Pobierz plik
Transkrypt
Pobierz plik
Orange 23 lutego 2016 r. Warszawa Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A. Zbigniew Sujecki Administrator Bezpieczeństwa Informacji Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji 1 Dane Osobowe „złoto” XXI wieku generujemy ją wszyscy, niezależnie od miejsca i czasu ułatwiają nam to wszechobecne rozwiązania technologiczne urządzenia zbierają i monitorują nasze zachowania, upodobania i zainteresowania tworząc profile użytkowników umieszczamy szczegóły naszego życia w „chmurze” i publikujemy je na forach społecznościowych Totalna walka o dane osobowe wymaga należytej troski o ich bezpieczeństwo tzn.: utrzymania atrybutów poufności, integralności dostępności i rozliczalności na akceptowalnym poziomie. 2 informacje, bazy danych - strategicznym „towarem handlowym” naszej epoki a bezpieczeństwo informacji „normą nowoczesnej organizacji ” Strategie Bezpieczeństwa Ochrony Danych Osobowych podejście systemowe podejście zachowawcze make safety - działania reaktywne wdrażanie zabezpieczeń opartych o wymagania prawa, intuicję i wiedzę menagerów … podejmowanie działań w następstwie zaistniałych incydentów myślenie w kategoriach „mamy dobrych prawników, to damy radę” 3 manage security – „best practices”/ oparcie się na wymaganiach ISO 27001 system zarządzania bezpieczeństwem informacji (SZBI): wdrażane zabezpieczenia wynikiem realnego zarządzania ryzykiem jednoznaczny podział ról i odpowiedzialności planowanie, wdrażanie, monitorowanie i korygowanie 14 obszarów wymagań ISO 27001 = ład korporacyjny (realne zarządzanie mechanizmami determinującymi bezpieczeństwo danych osobowych) oraz zapewnienie rynku (lepsze postrzeganie organizacji i zaufanie klientów – certyfikat) Komponenty SZBI - obszary normy ISO 27001 Polityka bezpieczeństwa informacji A5 Zgodność 0. Wprowadzenie 1. Zakres normy 2. Powołania normatywne 3. Terminy i definicje 4. Kontekst organizacji 5. Przywództwo Przywództwo i zaangażowanie, Polityka, Role, odpowiedzialność i uprawnienia 6. Planowanie Działania odnoszące się do ryzyk i szans Cele bezpieczeństwa informacji i planowanie ich osiągnięcia 7. Wsparcie Zasoby, Kompetencje, Uświadamianie, Komunikacja, Udokumentowane informacje 8. Działania operacyjne Planowanie i nadzór nad działaniami operacyjnymi, szacowanie ryzyka, postępowanie z bezpieczeństwem informacji 9. Ocena wyników Monitorowanie, pomiary, analiza i ocena, Audyt wewnętrzny Przegląd zarządzania 10 Doskonalenie Niezgodności i działania korygujące, Ciągłe doskonalenie A16 Relacje z dostawcami A15 A14 Bezpieczeństwo komunikacji A11 A13 A12 4 Bezpieczeństwo zasobów ludzkich A7 A17 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A6 A18 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Zarządzanie incydentami bezpieczeństw a Organizacja bezpieczeństwa informacji Bezpieczna eksploatacja A8 Zarządzanie aktywami Kontrola dostępu A9 A10 Kryptografia Bezpieczeństwo fizyczne i środowiskowe Wymagania normy ISO 27001 w zakresie audytu wewnętrznego vs. wymagania przepisów o ochronie danych osobowych w zakresie sprawdzeń planowych Wymagania normy ISO 27001:2013 Organizacja powinna: Przepisy o ochronie danych osobowych Zaplanować, ustanowić, wdrożyć i utrzymywać program audytów, w tym częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz raportowanie. Program audytów powinien uwzględniać znaczenie procesów objętych audytem oraz wyniki poprzednich audytów. Plan sprawdzeń Zdefiniować kryteria audytu i zakres każdego audytu. Określenie przedmiotu, zakresu sprawdzenia Wybierać audytorów i prowadzić audyty w sposób zapewniający obiektywność i bezstronność procesu audytu. Gwarancją - niezależność ABI Zapewnić przedstawianie wyników audytów właściwym członkom