Krajowe Ramy Interoperacyjności

Krajowe Ramy Interoperacyjności
Profesjonalne przygotowanie jednostki do spełnienia wymagań prawnych
Z dniem 30 maja 2012 r. weszło w życie rozporządzenie Rady Ministrów z dnia 12
kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla
rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych
wymagań dla systemów teleinformatycznych.
Dlaczego usługi PBSG)
Interoperacyjność – to
zdolność systemów informacyjnych
jednostek administracji publicznej do
wspólnego działania na rzecz
realizacji zadań publicznych.)
Krajowe Ramy
Interoperacyjności (KRI) -
zbiór uzgodnionych definicji,
wymagań, reguł architektury
systemów teleinformatycznych,
procedur i zasad, których
stosowanie umożliwi współdziałanie
systemów informacyjnych jednostek
administracji publicznej w procesach
realizacji zadań publicznych drogą
elektroniczną.
§  Zapewnienie zgodności z prawem polskim dotyczącym jednostek
publicznych (Rozporządzeniem RM w sprawie Krajowych Ram
Interoperacyjności)
§  Zwiększenie poziomu bezpieczeństwa systemów teleinformatycznych
§  Zminimalizowanie ryzyka związanego z sytuacją awaryjną (plany ciągłości
działania)
§  Opracowanie sprawnych mechanizmów reagowania na zmiany i postęp
dotyczący infrastruktury teleinformatycznej
§  Dostosowanie jednostki IT do ciągłych zmian wynikających z potrzeb
użytkowników
§  Poprawa efektywność działania
§  Wdrożenie innowacji w celu poprawy jakości usług
§  Efektywne i trwałe rozwiązanie problemów
§  Kontrola kosztów i ryzyk
KRI – minimalne wymagania w zakresie systemów
teleinformatycznych
Co należy uregulować/wdrożyć:
q  specyfikację formatów danych oraz protokołów )
komunikacyjnych i szyfrujących, które mają być
stosowane w oprogramowaniu interfejsowym;
q  zapewnienie aktualizacji regulacji wewnętrznych w
zakresie dotyczącym zmieniającego się otoczenia;
q  utrzymywanie aktualności inwentaryzacji sprzętu i
oprogramowania służącego do przetwarzania
informacji obejmującej ich rodzaj i konfigurację;
q  przeprowadzania okresowych analiz ryzyka pod kątem
bezpieczeństwa informacji oraz podejmowania działań
minimalizujących to ryzyko;
q  zarządzanie kontrolą dostępu do informacji;
q  zapewnienie organizacji szkoleń dla pracowników;
q  stosowanie środków zapewniających bezpieczeństwo
informacji;
q  zawieranie w umowach serwisowych ze stronami
trzecimi zapisów gwarantujących odpowiedni poziom
bezpieczeństwa informacji;
q  ustalenie zasad postępowania z informacjami
(publiczna, chroniona, …);
q  zapewnienie odpowiedniego poziomu bezpieczeństwa
w systemach teleinformatycznych;
q  kontrolę zgodności systemów teleinformatycznych z
odpowiednimi normami i politykami bezpieczeństwa;
q  bezzwłoczne zgłaszanie incydentów naruszenia
bezpieczeństwa informacji w sposób, umożliwiający
szybkie podjęcie działań korygujących;
q  zapewnienie okresowego audytu w zakresie
bezpieczeństwa informacji, nie rzadziej niż raz na rok www.pbsg.pl
Krajowe Ramy Interoperacyjności
Szybkie i skuteczne przygotowanie jednostki do wdrożenia minimalnych wymagań dla rejestrów publicznych i
wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
Usługi
Podstawowy audyt minimalnych wymagań w
zakresie systemów teleinformatycznych – w
zakres usługi wchodzą audyty bezpieczeństwa informacji i
zarządzania usługami IT, ale tylko w minimalnym zakresie
wymaganym przez Rozporządzenie dot. KRI w zakresie
systemów teleinformatycznych, efektem końcowym jest raport
wskazujący istniejące zagrożenia oraz kierunki doskonalenia.
Audyt bezpieczeństwa informacji i usług IT - w
zakres usługi wchodzą audyty bezpieczeństwa informacji (wg.
Normy PN-ISO/IEC 27001) oraz audyty systemu zarządzania
usługami IT (wg normy PN-ISO/IEC 20000) w pełnym zakresie
wymagań norm, efektem końcowym jest raport wskazujący
istniejące zagrożenia oraz kierunki doskonalenia.
