Krajowe Ramy Interoperacyjności
Transkrypt
Krajowe Ramy Interoperacyjności
Krajowe Ramy Interoperacyjności Profesjonalne przygotowanie jednostki do spełnienia wymagań prawnych Z dniem 30 maja 2012 r. weszło w życie rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Dlaczego usługi PBSG) Interoperacyjność – to zdolność systemów informacyjnych jednostek administracji publicznej do wspólnego działania na rzecz realizacji zadań publicznych.) Krajowe Ramy Interoperacyjności (KRI) - zbiór uzgodnionych definicji, wymagań, reguł architektury systemów teleinformatycznych, procedur i zasad, których stosowanie umożliwi współdziałanie systemów informacyjnych jednostek administracji publicznej w procesach realizacji zadań publicznych drogą elektroniczną. § Zapewnienie zgodności z prawem polskim dotyczącym jednostek publicznych (Rozporządzeniem RM w sprawie Krajowych Ram Interoperacyjności) § Zwiększenie poziomu bezpieczeństwa systemów teleinformatycznych § Zminimalizowanie ryzyka związanego z sytuacją awaryjną (plany ciągłości działania) § Opracowanie sprawnych mechanizmów reagowania na zmiany i postęp dotyczący infrastruktury teleinformatycznej § Dostosowanie jednostki IT do ciągłych zmian wynikających z potrzeb użytkowników § Poprawa efektywność działania § Wdrożenie innowacji w celu poprawy jakości usług § Efektywne i trwałe rozwiązanie problemów § Kontrola kosztów i ryzyk KRI – minimalne wymagania w zakresie systemów teleinformatycznych Co należy uregulować/wdrożyć: q specyfikację formatów danych oraz protokołów ) komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym; q zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; q utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; q przeprowadzania okresowych analiz ryzyka pod kątem bezpieczeństwa informacji oraz podejmowania działań minimalizujących to ryzyko; q zarządzanie kontrolą dostępu do informacji; q zapewnienie organizacji szkoleń dla pracowników; q stosowanie środków zapewniających bezpieczeństwo informacji; q zawieranie w umowach serwisowych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; q ustalenie zasad postępowania z informacjami (publiczna, chroniona, …); q zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych; q kontrolę zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; q bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w sposób, umożliwiający szybkie podjęcie działań korygujących; q zapewnienie okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok www.pbsg.pl Krajowe Ramy Interoperacyjności Szybkie i skuteczne przygotowanie jednostki do wdrożenia minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Usługi Podstawowy audyt minimalnych wymagań w zakresie systemów teleinformatycznych – w zakres usługi wchodzą audyty bezpieczeństwa informacji i zarządzania usługami IT, ale tylko w minimalnym zakresie wymaganym przez Rozporządzenie dot. KRI w zakresie systemów teleinformatycznych, efektem końcowym jest raport wskazujący istniejące zagrożenia oraz kierunki doskonalenia. Audyt bezpieczeństwa informacji i usług IT - w zakres usługi wchodzą audyty bezpieczeństwa informacji (wg. Normy PN-ISO/IEC 27001) oraz audyty systemu zarządzania usługami IT (wg normy PN-ISO/IEC 20000) w pełnym zakresie wymagań norm, efektem końcowym jest raport wskazujący istniejące zagrożenia oraz kierunki doskonalenia. Testy penetracyjne infrastruktury IT – zasymulowane przy pomocy specjalistycznych narzędzi działań potencjalnego intruza (hakera), próbującego uzyskać nieautoryzowany dostęp do systemu lub aplikacji webowych, bądź zakłócić ich pracę; w efekcie określenie rzeczywistej odporności na ataki. Szkolenia - § § § Szkolenie z zakresu budowy systemu spełniającego minimalne wymagania w ramach Krajowych Ram Interoperacyjności. Szkolenie i warsztaty doskonalące dla audytorów systemu zarządzania w ramach Krajowych ram Interoperacyjności. Szkolenie z zasad ochrony danych osobowych i wymagań przepisów prawnych. ) Wdrożenie systemu – opracowanie spójnych zasad ) i mechanizmów bezpieczeństwa informacji i zarządzania usługami IT. Usługa obejmuje budowę sformalizowanego systemu spełniającej minimalne wymagania KRI w zakresie systemów teleinformatycznych. Dokumentacja bierze pod uwagę wymagania wg norm:) PN-ISO/IEC 27001 (bezpieczeństwo informacji) PN-ISO/IEC 20000-1 (usługi IT) ciągłość działania (m.in. ISO/IEC 22301, ) PN-ISO 24762) oraz wytyczne wg norm: § PN-ISO/IEC 17799 (bezpieczeństwo informacji) § PN-ISO/IEC 20000-2 (usługi IT) § PN-ISO 27799 (bezpieczeństwo informacji ) w ochronie zdrowia) § ISO/IEC 27013 (bezpieczeństwo informacji ) i usługi IT) § § § Zakres prac uwzględnia przeprowadzenie szkolenia powdrożeniowego dla pracowników oraz wsparcie w pierwszej fazie funkcjonowania systemu, tj.: § identyfikacji grup informacji i doboru odpowiedniego poziomu ochrony; § przeprowadzeniu pierwszej analizy ryzyka; § opracowani planów ciągłości działania. www.pbsg.pl Wybrane projekty Ministerstwo Spraw Wewnętrznych – audyt systemu bezpieczeństwem informacji w systemie ePUAP na zgodność z wymaganiami normy PN-ISO/IEC 27001 oraz opracowanie raportu poaudytowego wraz z wydaniem świadectwa stosowania SZBI. ) Ministerstwo Gospodarki – szczegółowy audyt infrastruktury i systemów informatycznych wraz z opracowaniem rekomendacji doskonalących.) Narodowy Fundusz Zdrowia – szczegółowy audyt bezpieczeństwa systemu Zdrowotny Informator Pacjenta w oparciu o metodykę OWASP.) Ministerstwo Rozwoju Regionalnego – wdrożenie zarządzania ciągłością działania Krajowego Systemu Informatycznego KSI SIMIK w oparciu o BS 25999.) Centralny Ośrodek Informatyki – doradztwo w ramach prowadzonych prac projektowych w oparciu o ITIL oraz doświadczenia we wdrażaniu systemów ITSM. Urząd Miasta Wrocławia – opracowanie koncepcji i wdrożenie systemu zarządzania jakością usług IT wg ISO 20000. Przygotowanie urzędu do certyfikacji na zgodność z ISO 20000. Śląskie Centrum Społeczeństwa Informacyjnego – wdrożenie zintegrowanego systemu zarządzania potwierdzonego akredytowanymi certyfikatami ISO 9001, ISO/IEC 27001 i ISO/IEC 20000. Urząd Dozoru technicznego – audyt bezpieczeństwa infrastruktury informatycznej oraz wdrożenie zintegrowanego systemu zarządzania obejmującego bezpieczeństwo informacji i zarządzanie usługami IT według ISO/IEC 27001 i ISO/IEC 20000. Kontakt PBSG Sp. z o.o. ul. Skotarska 8) 61-625 Poznań T: 61 826 11 52 F: 61 826 01 87) M: [email protected] www.pbsg.pl www.e-risk.pl www.iso27000.pl