Prezentacja

Krzysztof Świtała
WPiA UKSW
Podstawa prawna

1.
2.
4.
§ 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia
2012 r. w sprawie Krajowych Ram Interoperacyjności,
minimalnych wymagań dla rejestrów publicznych i wymiany
informacji w postaci elektronicznej oraz minimalnych wymagań
dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526)
Podmiot realizujący zadania publiczne opracowuje i
ustanawia, wdraża i eksploatuje, monitoruje i przegląda
oraz utrzymuje i doskonali system zarządzania
bezpieczeństwem informacji zapewniający poufność,
dostępność i integralność informacji z uwzględnieniem
takich
atrybutów,
jak
autentyczność,
rozliczalność,
niezaprzeczalność i niezawodność.
Zarządzanie bezpieczeństwem informacji realizowane jest w
szczególności przez zapewnienie przez kierownictwo
podmiotu publicznego warunków umożliwiających realizację i
egzekwowanie działań wymienionych w ust. 2.
Niezależnie od zapewnienia działań, o których mowa w ust. 2,
w przypadkach uzasadnionych analizą ryzyka w systemach
teleinformatycznych
podmiotów
realizujących
zadania
publiczne należy ustanowić dodatkowe zabezpieczenia.
2
Wcześniejszy stan prawny



§ 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11
października 2005 r. w sprawie minimalnych wymagań
dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212
poz. 1766)
1. Podmiot publiczny opracowuje, modyfikuje w
zależności
od
potrzeb
oraz
wdraża
politykę
bezpieczeństwa dla systemów teleinformatycznych
używanych przez ten podmiot do realizacji zadań
publicznych.
2. Przy opracowywaniu polityki bezpieczeństwa, o której
mowa w ust. 1, podmiot publiczny powinien uwzględniać
postanowienia Polskich Norm z zakresu bezpieczeństwa
informacji.
3
Przepisy KRI a normy

