami IT. Usługa obejmuje budowę sformalizowanego
systemu spełniającej minimalne wymagania KRI w zakresie
systemów teleinformatycznych. Dokumentacja bierze pod
uwagę wymagania wg norm:
o
PN-ISO/IEC 27001 (bezpieczeństwo informacji)
o
PN-ISO/IEC 20000-1 (usługi IT)
o
ciągłość
działania
(m.in.
ISO/IEC
22301,
PN-ISO 24762)
oraz wytyczne wg norm:
o
PN-ISO/IEC 17799 (bezpieczeństwo informacji)
o
PN-ISO/IEC 20000-2 (usługi IT)
o
PN-ISO
27799
(bezpieczeństwo
informacji
w ochronie zdrowia)
o
ISO/IEC
27013
(bezpieczeństwo
informacji
i usługi IT)
Zakres prac uwzględnia przeprowadzenie szkolenia
powdrożeniowego dla pracowników oraz wsparcie w
pierwszej fazie funkcjonowania systemu, tj.:
- identyfikacji grup informacji i doboru odpowiedniego
poziomu ochrony;
- przeprowadzeniu pierwszej analizy ryzyka;
- opracowani planów ciągłości działania.
K r a j o w e
R a m y
I n t e r o p e r a c y j n o ś c i
Rozporządzenie to w zasadniczy sposób porządkuje prawodawstwo w zakresie podstawowych wymagań i zaleceń dla
nowych oraz istniejących systemów teleinformatycznych jednostek publicznych (urzędy, ministerstwa, agencje,
stowarzyszenia, towarzystwa, sądy, szpitale).
Rozporządzenie wskazuje również, że kompleksowym sposobem spełnienia zawartych w nim wymagań jest wdrożenie systemu
zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001 oraz systemu zarządzania jakością usług informatycznych wg
normy PN-ISO/IEC 20000-1 – w każdym podmiocie realizującym zadania publiczne w Polsce.
wybrane projekty
-
-
korzyści
Ministerstwo Spraw Wewnętrznych

audyt systemu bezpieczeństwem informacji w systemie
ePUAP na zgodność z wymaganiami normy PN-ISO/IEC
27001 oraz opracowanie raportu poaudytowego wraz z
wydaniem świadectwa stosowania SZBI.
Zgodność z prawem polskim dotyczącym
jednostek publicznych (Rozporządzeniem RM
w sprawie Krajowych Ram Interoperacyjności)

Podniesienie poziomu bezpieczeństwa
systemów teleinformatycznych
Ministerstwo Gospodarki

Zminimalizowanie ryzyka związanego z
sytuacją awaryjną (plany ciągłości działania)

Sprawne reagowanie na zmiany i postęp
dotyczący infrastruktury teleinformatycznej

Dostosowanie jednostki IT do ciągłych zmian
wynikających z potrzeb użytkowników

Poprawa efektywność działania

Wdrażanie innowacji w celu poprawy jakości
usług

Efektywne i trwałe rozwiązywanie problemów

Kontrola kosztów i ryzyk

Wyciąganie wniosków z doświadczeń
–
– szczegółowy audyt
infrastruktury i systemów informatycznych wraz z
opracowaniem rekomendacji doskonalących.
-
Narodowy Fundusz Zdrowia
– szczegółowy
audyt bezpieczeństwa systemu Zdrowotny Informator
Pacjenta w oparciu o metodykę OWASP.
-
Ministerstwo Rozwoju Regionalnego
–
wdrożenie zarządzania ciągłością działania Krajowego
Systemu Informatycznego KSI SIMIK w oparciu o BS
25999.
-
Centralny Ośrodek Informatyki
–
doradztwo w ramach prowadzonych prac projektowych w
oparciu o ITIL oraz doświadczenia we wdrażaniu systemów
ITSM.
-
Urząd Miasta Wrocławia
– opracowanie
koncepcji i wdrożenie systemu zarządzania jakością usług
IT wg ISO 20000. Przygotowanie urzędu do certyfikacji na
zgodność z ISO 20000.
-
Śląskie Centrum Społeczeństwa
Informacyjnego – wdrożenie zintegrowanego
systemu zarządzania potwierdzonego akredytowanymi
certyfikatami ISO 9001, ISO/IEC 27001 i ISO/IEC 20000.
kontakt
PBSG Sp. z o.o.
www.pbsg.pl
ul. Skotarska 8
www.e-risk.pl
61-625 Poznań
www.iso27000.pl
T: 61 826 11 52
www.e-szkolenie24.pl
F: 61 826 01 87
-
Urząd Dozoru technicznego
M: [email protected]
– audyt
bezpieczeństwa infrastruktury informatycznej oraz
wdrożenie zintegrowanego systemu zarządzania
obejmującego bezpieczeństwo informacji i zarządzanie
usługami IT według ISO/IEC 27001 i ISO/IEC 20000.
-
Urząd Miasta Krakowa
– audyt bezpieczeństwa
infrastruktury informatycznej oraz wdrożenie systemu
zarządzania bezpieczeństwem informacji potwierdzonego
akredytowanym certyfikatem ISO/IEC 27001.
www.pbsg.pl