Pobierz plik

Orange
23 lutego 2016 r.
Warszawa
Formuła realizacji przez ABI sprawdzeń w ramach
Systemu Zarządzania Bezpieczeństwem
Informacji w Orange Polska S.A.
Zbigniew Sujecki
Administrator Bezpieczeństwa Informacji
Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji
1

Dane Osobowe  „złoto” XXI wieku
 generujemy ją wszyscy, niezależnie od miejsca i czasu
 ułatwiają nam to wszechobecne rozwiązania technologiczne
 urządzenia zbierają i monitorują nasze zachowania, upodobania
i zainteresowania tworząc profile użytkowników
 umieszczamy szczegóły naszego życia w „chmurze” i publikujemy je na forach społecznościowych

Totalna walka o dane osobowe wymaga należytej troski o ich bezpieczeństwo tzn.: utrzymania
atrybutów poufności, integralności dostępności i rozliczalności na akceptowalnym poziomie.

2
informacje, bazy danych - strategicznym „towarem handlowym”
naszej epoki a bezpieczeństwo informacji
„normą nowoczesnej organizacji ”

Strategie Bezpieczeństwa Ochrony Danych Osobowych
podejście
systemowe
podejście zachowawcze
 make safety - działania reaktywne

wdrażanie zabezpieczeń opartych o
wymagania prawa, intuicję i wiedzę
menagerów …

podejmowanie działań w następstwie
zaistniałych incydentów

myślenie w kategoriach „mamy dobrych
prawników, to damy radę”
3
 manage security – „best practices”/ oparcie się
na wymaganiach ISO 27001
 system zarządzania bezpieczeństwem
informacji (SZBI):
 wdrażane zabezpieczenia wynikiem realnego
zarządzania ryzykiem

jednoznaczny podział ról i odpowiedzialności

planowanie, wdrażanie, monitorowanie i
korygowanie 14 obszarów wymagań ISO
27001 = ład korporacyjny (realne
zarządzanie mechanizmami determinującymi
bezpieczeństwo danych osobowych) oraz
zapewnienie rynku (lepsze postrzeganie
organizacji i zaufanie klientów – certyfikat)
Komponenty SZBI - obszary normy ISO 27001
Polityka
bezpieczeństwa
informacji
A5
Zgodność
0. Wprowadzenie
1. Zakres normy
2. Powołania normatywne
3. Terminy i definicje
4. Kontekst organizacji
5. Przywództwo
Przywództwo i zaangażowanie, Polityka,
Role, odpowiedzialność i uprawnienia
6. Planowanie
Działania odnoszące się do ryzyk i szans
Cele bezpieczeństwa informacji i planowanie ich osiągnięcia
7. Wsparcie
Zasoby, Kompetencje, Uświadamianie, Komunikacja,
Udokumentowane informacje
8. Działania operacyjne
Planowanie i nadzór nad działaniami operacyjnymi,
szacowanie ryzyka, postępowanie z bezpieczeństwem
informacji
9. Ocena wyników
Monitorowanie, pomiary, analiza i ocena,
Audyt wewnętrzny Przegląd zarządzania
10 Doskonalenie
Niezgodności i działania korygujące,
Ciągłe doskonalenie
A16
Relacje z
dostawcami
A15
A14
Bezpieczeństwo
komunikacji
A11
A13
A12
4
Bezpieczeństwo
zasobów ludzkich
A7
A17
Pozyskiwanie, rozwój i
utrzymanie systemów
informacyjnych
A6
A18
Aspekty bezpieczeństwa
informacji w zarządzaniu
ciągłością działania
Zarządzanie
incydentami
bezpieczeństw
a
Organizacja
bezpieczeństwa
informacji
Bezpieczna
eksploatacja
A8
Zarządzanie
aktywami
Kontrola
dostępu
A9
A10
Kryptografia
Bezpieczeństwo
fizyczne i
środowiskowe
Wymagania normy ISO 27001 w zakresie audytu wewnętrznego vs. wymagania
przepisów o ochronie danych osobowych
w zakresie sprawdzeń planowych
Wymagania normy ISO 27001:2013
Organizacja powinna:
Przepisy o ochronie danych osobowych
Zaplanować, ustanowić, wdrożyć i utrzymywać program
audytów, w tym częstość audytów, metody, odpowiedzialność,
wymagania dotyczące planowania oraz raportowanie. Program
audytów powinien uwzględniać znaczenie procesów objętych
audytem oraz wyniki poprzednich audytów.
Plan sprawdzeń
Zdefiniować kryteria audytu i zakres każdego audytu.
Określenie przedmiotu, zakresu sprawdzenia
Wybierać audytorów i prowadzić audyty w sposób zapewniający
obiektywność i bezstronność procesu audytu.
Gwarancją - niezależność ABI
Zapewnić przedstawianie wyników audytów właściwym
członkom kierownictwa.
Przekazanie sprawozdania administratorowi
danych
Zachować udokumentowane informacje, jako dowód realizacji
programu audytów i wyników audytów.
Dokumentowanie czynności
przeprowadzonych w toku sprawdzenia
5
Integracja sprawdzeń planowych
z zasadami prowadzenia audytów wg. standardów ISO
audyty realizowane w zakresie ochrony
danych osobowych, które są sprawdzaniem
zgodności przetwarzania danych osobowych
w rozumieniu art. 36a ustawy o ochronie
danych osobowych
6
Uchwała zarządu dot. zasad prowadzenia
audytów wg standardów ISO
7