1)
2)
3)
§ 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje
się
za
spełnione,
jeżeli
system
zarządzania
bezpieczeństwem informacji został opracowany na
podstawie Polskiej Normy PN-ISO/IEC 27001, a
ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz
audytowanie odbywa się na podstawie Polskich Norm
związanych z tą normą, w tym:
PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do
ustanawiania zabezpieczeń;
PN-ISO/IEC 27005 - w odniesieniu do zarządzania
ryzykiem;
PN-ISO/IEC 24762 - w odniesieniu do odtwarzania
techniki informatycznej po katastrofie w ramach
zarządzania ciągłością działania.
4
Hierarchia norm związanych z SZBI
5
Terminy i definicje związane z SZBI
wg normy ISO 27001
Bezpieczeństwo informacji
Zachowanie
poufności,
integralności
i
dostępności informacji; dodatkowo mogą być
brane pod uwagę inne własności, takie jak
autentyczność, rozliczalność, niezaprzeczalność i
niezawodność.
System zarządzania
bezpieczeństwem informacji
(ang. Information Security
Management System)
Ta część całościowego systemu zarządzania,
oparta na podejściu wynikającym z ryzyka
biznesowego, odnosząca się do ustanawiania,
wdrażania,
eksploatacji,
monitorowania,
utrzymywania i doskonalenia bezpieczeństwa
informacji.
Deklaracja stosowania
Dokument, w którym opisano cele stosowania
zabezpieczeń oraz zabezpieczenia, które odnoszą
się i mają zastosowanie w SZBI danej organizacji.
Analiza ryzyka
Systematyczne wykorzystanie informacji
zidentyfikowania źródeł i oszacowania ryzyka.
Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
zarządzania bezpieczeństwem informacji - Wymagania
do
6
Atrybuty bezpieczeństwa informacji
Poufność
(ISO 27001)
właściwość, że informacja nie jest udostępniana lub wyjawiana
nieupoważnionym osobom, podmiotom lub procesom;
Integralność
(ISO 27001)
właściwość zapewnienia dokładności i kompletności aktywów
(zasobów);
Dostępność
(ISO 27001)
właściwość bycia dostępnym
upoważnionego podmiotu;
Autentyczność
(KRI)
właściwość polegającą na tym, że pochodzenie lub zawartość
danych opisujących obiekt są takie, jak deklarowane;
Rozliczalność
(KRI)
właściwość systemu pozwalającą przypisać określone działanie
w systemie do osoby fizycznej lub procesu oraz umiejscowić je w
czasie.
Niezaprzeczalność
(KRI)
brak możliwości zanegowania swego uczestnictwa w całości lub
w części wymiany danych przez jeden z podmiotów
uczestniczących w tej wymianie;
Niezawodność
(PN-I-13335-1)
właściwość oznaczająca spójne, zamierzone zachowanie i
skutki.
i
użytecznym
na
żądanie
7
Atrybuty bezpieczeństwa informacji
– porównanie regulacji
Atrybuty
informacji
Bezpieczeństwo informacji
ISO 27001
Informacje
niejawne
Dane
osobowe
Tajemnica
Inne
przedsiębiorstwa tajemnice
Poufność
Tak
Tak
Tak
Tak
Tak
Integralność
Tak
Tak
Tak
-
-
Dostępność
Tak
Tak
-
-
-
Autentyczność
Tak
-
-
-
-
Rozliczalność
Tak
Tak
Tak
-
-
Niezaprzeczalność
Tak
-
-
-
-
Niezawodność
Tak
-
-
-
-
Źródło: A. Guzik, SZBI receptą na bezpieczeństwo
informacji, Hakin9 3/2010, s. 70 - 77
8
Cykl Deminga (ang. Plan-Do-CheckAct) stosowany w procesach SZBI
PLANUJ
Ustanowienie
SZBI
Zainteresowane
strony
Wymagania i
oczekiwania
dotyczące
bezpieczeństwa
informacji
Zainteresowane
strony
DZIAŁAJ
Utrzymanie i
doskonalenie
SZBI
WYKONUJ
Wdrożenie i
eksploatacja
SZBI
Zarządzanie
bezpieczeństwem
informacji
SPRAWDZAJ
Monitorowanie i
przegląd SZBI
Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
zarządzania bezpieczeństwem informacji - Wymagania
9
Cykl Deminga (ang. Plan-Do-CheckAct) stosowany w procesach SZBI
Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i
procedur istotnych dla zarządzania ryzykiem oraz
doskonalenia bezpieczeństwa informacji tak, aby
uzyskać wyniki zgodne z ogólnymi politykami i
celami organizacji
Wykonuj (wdrożenie i
eksploatacja SZBI)
Wdrożenie
i
eksploatacja
polityki
zabezpieczeń, procesów i procedur.
Sprawdzaj (monitorowanie
i przegląd SZBI)
Szacowanie, i tam gdzie ma zastosowanie, pomiar
wydajności procesów w odniesieniu do polityki SZBI,
celów
i
doświadczenia
praktycznego
oraz
dostarczanie raportów kierownictwu do przeglądu.
Działaj (utrzymanie i
doskonalenie SZBI)
Podejmowanie
działań
korygujących
i
zapobiegawczych w oparciu o wyniki wewnętrznego
audytu SZBI i przeglądu realizowanego przez
kierownictwo lub innych istotnych informacji, w celu
zapewnienia ciągłego doskonalenia SZBI.
Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
zarządzania bezpieczeństwem informacji - Wymagania
SZBI,
10
Związki w zarządzaniu ryzykiem
Zagrożenia
chronią
przed
zwiększają
zwiększają
Ryzyka
Zabezpieczenia
realizowane
przez
Podatności
wykorzystują
analiza
wskazuje
narażają
Zasoby
zwiększają
Wymagania w
zakresie ochrony
posiadają
Wartości
Źródło: PN-I-13335-1
11
Od kiedy podmiot publiczny będzie
zobowiązany do wprowadzenia SZBI?

§
23.
Systemy
teleinformatyczne
podmiotów realizujących zadania publiczne
funkcjonujące w dniu wejścia w życie
rozporządzenia na podstawie dotychczas
obowiązujących
przepisów
należy
dostosować do wymagań, o których mowa
w rozdziale IV rozporządzenia, nie później
niż w dniu ich pierwszej istotnej
modernizacji przypadającej po wejściu w
życie rozporządzenia.
12