Prezentacja
Transkrypt
Prezentacja
Krzysztof Świtała WPiA UKSW Podstawa prawna 1. 2. 4. § 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526) Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w ust. 2. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia. 2 Wcześniejszy stan prawny § 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212 poz. 1766) 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji. 3 Przepisy KRI a normy 1) 2) 3) § 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do ustanawiania zabezpieczeń; PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4 Hierarchia norm związanych z SZBI 5 Terminy i definicje związane z SZBI wg normy ISO 27001 Bezpieczeństwo informacji Zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. System zarządzania bezpieczeństwem informacji (ang. Information Security Management System) Ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Deklaracja stosowania Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji. Analiza ryzyka Systematyczne wykorzystanie informacji zidentyfikowania źródeł i oszacowania ryzyka. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania do 6 Atrybuty bezpieczeństwa informacji Poufność (ISO 27001) właściwość, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom; Integralność (ISO 27001) właściwość zapewnienia dokładności i kompletności aktywów (zasobów); Dostępność (ISO 27001) właściwość bycia dostępnym upoważnionego podmiotu; Autentyczność (KRI) właściwość polegającą na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane; Rozliczalność (KRI) właściwość systemu pozwalającą przypisać określone działanie w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. Niezaprzeczalność (KRI) brak możliwości zanegowania swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie; Niezawodność (PN-I-13335-1) właściwość oznaczająca spójne, zamierzone zachowanie i skutki. i użytecznym na żądanie 7 Atrybuty bezpieczeństwa informacji – porównanie regulacji Atrybuty informacji Bezpieczeństwo informacji ISO 27001 Informacje niejawne Dane osobowe Tajemnica Inne przedsiębiorstwa tajemnice Poufność Tak Tak Tak Tak Tak Integralność Tak Tak Tak - - Dostępność Tak Tak - - - Autentyczność Tak - - - - Rozliczalność Tak Tak Tak - - Niezaprzeczalność Tak - - - - Niezawodność Tak - - - - Źródło: A. Guzik, SZBI receptą na bezpieczeństwo informacji, Hakin9 3/2010, s. 70 - 77 8 Cykl Deminga (ang. Plan-Do-CheckAct) stosowany w procesach SZBI PLANUJ Ustanowienie SZBI Zainteresowane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Zainteresowane strony DZIAŁAJ Utrzymanie i doskonalenie SZBI WYKONUJ Wdrożenie i eksploatacja SZBI Zarządzanie bezpieczeństwem informacji SPRAWDZAJ Monitorowanie i przegląd SZBI Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 9 Cykl Deminga (ang. Plan-Do-CheckAct) stosowany w procesach SZBI Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji Wykonuj (wdrożenie i eksploatacja SZBI) Wdrożenie i eksploatacja polityki zabezpieczeń, procesów i procedur. Sprawdzaj (monitorowanie i przegląd SZBI) Szacowanie, i tam gdzie ma zastosowanie, pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu. Działaj (utrzymanie i doskonalenie SZBI) Podejmowanie działań korygujących i zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania SZBI, 10 Związki w zarządzaniu ryzykiem Zagrożenia chronią przed zwiększają zwiększają Ryzyka Zabezpieczenia realizowane przez Podatności wykorzystują analiza wskazuje narażają Zasoby zwiększają Wymagania w zakresie ochrony posiadają Wartości Źródło: PN-I-13335-1 11 Od kiedy podmiot publiczny będzie zobowiązany do wprowadzenia SZBI? § 23. Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia. 12