PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach ... · Przetwarzanie w chmurze (Cloud...

PLAN DZIAŁANIA KT 182

DATA: 2012-11-20

Strona 1

PLAN DZIAŁANIA

KT 182

ds. Ochrony Informacji w Systemach Teleinformatycznych

STRESZCZENIE

1 ŚRODOWISKO BIZNESOWE KT

1.1 Opis środowiska biznesowego

Na działalność gospodarczą objętą zakresem KT znaczący wpływ mają następujące

uwarunkowania polityczne, gospodarcze, techniczne, prawne, społeczne i/lub

aspekty regionalne/międzynarodowe:

Uwarunkowania techniczne

KT 182 działa w trzech głównych obszarach normalizacji międzynarodowej, będą

komitetem lustrzanym dla następujących komitetów ISO/IEC JTC1:

SC27 „IT Security Techniques”

SC34 Document Description and Processing Languages

SC38 Distributed Application Platforms and Services (DAPS)

W we wszystkich powyższych komitetach Polska ma status członka czynnego „P”.

W obszarze technik zabezpieczeń teleinformatycznych działania Komitetu

koncentrują się na następujących zagadnieniach:

systemy zarządzania bezpieczeństwem informacji – normy zawierające

wymagania i wytyczne

kryptograficzne i niekryptograficzne techniki i mechanizmy zapewniające

poufność, uwierzytelnienie podmiotu, niezaprzeczalność, zarządzanie kluczami

oraz integralność danych

kryteria oceny bezpieczeństwa oraz metodyki testów bezpieczeństwa

produktów, zarówno w odniesieniu do funkcji jak i poziomu wiarygodności

oceny

usługi i aplikacje wspierające wdrożenie celów stosowania zabezpieczeń i

zabezpieczeń zgodnie z ISO/IEC 27001

aspekty bezpieczeństwa w zarządzaniu tożsamością, w biometrii oraz ochronie

danych osobowych

W obszarze opisu oraz języków przetwarzania dokumentów prace Komitetu obejmują

następujące zagadnienia:

języki znacznikowe (SGML), interfejsy użytkownika, testowanie i rejestrowanie

techniki przetwarzania dokumentów


DATA: 2012-11-20

Strona 2

architektury zarządzania oraz wymiany informacji

formaty XML-owe plików dokumentów: Office Open XML oraz Open Document

Format oraz interoperacyjność formatów

W obszarze nowoczesnych technik informatycznych działania Komitetu są na

wczesnym etapie i obejmują udział w pracach nad projektami norm dot. zagadnień,

takich jak:

Web Services

Service Oriented Architecture (SOA)

Przetwarzanie w chmurze (Cloud computing)

Uwarunkowania prawne i biznesowe

Normy opracowane w Komitecie lub znajdujące się w zakresie zainteresowania

Komitetu na poziomie międzynarodowym (normy międzynarodowe nieprzeniesione

do systemu Polskich Norm) są przywoływane w aktach prawnych. Wskazując normy

jako najlepszą i najprostszą metodę spełnienia wymagań, Ustawodawca przyczynia

się do wzrostu zainteresowania daną normą i wpływa na rozszerzenie kręgu jej

zastosowań.

W poniższej tabeli przedstawiono przywołania norm w aktach prawnych.

Obowiązujący akt prawny Norma z zakresu prac Komitetu powołana w akcie prawnym

Polskie akty prawne

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych ZAŁĄCZNIK WYKAZ CERTYFIKATÓW UPRAWNIAJĄCYCH DO PRZEPROWADZANIA KONTROLI W ROZUMIENIU ART. 25 USTAWY Z DNIA 17 LUTEGO 2005 R. O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE

PN-ISO/IEC 27001

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników

PN-ISO/IEC 27001

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych

PN-ISO/IEC 27001

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

PN-ISO/IEC 27001 PN-ISO/IEC 17799 PN-ISO/IEC 27005 PN-ISO/IEC 24762 ISO/IEC 19757-2 ISO/IEC 29500 ISO/IEC 26300

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego.

PN-ISO/IEC 15408 ISO/IEC 15946-2


DATA: 2012-11-20

Strona 3 Obowiązujący akt prawny Norma z zakresu prac Komitetu

powołana w akcie prawnym

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 14 września 2011 r. w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych

ISO/IEC 26300

Akty prawne Unii Europejskiej

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR 1179/2011 z dnia 17 listopada 2011 r. ustanawiające specyfikacje techniczne w odniesieniu do systemów zbierania deklaracji on-line na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 211/2011 w sprawie inicjatywy obywatelskiej