Testy penetracyjne infrastruktury IT –
zasymulowane przy pomocy specjalistycznych narzędzi działań
potencjalnego intruza (hakera), próbującego uzyskać
nieautoryzowany dostęp do systemu lub aplikacji webowych,
bądź zakłócić ich pracę; w efekcie określenie rzeczywistej
odporności na ataki.
Szkolenia - § 
§ 
§ 
Szkolenie z zakresu budowy systemu spełniającego
minimalne wymagania w ramach Krajowych Ram
Interoperacyjności.
Szkolenie i warsztaty doskonalące dla audytorów systemu
zarządzania w ramach Krajowych ram Interoperacyjności.
Szkolenie z zasad ochrony danych osobowych i wymagań
przepisów prawnych.
)
Wdrożenie systemu – opracowanie spójnych zasad )
i mechanizmów bezpieczeństwa informacji i zarządzania
usługami IT. Usługa obejmuje budowę sformalizowanego
systemu spełniającej minimalne wymagania KRI w zakresie
systemów teleinformatycznych. Dokumentacja bierze pod
uwagę wymagania wg norm:)
PN-ISO/IEC 27001 (bezpieczeństwo informacji)
PN-ISO/IEC 20000-1 (usługi IT)
ciągłość działania (m.in. ISO/IEC 22301, )
PN-ISO 24762) oraz wytyczne wg norm:
§ 
PN-ISO/IEC 17799 (bezpieczeństwo informacji)
§ 
PN-ISO/IEC 20000-2 (usługi IT)
§ 
PN-ISO 27799 (bezpieczeństwo informacji )
w ochronie zdrowia)
§ 
ISO/IEC 27013 (bezpieczeństwo informacji )
i usługi IT)
§ 
§ 
§ 
Zakres prac uwzględnia przeprowadzenie szkolenia
powdrożeniowego dla pracowników oraz wsparcie w pierwszej
fazie funkcjonowania systemu, tj.:
§  identyfikacji grup informacji i doboru odpowiedniego
poziomu ochrony;
§  przeprowadzeniu pierwszej analizy ryzyka;
§  opracowani planów ciągłości działania.
www.pbsg.pl
Wybrane projekty
Ministerstwo Spraw Wewnętrznych – audyt
systemu bezpieczeństwem informacji w systemie ePUAP na
zgodność z wymaganiami normy PN-ISO/IEC 27001 oraz
opracowanie raportu poaudytowego wraz z wydaniem
świadectwa stosowania SZBI. )
Ministerstwo Gospodarki – szczegółowy audyt
infrastruktury i systemów informatycznych wraz z opracowaniem
rekomendacji doskonalących.)
Narodowy Fundusz Zdrowia –
szczegółowy audyt
bezpieczeństwa systemu Zdrowotny Informator Pacjenta w
oparciu o metodykę OWASP.)
Ministerstwo Rozwoju Regionalnego – wdrożenie
zarządzania ciągłością działania Krajowego Systemu
Informatycznego KSI SIMIK w oparciu o BS 25999.)
Centralny Ośrodek Informatyki – doradztwo w
ramach prowadzonych prac projektowych w oparciu o ITIL oraz
doświadczenia we wdrażaniu systemów ITSM.
Urząd Miasta Wrocławia – opracowanie koncepcji i
wdrożenie systemu zarządzania jakością usług IT wg ISO
20000. Przygotowanie urzędu do certyfikacji na zgodność z ISO
20000.
Śląskie Centrum Społeczeństwa
Informacyjnego – wdrożenie zintegrowanego systemu
zarządzania potwierdzonego akredytowanymi certyfikatami ISO
9001, ISO/IEC 27001 i ISO/IEC 20000.
Urząd Dozoru technicznego – audyt bezpieczeństwa
infrastruktury informatycznej oraz wdrożenie zintegrowanego
systemu zarządzania obejmującego bezpieczeństwo informacji i
zarządzanie usługami IT według ISO/IEC 27001 i ISO/IEC
20000.
Kontakt
PBSG Sp. z o.o.
ul. Skotarska 8)
61-625 Poznań
T: 61 826 11 52
F: 61 826 01 87)
M: [email protected] www.pbsg.pl
www.e-risk.pl
www.iso27000.pl