kierownictwa. Przekazanie sprawozdania administratorowi danych Zachować udokumentowane informacje, jako dowód realizacji programu audytów i wyników audytów. Dokumentowanie czynności przeprowadzonych w toku sprawdzenia 5 Integracja sprawdzeń planowych z zasadami prowadzenia audytów wg. standardów ISO audyty realizowane w zakresie ochrony danych osobowych, które są sprawdzaniem zgodności przetwarzania danych osobowych w rozumieniu art. 36a ustawy o ochronie danych osobowych 6 Uchwała zarządu dot. zasad prowadzenia audytów wg standardów ISO 7 Cel Zakres Powoływanie audytorów Rola i obowiązki audytorów Planowanie audytów Prowadzenie audytu Monitorowanie poaudytowych działań korygujących Postanowienia końcowe Realizacja audytów / sprawdzeń planowych w Orange Polska Program audytów tworzony jest na podstawie zebranych informacji i planowany jest z wyprzedzeniem na okres jednego roku. Program audytów w Orange Polska S.A. na dany rok akceptowany jest przez Zarząd Orange Polska S.A. Audyt danego obszaru przeprowadzany jest z uwagi na: … istotne zmiany struktury organizacyjnej, procesu lub zasad działania, … istotne ryzyko wystąpienia problemów, status i wagę procesów oraz audytowanych obszarów, wyniki poprzednich audytów, wnioski z przeglądów zarządzania wymagania Ustawy z dnia 27 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienie przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji dotyczące sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Wybór audytorów powinien zapewnić obiektywność i bezstronność audytu. W szczególności audytorzy nie mogą audytować własnej pracy, tj. być bezpośrednio związanymi z badanym procesem czy obszarem. Audytor powinien zapewnić efektywność i bezstronność audytu; audytor jest niezależny od audytowanego obszaru, musi znać i rozumieć wymagania obowiązujących norm, dokumentację systemu jakości, cele i politykę jakości. Raport jest przedstawiany właścicielowi audytowanego procesu, dyrektorowi audytowanej jednostki, ZARZĄDOWI. Celem pracy audytora jest dokumentowanie niezgodności i zaleceń tak, aby: opis natury niezgodności i zaleceń był czytelny co do miejsca i czasu wystąpienia niezgodności 8 było oczywiste jakie wymaganie ma zastosowanie w danej sprawie, a nie jest spełnione Sprawozdanie ze audytu/sprawdzenia 9 Realizacja sprawdzeń doraźnych w przypadkach uzasadnionego podejrzenia naruszenia sprawdzenia doraźne prowadzone w przypadkach uzasadnionego podejrzenia wystąpienia takiego naruszenia, zgodnie z Polityką bezpieczeństwa Danych Osobowych w Orange Polska S.A. Źródła informacji zgłoszone incydenty , wyniki analizy ryzyka, informacje od zainteresowanych stron , informacje od uprawnionych organów państwowych, wiedza ekspercka 10 ISO 27001 (A16) Zarządzanie incydentami związanymi z bezpieczeństwem informacji 16. Zarządzanie incydentami związanymi z bezpieczeństwem informacji Cel: Zapewnić spójne i skuteczne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji, z uwzględnieniem informowania o zdarzeniach i słabościach. 16.1 Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami 16.1.1 Odpowiedzialność i procedury Należy ustanowić odpowiedzialność kierownictwa oraz procedury zapewniające szybką, skuteczną i zorganizowaną reakcję na incydenty związane z bezpieczeństwem informacji 16.1.2 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji Zdarzenia związane z bezpieczeństwem informacji należy zgłaszać odpowiednimi kanałami zarządczymi tak szybko, jak tylko to jest możliwe 16.1.3 Zgłaszanie słabości związanych z bezpieczeństwem informacji Należy zobowiązać pracowników oraz kontrahentów korzystających z systemów i usług informacyjnych organizacji do odnotowania i zgłaszania wszelkich zaobserwowanych lub podejrzanych słabości