2016 04-21 forum-kierowników_wytyczne_mc

WYTYCZNE DLA KONTROLI DZIAŁANIA SYSTEMÓW

TELEINFORMATYCZNYCH W DOBIE NOWYCH ZAGROŻEŃ

BEZPIECZEŃSTWA

III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016

[email protected]


audytor systemów teleinformatycznych w sektorze finansowym, ekspert ds. bezpieczeństwa (twórca portalu http://www.itsecurity24.info/) oraz metod zintegrowanej analizy ryzyka jak również zarządzania IT. Specjalista z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych wartości spółek giełdowych. Wieloletni „karbowy XXI wieku” czyli szef działu IT.

Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych (afiliacja w ISACA International), wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego, członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.

Adam Mizerski –ksiądz -architekt

http://www.itsecurity24.info/

http://www.itsecurity24.info/

WYTYCZNE DLA KONTROLI DZIAŁANIA SYSTEMÓW

TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI

ZADAŃ PUBLICZNYCH


WYTYCZNE DLA AUDYTU DZIAŁANIA SYSTEMÓW


ZADAŃ PUBLICZNYCH



K R I

https

://o

penc

lipar

t.org

/det

ail/1

8269

/cro

w-fl

ying

-dow

n

K r A

K r A

https

://o

penc

lipar

t.org

/det

ail/1

9251

0/2-

flieg

ende

-kra

ehen


http://www.itsecurity24.info


Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji:

http://www.itsecurity24.info


Opracowanie dostępne jest bezpłatnie – w wersji drukowanej i elektronicznej (na licencji Creative Commons Uznanie Autorstwa 3.0 Polska).

http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf


NIK objął kontrolą 24 urzędy, a badanie PTI realizowane w postaci ankiety w formie wniosku o udostępnienie informacji publicznej objęło 339 urzędów.


Sformułowano następujące hipotezy badawcze:Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za

pomocą systemów teleinformatycznych zgodnie z przepisami KRI.Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza usługami realizowanymi za pomocą systemów teleinformatycznych jest zależna od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemu

zarządzania bezpieczeństwem informacji.Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależy

od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.Hipoteza 5: Większość systemów teleinformatycznych badanych podmiotów służących

do prezentacji zasobów informacji nie jest zgodnych ze standardem WCAG 2.0.

Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemów teleinformatycznych służących do prezentacji zasobów informacji ze

standardem WCAG 2.0.Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak kwalifikacji kadry badanych

jednostek.


http://www.bdwsp.pl/

WYTYCZNE DLA AUDYTU DZIAŁANIA SYSTEMÓW


ZADAŃ PUBLICZNYCH



Zgodnie z zamysłem autorów wytycznych (Departament Kontroli, Skarg i Wniosków we współpracy z Departamentem Informatyzacji oraz Departamentem Społeczeństwa Informacyjnego), ich celem „jest zapewnienie wsparcia dla kontroli, w tym wskazanie jednolitych kryteriów merytorycznych realizacji obowiązku określonego w art. 25 ust. 1 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne - Dz. U. z 2014 r., poz. 1114 (dalej: ustawa o informatyzacji), dotyczącego przeprowadzania kontroli działania systemów teleinformatycznych, używanych do realizacji zadań publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2 ustawy o informatyzacji”. Ustandaryzowanie kryteriów oceny umożliwi również analizę porównawczą wyników kontroli pomiędzy podmiotami publicznymi oraz zbudowanie bazy wiedzy dla organizacji w zakresie okresowej oceny spełniania zgodności z wymogami stawianymi przez KRI.


Zgodnie ze standardami prowadzenia audytu osoby wykonujące prace w obszarze podlegającym audytowi nie powinny go audytować. Regulacje wewnętrzne wynikające z ładu korporacyjnego mówią nawet o dwu letnim okresie karencji.


4. Obszary kontroliKontrola powinna objąć następujące główne obszary:Wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną.Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych.Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych.


DLACZEGO NIE POWSTAŁOCENTRALNE

REPOZYTORIUM ???


6. Techniki kontroliZaleca się przeprowadzanie kontroli stosując dwie następujące techniki:Zza biurka - analiza zebranej dokumentacji i informacji z ankiety i wykazu;Na miejscu - kontrola wspomagana listą kontrolną, w tym m.in. potwierdzenie informacji z ankiety.

