MAC budowa i wdrażanie systemu zarządzania bezpieczeństwem

MINISTERSTWO
ADMINISTRACJI
I CYFRYZACJI
System Zarządzania
Bezpieczeństwem Informacji
w
urzędzie
Definicje
Bezpieczeństwo informacji i systemów teleinformatycznych
wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem
poufności, integralności, dostępności, niezaprzeczalności, rozliczalności
autentyczności i niezawodności informacji i systemów, w których są one
przetwarzane
Polityka bezpieczeństwa informacji
udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja
określa, w jaki sposób chroni aktywa (zasoby) swego systemu informatycznego oraz
przetwarzane informacje
System zarządzania bezpieczeństwem informacji
część całościowego systemu zarządzania urzędem, oparta na podejściu wynikającym
z szacowania ryzyka, odnosząca się do ustanawiania, wdrażania, eksploatacji,
monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji
2
Jaki jest cel SZBI?
Kierownictwo urzędu jest zobowiązane zadbać o
to, aby zadania stojące przed organem, który urząd
obsługuje, mogły być realizowane w sposób
nieprzerwany i w wymaganym czasie, w warunkach
zapewniających bezpieczeństwo informacji i
systemów teleinformatycznych
3
Dlaczego bezpieczeństwo
informacji, a nie tylko
bezpieczeństwo
teleinformatyczne?
Bezpieczeństwo informacji to nie tylko ochrona danych
w systemach TI. Utrata kontroli nad informacją może
zajść w każdym miejscu organizacji, a informacja może
być składowana, używana i transferowana w różnych
postaciach.
4
Podział nak ładów na bezpieczeństwo
5
Regulacje prawne
Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych
Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i
wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla
systemów teleinformatycznych (Dz. U. 2012 r. poz. 526 ze zm. Dz. U. 2014 r. poz.
1671):
§ 20 ust. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i
eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania
bezpieczeństwem informacji zapewniający poufność, dostępność i integralność
informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność,
niezaprzeczalność i niezawodność.
§ 20 ust. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności
przez zapewnienie przez kierownictwo podmiotu publicznego warunków
umożliwiających realizację i egzekwowanie następujących działań:
6
1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich
rodzaj i konfigurację;
3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania
działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne
uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków
mających na celu zapewnienie bezpieczeństwa informacji;
5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji;
7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub
zakłóceniami;
8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub
zniszczenie;
10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom
bezpieczeństwa informacji;
11) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych;
12) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób,
umożliwiający szybkie podjęcie działań korygujących;
13) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
7
Polsk ie Normy
§ 20 ust. 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system
zarządzania bezpieczeństwem informacji został opracowany na podstawie
Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie
ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych
z tą normą, w tym:
1) PN-ISO/IEC 17799 – w odniesieniu do ustanawiania zabezpieczeń (PN-ISO/IEC
27002 );
2) PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem (PN-ISO 31000);
3) PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po
katastrofie w ramach zarządzania ciągłością działania (PN-EN ISO
22301Bezpieczeństwo powszechne - Systemy zarządzania ciągłością działania –
Wymagania).
8
Zarządzanie bezpieczeństwem informacji
jest procesem,
a nie stanem!
9
Cykl życia SZBI
10
Jak ustanowić i eksploatować
SZBI?
1) Ustanowienie polityki bezpieczeństwa informacji;
2) Określenie zakresu systemu;
3) Inwentaryzacja zasobów;
4) Szacowanie ryzyk;
5) Postępowanie z ryzykami – wdrożenie zabezpieczeń;
6) Opracowanie procedur, regulaminów, instrukcji itp. dokumentów o charakterze
operacyjnym;
7) Gromadzenie zapisów dokumentujących realizację procedur;
8) Ocena funkcjonowania systemu w drodze przeglądów i audytu;
9) Działania naprawcze i korygujące.
11
Struktura dokumentacji SZBI
Poziom Strategii
Urzędu
Polityka
Bezpieczeń
stwa
Polityki szczegółowe
(Zasady użycia zabezpieczeń,
regulaminy, metodyki)
Poziom Strategii
Szczegółowych
Poziom
Dokumentacji Operacyjnej
Procedury
Formularze zapisów
Poziom Zapisów
12
Polityki szczegółowe
1) Polityka zarządzania zasobami (aktywami);
2) Polityka zarządzania ryzykiem;
3) Polityka zarządzania zasobami ludzkimi;
4) Polityka zarządzania bezpieczeństwem w TI;
5) Polityka bezpieczeństwa fizycznego i środowiskowego;
6) Polityka zgodności;
7) Polityka zarządzania ciągłością działania;
8) Polityka zarządzania incydentami;
9) Polityka szkoleniowa;
10)Polityka rozwoju;
11)Polityka audytu wewnętrznego;
13
Stworzenie dokumentacji SZBI
nie jest celem samym w sobie!
14
Działanie SZBI polega na postępowaniu zgodnie z
ustanowionymi procedurami i dokumentowaniu tego
postępowania w postaci zapisów.
15
Zapisy generowane w SZBI stanowią ślad audytowy
16
Audyt w SZBI
17
MINISTERSTWO
ADMINISTRACJI
I CYFRYZACJI