związanych z bezpieczeństwem informacji 11 ISO 27001 (A16) Zarządzanie incydentami związanymi z bezpieczeństwem informacji 16.1.4 Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem informacji Zdarzenia związane z bezpieczeństwem informacji należy ocenić i podjąć decyzję w sprawie zakwalifikowania ich jako incydentów związanych z bezpieczeństwem informacji 16.1.5 Reagowanie na incydenty związane z bezpieczeństwem informacji Reakcja na incydenty związane z bezpieczeństwem informacji powinna być zgodna z udokumentowanymi procedurami 16.1.6 Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji Wiedzę zdobytą podczas analizy i rozwiązywania incydentów należy wykorzystać do zredukowania prawdopodobieństwa wystąpienia lub skutków przyszłych incydentów 16.1.7 Gromadzenie materiału dowodowego Organizacja powinna określić i stosować procedury identyfikacji , gromadzenia, pozyskiwania i utrwalania informacji, które mogą stanowić materiał dowodowy 12 Realizacja sprawdzeń doraźnych w ramach zarządzania incydentami 13 Rozdział 4. Polityki Bezpieczeństwa Danych Osobowych Rozdział 4 §14 SPRAWDZENIE PRZETWARZANIA DANYCH OSOBOWYCH 1. Sprawdzenie zgodności przetwarzania Danych osobowych w OPL z przepisami o ochronie Danych osobowych obejmuje wszystkie jednostki/ komórki organizacyjne mające dostęp do Danych osobowych, w których przetwarzane są Dane osobowe, oraz podmioty zewnętrzne, którym powierzono Dane osobowe do przetwarzania. 2. Sprawdzenie zgodności przetwarzania Danych osobowych z przepisami o ochronie Danych osobowych prowadzi się w trybie: 3. 4. 14 1) sprawdzenia planowego – zgodnego z zatwierdzonym przez Zarząd OPL planem audytów (sprawdzeń), 2) sprawdzenia doraźnego - prowadzonego w przypadkach naruszenia ochrony Danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia, 3) art. 19b ust. 1 Ustawy - na zlecenie GIODO. Sprawdzenie planowe jest prowadzone: 1) przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji, 2) w formie planowych audytów wg standardów ISO Systemu Zarządzania Bezpieczeństwem Informacji, zatwierdzonych przez Zarząd OPL. Sprawdzenie doraźne jest prowadzone: 1) przez pracowników Wydziału Zarządzania Incydentami Bezpieczeństwa w ramach realizacji zadań Systemu Zarządzania Bezpieczeństwem Informacji, zgodnie z Zasadami Zarządzania Incydentami Bezpieczeństwa Informacji w OPL, 2) przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Info rmacji. 5. Sprawdzenie na zlecenie GIODO jest prowadzone przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji. 6. W Sprawdzeniach uczestniczą delegowani na wniosek ABI eksperci oraz pracownicy innych jednostek i komórek organizacyjnych OPL. Wniosek kierowany jest do ich przełożonych. Osoby prowadzące Sprawdzenie lub uczestniczące w nim w charakterze ekspertów, o których mowa w niniejszym ustępie, przekazują ABI raport ze Sprawdzenia niezwłocznie po jego zakończeniu, w oparciu o który ABI sporządza Sprawozdanie. Zarządzanie Ryzykiem, Wdrażanie Zabezpieczeń lub Działań Korygujących dane wejściowe rejestr incydentów wyniki audytu BSI wyniki audytów wewn. i zewn. informacje od zainteresowanych stron nowy lub rozwijany projekt, proces, usługa, inicjatywa Plan Postępowania z Ryzykiem 15 dane wyjściowe SZACOWANIE RYZYKA identyfikacja (ocena) zagrożeń, podatności i następstw analizy wstępne i pogłębione zestawienie ryzyk i wskazanie WR OCENA RYZYKA prawdopodobieństwo wystąpienia (P) następstwo wystąpienia (N) ankieta z propozycją oceny ryzyk POSTĘPOWANIE Z RYZYKIEM wybór strategii zastosowanie zabezpieczeń P/N 1 2 3 4 5 1 N N N Ś Ś 2 N N Ś Ś W 3 N Ś Ś W W 4 Ś Ś W W BW 5 Ś W W BW BW Raport z AR + propozycje postępowania z ryzykiem Centrum kompetencji ISO 27001 Pełnomocnik ds. SZBI Administrator Bezpieczeństwa Informacji 16