Biorąc pod uwagę, że zgodnie z §286 Ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych audytorem wewnętrznym może być osoba która posiada odpowiednie kompetencje poświadczone m.in. posiadaniem jednego z uznanych na całym świecie certyfikatu dotyczącego audytu, proponowanie etapu kontroli „zza biurka” jest co najmniej niefortunne


Szkoda, że autorzy nie wykorzystali przyjętych standardów

dotyczących modeli dojrzałości wynikających np. z CMMI (ang.

Capability Maturity Model Integration) lub COBIT (ang. Control

Objectives for Information and related Technology).


Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy:nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki

Ilość organizacji bez wdrożonej procedury

Wdrażanie aktywów

Eksploatacja aktywów

Testowanieaktywów

Wycofanie aktywów

Tabela 9. Procedury wdrożone w badanych urzędach

Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl


Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli);nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§ 20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli);nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli);


Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).


(…) pozytywną ocenę BI może uzyskać system posiadający mało zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzający dane powszechnie dostępne). Jednocześnie ocenę negatywną może uzyskać system posiadający znaczną liczbę zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość i jakość) został zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonaną analizę ryzyka i powstały w jej wyniku plan postępowania z ryzykiem. W takiej sytuacji jednostka nie zarządza właściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dla pewnych ryzyk może posiadać nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych całkowity ich brak.

Jest RYZYKO

Jest ZABAWAIII Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016

PN-ISO/IEC 27005:2014-01 - wersja polska

PN-ISO 31000:2012 - wersja polska

COBIT 5 for Risk Polski (Polish)


Czy wasz dział IT

świadczy usługi IT na ustalonym poziomie OLA/SLA ?


Czy wasz dział IT

świadczy usługi IT na ustalonym poziomie OLA/SLA ?

świadomie i udokumentowanie zarządza ryzykiem ?


PTI: „Stan wdrożenia wybranych wymagań Krajowych Ram Interoperacyjności

w serwisach samorządowych” obejmujący ok 400 urzędów

Niewiele instytucji opracowało analizę ryzyka. Z deklaracji wynika, że zrobiły to 81 jednostki (23,89%).

Znamiennym jest, że respondenci nie umieli ustalić bądź nie znali nazw użytych metodyk. Wymieniali następujące nazwy, których większość, oznaczonych kolorem czerwonym, nie jest nazwami metodyk analizy ryzyka:• burza mózgów (Starostwo Powiatowe w W…),• FMEA,• Prince 2 (Starostwo Powiatowe w S…),• arytmetyczna (Starostwo Powiatowe w K…),• CMMI for Services v. 1.3,• PMI (Urząd Gminy N…),• CRAMM,• delficka (Urząd Miasta Bydgoszcz),• indukcyjna (Urząd Miasta i Gminy T…, Urząd Gminy w L…),• MEHARI,• ręczna (Urząd Miejski w Łomży).http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf


Ocena negatywna w obszarze nr 3 (dostosowanie dla osób niepełnosprawnych) może zostać przyznana w szczególności, gdy:nie zapewniono spełnienia przez system wymagań Web Content Accessibility Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr 4 do rozporządzenia (§ 19 rozporządzenia; pkt 3 tematyki kontroli).

http://wcag.pti.org.pl/

Od 15 października 2012 roku wytyczne WCAG w wersji 2.0 zyskały status międzynarodowej normy ISO/IEC 40500:2012.


8. Znaczenie Polskich Norm

Najbardziej zaskakujący jest punkt wytycznych dotyczący Polskich Norm. Interpretacja prawna zaprezentowana przez autorów wytycznych w konkluzji nie uznaje stosowania Polskich Norm, jako dokumentów obligatoryjnych ??? Z badania PTI wynika, że zdecydowana większość instytucji tj. 309, co stanowi ponad 91% badanych, nie posiada ani jednej normy (!). Polski Komitet Normalizacyjny jest jednostką publiczną, tak więc przepływy pieniężne pomiędzy instytucjami publicznymi a PKN realizuje się w ramach jednego budżetu Państwa.

Być może Ministerstwo Cyfryzacji powinno podjąć działania w celu zmiany modelu współpracy PKN z instytucjami publicznymi. Warto tu przywołać przykład ITIL (ang. Information Technology Infrastructure Library) - kodeks postępowania dla działów informatyk – który został opracowany na zlecenie brytyjskiej administracji rządowej i stał się standardem zarządzania działów IT w korporacjach na całym świecie.


