MAC budowa i wdrażanie systemu zarządzania bezpieczeństwem
Transkrypt
MAC budowa i wdrażanie systemu zarządzania bezpieczeństwem
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI System Zarządzania Bezpieczeństwem Informacji w urzędzie Definicje Bezpieczeństwo informacji i systemów teleinformatycznych wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzane Polityka bezpieczeństwa informacji udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa (zasoby) swego systemu informatycznego oraz przetwarzane informacje System zarządzania bezpieczeństwem informacji część całościowego systemu zarządzania urzędem, oparta na podejściu wynikającym z szacowania ryzyka, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji 2 Jaki jest cel SZBI? Kierownictwo urzędu jest zobowiązane zadbać o to, aby zadania stojące przed organem, który urząd obsługuje, mogły być realizowane w sposób nieprzerwany i w wymaganym czasie, w warunkach zapewniających bezpieczeństwo informacji i systemów teleinformatycznych 3 Dlaczego bezpieczeństwo informacji, a nie tylko bezpieczeństwo teleinformatyczne? Bezpieczeństwo informacji to nie tylko ochrona danych w systemach TI. Utrata kontroli nad informacją może zajść w każdym miejscu organizacji, a informacja może być składowana, używana i transferowana w różnych postaciach. 4 Podział nak ładów na bezpieczeństwo 5 Regulacje prawne Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 r. poz. 526 ze zm. Dz. U. 2014 r. poz. 1671): § 20 ust. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. § 20 ust. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 6 1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; 3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji; 7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami; 8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 11) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych; 12) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 13) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. 7 Polsk ie Normy § 20 ust. 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 – w odniesieniu do ustanawiania zabezpieczeń (PN-ISO/IEC 27002 ); 2) PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem (PN-ISO 31000); 3) PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania (PN-EN ISO 22301Bezpieczeństwo powszechne - Systemy zarządzania ciągłością działania – Wymagania). 8 Zarządzanie bezpieczeństwem informacji jest procesem, a nie stanem! 9 Cykl życia SZBI 10 Jak ustanowić i eksploatować SZBI? 1) Ustanowienie polityki bezpieczeństwa informacji; 2) Określenie zakresu systemu; 3) Inwentaryzacja zasobów; 4) Szacowanie ryzyk; 5) Postępowanie z ryzykami – wdrożenie zabezpieczeń; 6) Opracowanie procedur, regulaminów, instrukcji itp. dokumentów o charakterze operacyjnym; 7) Gromadzenie zapisów dokumentujących realizację procedur; 8) Ocena funkcjonowania systemu w drodze przeglądów i audytu; 9) Działania naprawcze i korygujące. 11 Struktura dokumentacji SZBI Poziom Strategii Urzędu Polityka Bezpieczeń stwa Polityki szczegółowe (Zasady użycia zabezpieczeń, regulaminy, metodyki) Poziom Strategii Szczegółowych Poziom Dokumentacji Operacyjnej Procedury Formularze zapisów Poziom Zapisów 12 Polityki szczegółowe 1) Polityka zarządzania zasobami (aktywami); 2) Polityka zarządzania ryzykiem; 3) Polityka zarządzania zasobami ludzkimi; 4) Polityka zarządzania bezpieczeństwem w TI; 5) Polityka bezpieczeństwa fizycznego i środowiskowego; 6) Polityka zgodności; 7) Polityka zarządzania ciągłością działania; 8) Polityka zarządzania incydentami; 9) Polityka szkoleniowa; 10)Polityka rozwoju; 11)Polityka audytu wewnętrznego; 13 Stworzenie dokumentacji SZBI nie jest celem samym w sobie! 14 Działanie SZBI polega na postępowaniu zgodnie z ustanowionymi procedurami i dokumentowaniu tego postępowania w postaci zapisów. 15 Zapisy generowane w SZBI stanowią ślad audytowy 16 Audyt w SZBI 17 MINISTERSTWO ADMINISTRACJI I CYFRYZACJI