Cel

Zakres

Powoływanie audytorów

Rola i obowiązki audytorów

Planowanie audytów

Prowadzenie audytu

Monitorowanie poaudytowych działań korygujących

Postanowienia końcowe
Realizacja audytów / sprawdzeń planowych w Orange Polska

Program audytów tworzony jest na podstawie zebranych informacji i planowany jest z wyprzedzeniem na okres
jednego roku. Program audytów w Orange Polska S.A. na dany rok akceptowany jest przez Zarząd Orange
Polska S.A. Audyt danego obszaru przeprowadzany jest z uwagi na: …


istotne zmiany struktury organizacyjnej, procesu lub zasad działania, … istotne ryzyko wystąpienia
problemów, status i wagę procesów oraz audytowanych obszarów, wyniki poprzednich audytów, wnioski z
przeglądów zarządzania
wymagania Ustawy z dnia 27 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenia
Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań
w celu zapewnienie przestrzegania przepisów o ochronie danych osobowych przez administratora
bezpieczeństwa informacji dotyczące sprawdzania zgodności przetwarzania danych osobowych z
przepisami o ochronie danych osobowych.

Wybór audytorów powinien zapewnić obiektywność i bezstronność audytu. W szczególności audytorzy nie mogą
audytować własnej pracy, tj. być bezpośrednio związanymi z badanym procesem czy obszarem.
Audytor powinien zapewnić efektywność i bezstronność audytu; audytor jest niezależny od audytowanego
obszaru, musi znać i rozumieć wymagania obowiązujących norm, dokumentację systemu jakości, cele i politykę
jakości.

Raport jest przedstawiany właścicielowi audytowanego procesu, dyrektorowi audytowanej jednostki,
ZARZĄDOWI.

