2016 04-21 forum-kierowników_wytyczne_mc
-
Upload
adam-mizerski -
Category
Government & Nonprofit
-
view
57 -
download
0
Transcript of 2016 04-21 forum-kierowników_wytyczne_mc
WYTYCZNE DLA KONTROLI DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH W DOBIE NOWYCH ZAGROŻEŃ
BEZPIECZEŃSTWA
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
audytor systemów teleinformatycznych w sektorze finansowym, ekspert ds. bezpieczeństwa (twórca portalu http://www.itsecurity24.info/) oraz metod zintegrowanej analizy ryzyka jak również zarządzania IT. Specjalista z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych wartości spółek giełdowych. Wieloletni „karbowy XXI wieku” czyli szef działu IT.
Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych (afiliacja w ISACA International), wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego, członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.
Adam Mizerski –ksiądz -architekt
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
WYTYCZNE DLA KONTROLI DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
WYTYCZNE DLA AUDYTU DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
K R I
https
://o
penc
lipar
t.org
/det
ail/1
8269
/cro
w-fl
ying
-dow
n
K r A
K r A
https
://o
penc
lipar
t.org
/det
ail/1
9251
0/2-
flieg
ende
-kra
ehen
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
http://www.itsecurity24.info
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
http://www.itsecurity24.info
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji:
http://www.itsecurity24.info
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Opracowanie dostępne jest bezpłatnie – w wersji drukowanej i elektronicznej (na licencji Creative Commons Uznanie Autorstwa 3.0 Polska).
http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
NIK objął kontrolą 24 urzędy, a badanie PTI realizowane w postaci ankiety w formie wniosku o udostępnienie informacji publicznej objęło 339 urzędów.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Sformułowano następujące hipotezy badawcze:Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za
pomocą systemów teleinformatycznych zgodnie z przepisami KRI.Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza usługami realizowanymi za pomocą systemów teleinformatycznych jest zależna od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemu
zarządzania bezpieczeństwem informacji.Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależy
od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.Hipoteza 5: Większość systemów teleinformatycznych badanych podmiotów służących
do prezentacji zasobów informacji nie jest zgodnych ze standardem WCAG 2.0.
Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemów teleinformatycznych służących do prezentacji zasobów informacji ze
standardem WCAG 2.0.Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak kwalifikacji kadry badanych
jednostek.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
http://www.bdwsp.pl/
WYTYCZNE DLA AUDYTU DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Zgodnie z zamysłem autorów wytycznych (Departament Kontroli, Skarg i Wniosków we współpracy z Departamentem Informatyzacji oraz Departamentem Społeczeństwa Informacyjnego), ich celem „jest zapewnienie wsparcia dla kontroli, w tym wskazanie jednolitych kryteriów merytorycznych realizacji obowiązku określonego w art. 25 ust. 1 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne - Dz. U. z 2014 r., poz. 1114 (dalej: ustawa o informatyzacji), dotyczącego przeprowadzania kontroli działania systemów teleinformatycznych, używanych do realizacji zadań publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2 ustawy o informatyzacji”. Ustandaryzowanie kryteriów oceny umożliwi również analizę porównawczą wyników kontroli pomiędzy podmiotami publicznymi oraz zbudowanie bazy wiedzy dla organizacji w zakresie okresowej oceny spełniania zgodności z wymogami stawianymi przez KRI.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Zgodnie ze standardami prowadzenia audytu osoby wykonujące prace w obszarze podlegającym audytowi nie powinny go audytować. Regulacje wewnętrzne wynikające z ładu korporacyjnego mówią nawet o dwu letnim okresie karencji.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
4. Obszary kontroliKontrola powinna objąć następujące główne obszary:Wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną.Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych.Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
DLACZEGO NIE POWSTAŁOCENTRALNE
REPOZYTORIUM ???
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
6. Techniki kontroliZaleca się przeprowadzanie kontroli stosując dwie następujące techniki:Zza biurka - analiza zebranej dokumentacji i informacji z ankiety i wykazu;Na miejscu - kontrola wspomagana listą kontrolną, w tym m.in. potwierdzenie informacji z ankiety.