IV. TEMATYKA I OBSZARY KONTROLI 151. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną 151.1. Usługi elektroniczne 151.2. Centralne repozytorium wzorów dokumentów elektronicznych 161.3. Model usługowy 171.4. Współpraca systemów teleinformatycznych z innymi systemami 171.5. Obieg dokumentów w podmiocie publicznym 181.6. Formaty danych udostępniane przez systemy teleinformatyczne 19


1.3. Model usługowy 17

https://www.nik.gov.pl/plik/id,10420,vp,12749.pdf


2.1. Dokumenty z zakresu bezpieczeństwa informacji 202.2. Analiza zagrożeń związanych z przetwarzaniem informacji 222.3. Inwentaryzacja sprzętu i oprogramowania informatycznego

232.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych242.5. Szkolenia pracowników zaangażowanych w proces przetwarzania informacji 252.6. Praca na odległość i mobilne przetwarzanie danych 252.7. Serwis sprzętu informatycznego i oprogramowania 262.8. Procedury zgłaszania incydentów naruszenia BI 262.9. Audyt wewnętrzny z zakresu bezpieczeństwa informacji 272.10. Kopie zapasowe 272.11. Projektowanie, wdrażanie i eksploatacja systemów teleinformatycznych

282.12. Zabezpieczenia techniczno-organizacyjne dostępu do informacji 292.13. Zabezpieczenia techniczno-organizacyjne systemów informatycznych

312.14. Rozliczalność działań w systemach informatycznych 32


A gdzie miejsce narekomendacje,

działania korygującei mitygujące ryzyka ???


nowe / stare wyzwania w dobie współczesnych zagrożeń„Shadow IT” – nieautoryzowane IT w organizacji

Cloud Computing outsourcing IT

„łańcuchy podwykonawców”

Ryzyko utraty poufności Ryzyko utraty reputacjiRyzyko utraty dostępności


nowe / stare wyzwania w dobie współczesnych zagrożeńmonitoring IP (shodan.io)

w październiku 2015 r. eksperci odnotowali ogromną liczbę żądań HTTP (do 20 000 żądań na sekundę) pochodzących z kamer telewizji przemysłowej. Badacze zidentyfikowali około 900 kamer na świecie, które tworzyły botnet wykorzystywany do ataków DDoS. http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence_dla_iv_kwartalu_2015_roku.html

Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności


nowe / stare wyzwania w dobie współczesnych zagrożeńMalware

Od 8 lat liczba malware wzrasta o 100% 0-day skuteczność AVhttps://www.av-test.org/en/statistics/malware/



nowe / stare wyzwania w dobie współczesnych zagrożeńMalvertising

http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i-zaserwowal-zlosliwa-reklame-54144

http://sekurak.pl/popularne-serwisy-internetowe-infekowaly-wirusami-ransomware/

msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.



nowe / stare wyzwania w dobie współczesnych zagrożeńPhishing - > APT

Jak chronić „najwyższe kierownictwo” ? Jak ocenić szkolenia z zakresu bezpieczeństwa ?



nowe / stare wyzwania w dobie współczesnych zagrożeńBYODInternet of Things ???



Podsumowując

Publikacja przez Ministerstwo Cyfryzacji „Wytycznych dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych” to krok w dobrym kierunku. Jednak w obliczu współczesnych zagrożeń to dopiero „pierwszy krok w podróży” której celem jest zapewnienie bezpieczeństwa systemów informacyjnych przetwarzających dane (niejednokrotnie wrażliwe) nas wszystkich. Współczesne wyzwania w zakresie bezpieczeństwa wymagają jednak w wiele więcej, m.in. koncentracji zespołów odpowiedzialnych za bezpieczeństwo (np. jeden centralny zespół odpowiedzialny za bezpieczeństwo systemów teleinformatycznych podmiotów publicznych całej gminy), budowy wyspecjalizowanych zespołów zarządzających incydentami CSIRT (ang. Computer Security Incident Response Team) czy tworzenia Operacyjnych Centrów Bezpieczeństwa SOC (ang. Security Operations Center).


???


Dziękuje za uwagę

[email protected]

2016 04-21 forum-kierowników_wytyczne_mc

Government & Nonprofit

Transcript of 2016 04-21 forum-kierowników_wytyczne_mc