Celem pracy audytora jest dokumentowanie niezgodności i zaleceń tak, aby:
 opis natury niezgodności i zaleceń był czytelny co do miejsca i czasu wystąpienia niezgodności
8
 było oczywiste jakie wymaganie ma zastosowanie w danej sprawie, a nie jest spełnione
Sprawozdanie ze audytu/sprawdzenia
9
Realizacja sprawdzeń doraźnych w przypadkach uzasadnionego
podejrzenia naruszenia
sprawdzenia doraźne prowadzone w przypadkach
uzasadnionego podejrzenia wystąpienia takiego naruszenia,
zgodnie z Polityką bezpieczeństwa Danych Osobowych w
Orange Polska S.A.
Źródła informacji
zgłoszone incydenty , wyniki analizy ryzyka, informacje od
zainteresowanych stron , informacje od uprawnionych organów
państwowych, wiedza ekspercka
10
ISO 27001 (A16) Zarządzanie incydentami związanymi z bezpieczeństwem informacji
16. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
Cel: Zapewnić spójne i skuteczne podejście do zarządzania incydentami związanymi
z bezpieczeństwem informacji, z uwzględnieniem informowania o zdarzeniach
i słabościach.
16.1 Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz
udoskonaleniami
16.1.1 Odpowiedzialność i procedury
Należy ustanowić odpowiedzialność kierownictwa oraz procedury zapewniające szybką, skuteczną i zorganizowaną reakcję
na incydenty związane z bezpieczeństwem informacji
16.1.2 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji
Zdarzenia związane z bezpieczeństwem informacji należy zgłaszać odpowiednimi kanałami zarządczymi tak szybko, jak
tylko to jest możliwe
16.1.3 Zgłaszanie słabości związanych z bezpieczeństwem informacji
Należy zobowiązać pracowników oraz kontrahentów korzystających z systemów i usług informacyjnych organizacji do
odnotowania i zgłaszania wszelkich zaobserwowanych lub podejrzanych słabości związanych z bezpieczeństwem
informacji
11
ISO 27001 (A16) Zarządzanie incydentami związanymi z
bezpieczeństwem informacji
16.1.4 Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z
bezpieczeństwem informacji
Zdarzenia związane z bezpieczeństwem informacji należy ocenić i podjąć decyzję w sprawie zakwalifikowania ich jako
incydentów związanych z bezpieczeństwem informacji
16.1.5 Reagowanie na incydenty związane z bezpieczeństwem informacji
Reakcja na incydenty związane z bezpieczeństwem informacji powinna być zgodna z udokumentowanymi procedurami
16.1.6 Wyciąganie wniosków z incydentów związanych z bezpieczeństwem
informacji
Wiedzę zdobytą podczas analizy i rozwiązywania incydentów należy wykorzystać do zredukowania prawdopodobieństwa
wystąpienia lub skutków przyszłych incydentów
16.1.7 Gromadzenie materiału dowodowego
Organizacja powinna określić i stosować procedury identyfikacji , gromadzenia, pozyskiwania i utrwalania informacji, które
mogą stanowić materiał dowodowy
12
Realizacja sprawdzeń doraźnych w ramach zarządzania incydentami
13
Rozdział 4. Polityki Bezpieczeństwa Danych Osobowych
Rozdział 4
§14
SPRAWDZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1.
Sprawdzenie zgodności przetwarzania Danych osobowych w OPL z przepisami o ochronie Danych
osobowych obejmuje wszystkie jednostki/ komórki organizacyjne mające dostęp do Danych
osobowych, w których przetwarzane są Dane osobowe, oraz podmioty zewnętrzne, którym
powierzono Dane osobowe do przetwarzania.
2.
Sprawdzenie zgodności przetwarzania Danych osobowych z przepisami o ochronie Danych
osobowych prowadzi się w trybie:
3.
4.
14
1)
sprawdzenia planowego – zgodnego z zatwierdzonym przez Zarząd OPL planem audytów
(sprawdzeń),
2)
sprawdzenia doraźnego - prowadzonego w przypadkach naruszenia ochrony Danych
osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia,
3)
art. 19b ust. 1 Ustawy - na zlecenie GIODO.
Sprawdzenie planowe jest prowadzone:
1)
przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji,
2)
w formie planowych audytów wg standardów ISO Systemu Zarządzania Bezpieczeństwem
Informacji, zatwierdzonych przez Zarząd OPL.
Sprawdzenie doraźne jest prowadzone:
1)
przez pracowników Wydziału Zarządzania Incydentami Bezpieczeństwa w ramach realizacji
zadań Systemu Zarządzania Bezpieczeństwem Informacji, zgodnie z Zasadami Zarządzania
Incydentami Bezpieczeństwa Informacji w OPL,
2)
przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Info rmacji.
5.
Sprawdzenie na zlecenie GIODO jest prowadzone przez ABI lub wskazanych przez niego
pracowników Wydziału Koordynacji Ochrony Informacji.
6.
W Sprawdzeniach uczestniczą delegowani na wniosek ABI eksperci oraz pracownicy innych
jednostek i komórek organizacyjnych OPL. Wniosek kierowany jest do ich przełożonych. Osoby
prowadzące Sprawdzenie lub uczestniczące w nim w charakterze ekspertów, o których mowa w
niniejszym ustępie, przekazują ABI raport ze Sprawdzenia niezwłocznie po jego zakończeniu, w
oparciu o który ABI sporządza Sprawozdanie.
Zarządzanie Ryzykiem, Wdrażanie Zabezpieczeń lub Działań Korygujących
dane
wejściowe
 rejestr incydentów
 wyniki audytu BSI
 wyniki audytów
wewn. i zewn.
 informacje
od zainteresowanych
stron
nowy lub rozwijany
projekt, proces,
usługa, inicjatywa
Plan
Postępowania
z Ryzykiem
15
dane
wyjściowe
SZACOWANIE RYZYKA
 identyfikacja (ocena) zagrożeń,
podatności i następstw
 analizy wstępne i pogłębione
 zestawienie ryzyk i wskazanie WR
OCENA RYZYKA
 prawdopodobieństwo wystąpienia
(P)
 następstwo wystąpienia (N)
 ankieta z propozycją oceny ryzyk
POSTĘPOWANIE Z RYZYKIEM
 wybór strategii
 zastosowanie zabezpieczeń
P/N
1
2
3
4
5
1
N
N
N
Ś
Ś
2
N
N
Ś
Ś
W
3
N
Ś
Ś
W
W
4
Ś
Ś
W
W
BW
5
Ś
W
W
BW
BW
Raport z AR
+
propozycje
postępowania
z ryzykiem
Centrum
kompetencji
ISO 27001
Pełnomocnik ds. SZBI
Administrator
Bezpieczeństwa
Informacji
16