Biorąc pod uwagę, że zgodnie z §286 Ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych audytorem wewnętrznym może być osoba która posiada odpowiednie kompetencje poświadczone m.in. posiadaniem jednego z uznanych na całym świecie certyfikatu dotyczącego audytu, proponowanie etapu kontroli „zza biurka” jest co najmniej niefortunne
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Szkoda, że autorzy nie wykorzystali przyjętych standardów
dotyczących modeli dojrzałości wynikających np. z CMMI (ang.
Capability Maturity Model Integration) lub COBIT (ang. Control
Objectives for Information and related Technology).
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy:nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki
Ilość organizacji bez wdrożonej procedury
Wdrażanie aktywów
Eksploatacja aktywów
Testowanieaktywów
Wycofanie aktywów
Tabela 9. Procedury wdrożone w badanych urzędach
Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli);nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§ 20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli);nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli);
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
(…) pozytywną ocenę BI może uzyskać system posiadający mało zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzający dane powszechnie dostępne). Jednocześnie ocenę negatywną może uzyskać system posiadający znaczną liczbę zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość i jakość) został zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonaną analizę ryzyka i powstały w jej wyniku plan postępowania z ryzykiem. W takiej sytuacji jednostka nie zarządza właściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dla pewnych ryzyk może posiadać nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych całkowity ich brak.
Jest RYZYKO
Jest ZABAWAIII Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
PN-ISO/IEC 27005:2014-01 - wersja polska
PN-ISO 31000:2012 - wersja polska
COBIT 5 for Risk Polski (Polish)
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Czy wasz dział IT
świadczy usługi IT na ustalonym poziomie OLA/SLA ?
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Czy wasz dział IT
świadczy usługi IT na ustalonym poziomie OLA/SLA ?
świadomie i udokumentowanie zarządza ryzykiem ?
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
PTI: „Stan wdrożenia wybranych wymagań Krajowych Ram Interoperacyjności
w serwisach samorządowych” obejmujący ok 400 urzędów
Niewiele instytucji opracowało analizę ryzyka. Z deklaracji wynika, że zrobiły to 81 jednostki (23,89%).
Znamiennym jest, że respondenci nie umieli ustalić bądź nie znali nazw użytych metodyk. Wymieniali następujące nazwy, których większość, oznaczonych kolorem czerwonym, nie jest nazwami metodyk analizy ryzyka:• burza mózgów (Starostwo Powiatowe w W…),• FMEA,• Prince 2 (Starostwo Powiatowe w S…),• arytmetyczna (Starostwo Powiatowe w K…),• CMMI for Services v. 1.3,• PMI (Urząd Gminy N…),• CRAMM,• delficka (Urząd Miasta Bydgoszcz),• indukcyjna (Urząd Miasta i Gminy T…, Urząd Gminy w L…),• MEHARI,• ręczna (Urząd Miejski w Łomży).http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 3 (dostosowanie dla osób niepełnosprawnych) może zostać przyznana w szczególności, gdy:nie zapewniono spełnienia przez system wymagań Web Content Accessibility Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr 4 do rozporządzenia (§ 19 rozporządzenia; pkt 3 tematyki kontroli).
http://wcag.pti.org.pl/
Od 15 października 2012 roku wytyczne WCAG w wersji 2.0 zyskały status międzynarodowej normy ISO/IEC 40500:2012.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
8. Znaczenie Polskich Norm
Najbardziej zaskakujący jest punkt wytycznych dotyczący Polskich Norm. Interpretacja prawna zaprezentowana przez autorów wytycznych w konkluzji nie uznaje stosowania Polskich Norm, jako dokumentów obligatoryjnych ??? Z badania PTI wynika, że zdecydowana większość instytucji tj. 309, co stanowi ponad 91% badanych, nie posiada ani jednej normy (!). Polski Komitet Normalizacyjny jest jednostką publiczną, tak więc przepływy pieniężne pomiędzy instytucjami publicznymi a PKN realizuje się w ramach jednego budżetu Państwa.
Być może Ministerstwo Cyfryzacji powinno podjąć działania w celu zmiany modelu współpracy PKN z instytucjami publicznymi. Warto tu przywołać przykład ITIL (ang. Information Technology Infrastructure Library) - kodeks postępowania dla działów informatyk – który został opracowany na zlecenie brytyjskiej administracji rządowej i stał się standardem zarządzania działów IT w korporacjach na całym świecie.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
IV. TEMATYKA I OBSZARY KONTROLI 151. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną 151.1. Usługi elektroniczne 151.2. Centralne repozytorium wzorów dokumentów elektronicznych 161.3. Model usługowy 171.4. Współpraca systemów teleinformatycznych z innymi systemami 171.5. Obieg dokumentów w podmiocie publicznym 181.6. Formaty danych udostępniane przez systemy teleinformatyczne 19
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
1.3. Model usługowy 17
https://www.nik.gov.pl/plik/id,10420,vp,12749.pdf
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
2.1. Dokumenty z zakresu bezpieczeństwa informacji 202.2. Analiza zagrożeń związanych z przetwarzaniem informacji 222.3. Inwentaryzacja sprzętu i oprogramowania informatycznego
232.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych242.5. Szkolenia pracowników zaangażowanych w proces przetwarzania informacji 252.6. Praca na odległość i mobilne przetwarzanie danych 252.7. Serwis sprzętu informatycznego i oprogramowania 262.8. Procedury zgłaszania incydentów naruszenia BI 262.9. Audyt wewnętrzny z zakresu bezpieczeństwa informacji 272.10. Kopie zapasowe 272.11. Projektowanie, wdrażanie i eksploatacja systemów teleinformatycznych
282.12. Zabezpieczenia techniczno-organizacyjne dostępu do informacji 292.13. Zabezpieczenia techniczno-organizacyjne systemów informatycznych
312.14. Rozliczalność działań w systemach informatycznych 32
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
A gdzie miejsce narekomendacje,
działania korygującei mitygujące ryzyka ???
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeń„Shadow IT” – nieautoryzowane IT w organizacji
Cloud Computing outsourcing IT
„łańcuchy podwykonawców”
Ryzyko utraty poufności Ryzyko utraty reputacjiRyzyko utraty dostępności
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeńmonitoring IP (shodan.io)
w październiku 2015 r. eksperci odnotowali ogromną liczbę żądań HTTP (do 20 000 żądań na sekundę) pochodzących z kamer telewizji przemysłowej. Badacze zidentyfikowali około 900 kamer na świecie, które tworzyły botnet wykorzystywany do ataków DDoS. http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence_dla_iv_kwartalu_2015_roku.html
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeńMalware
Od 8 lat liczba malware wzrasta o 100% 0-day skuteczność AVhttps://www.av-test.org/en/statistics/malware/
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeńMalvertising
http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i-zaserwowal-zlosliwa-reklame-54144
http://sekurak.pl/popularne-serwisy-internetowe-infekowaly-wirusami-ransomware/
msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeńPhishing - > APT
Jak chronić „najwyższe kierownictwo” ? Jak ocenić szkolenia z zakresu bezpieczeństwa ?
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeńBYODInternet of Things ???
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Podsumowując
Publikacja przez Ministerstwo Cyfryzacji „Wytycznych dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych” to krok w dobrym kierunku. Jednak w obliczu współczesnych zagrożeń to dopiero „pierwszy krok w podróży” której celem jest zapewnienie bezpieczeństwa systemów informacyjnych przetwarzających dane (niejednokrotnie wrażliwe) nas wszystkich. Współczesne wyzwania w zakresie bezpieczeństwa wymagają jednak w wiele więcej, m.in. koncentracji zespołów odpowiedzialnych za bezpieczeństwo (np. jeden centralny zespół odpowiedzialny za bezpieczeństwo systemów teleinformatycznych podmiotów publicznych całej gminy), budowy wyspecjalizowanych zespołów zarządzających incydentami CSIRT (ang. Computer Security Incident Response Team) czy tworzenia Operacyjnych Centrów Bezpieczeństwa SOC (ang. Security Operations Center).
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
???
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Dziękuje za uwagę