ISO/IEC 27001 (PN-ISO/IEC 27001) ISO/IEC 27002 (PN-ISO/IEC 17799) ISO/IEC 27005 (PN-ISO/IEC 27005) ISO/IEC 27033

ROZPORZĄDZENIE KOMISJI (WE) NR 885/2006 z dnia 21 czerwca 2006 r. ustanawiające szczegółowe zasady stosowania rozporządzenia Rady (WE) nr 1290/2005 w zakresie akredytacji agencji płatniczych i innych jednostek, jak również rozliczenia rachunków EFGR i EFRROW

ISO/IEC 27002 (PN-ISO/IEC 17799)

ROZPORZĄDZENIE KOMISJI (UE) NR 73/2010 z dnia 26 stycznia 2010 r. ustanawiające wymagania dotyczące jakości danych i informacji lotniczych dla jednolitej europejskiej przestrzeni powietrznej

ISO/IEC 27002 (PN-ISO/IEC 17799)

W ślad za wprowadzeniem norm do aktów prawnych pojawia się powszechnie,

zarówno w postępowaniach o udzielenie zamówień publicznych, jak i

postępowaniach prowadzonych na podstawie innych uregulowań niż ustawa Prawo

Zamówień Publicznych, wymaganie znajomości norm lub wdrożenia u potencjalnego

dostawcy systemu zarządzania bezpieczeństwem informacji, zgodnego z normą

PN-ISO/IEC 27001 lub opracowania i wdrożenia takiego systemu w odniesieniu do

przedmiotu zamówienia.

Z uwagi na szeroki zakres zastosowania normy PN-ISO/IEC 27001, zainteresowane jej

wdrożeniem są organizacje ze wszystkich sektorów, niezależnie od wielkości

organizacji czy specyfiki działania.

1.2 Wskaźniki ilościowe dotyczące środowiska biznesowego

Poniższe wskaźniki ilościowe opisują środowisko biznesowe, w celu wsparcia działań KT

poprzez zapewnienie niezbędnych danych:

Certyfikacja na zgodność z Polską Normą

Szczególnym zainteresowaniem rynku cieszą się normy zawierające wymagania z

możliwością certyfikacji na zgodność. Z tego względu normy te funkcjonują nie tylko w

sektorze administracji publicznej, ale także w sektorze przemysłu i usług.

Do tej grupy należą dwie normy:

PN-ISO/IEC 15408:2002 Kryteria oceny zabezpieczeń informatycznych (cz. 1 i 3)

PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji.

Wymagania

Z uwagi na brak wdrożenia normy PN ISO/IEC 15408 w Polsce, dalsze rozważania

dotyczą jedynie normy PN ISO/IEC 27001:2007.


DATA: 2012-11-20

Strona 4

Prezentowane poniżej dane dotyczące liczby certyfikatów zgodności systemów

zarządzania bezpieczeństwem informacji nie są kompletne, ponieważ nie istnieje –

zarówno na świecie, jak i w Polsce – obowiązkowy system informowania o wydanych

certyfikatach. Wszelkie informacje dotyczące certyfikacji są przekazywane jedynie za

wiedzą i zgodą certyfikowanych organizacji lub przez nie same.

Niemniej jednak prezentowane zestawienia obrazują rozwój tej dziedziny

bezpieczeństwa informacji i można wykazać wpływ tego zainteresowania na

wolumen sprzedaży norm z tej dziedziny w PKN.

Na kolejnych rysunkach przedstawiono wzrost liczby certyfikatów zgodności z normą

ISO/IEC 27001, na świecie i w Polsce.

Rysunek 1 Liczba certyfikatów zgodności z normą ISO/IEC 27001:2005a

źródło: opracowanie własne na podstawie informacji dostępnych na stronie http://www.iso27001certificates.com/

a Na wskazanej stronie są rejestrowane wyłącznie certyfikaty wydane przez akredytowane jednostki certyfikacyjne

http://www.iso27001certificates.com/


DATA: 2012-11-20

Strona 5

Rysunek 2 Liczba certyfikatów zgodności z normą PN ISO/IEC 27001 lub ISO/IEC 27001b

źródło: opracowanie własne na podstawie informacji dostępnych na stronie http://www.iso27000.pl/sites/view/form=3=all

Sprzedaż Polskich Norm opracowanych w Komitecie w latach 2009-2011

W poniższej tabeli przedstawiono sprzedaż najpopularniejszych 10 Polskich Norm,

opracowanych w KT 182:

Tabela 1 Zestawienie sprzedaży w latach 2009-2012 dla 10 najpopularniejszych Polskich Norm opracowanych w KT 182

2 OCZEKIWANE KORZYŚCI Z REALIZACJI PRAC KT

Wsparcie dla opracowywanych przepisów prawa oraz odniesień referencyjnych

z uwagi na wskazanie JTC1/SC27, a co za tym idzie – KT 182 – jako pierwotnego

źródła normalizacji działań w zakresie bezpieczeństwa informacji

Opracowanie norm referencyjnych dla sektorowych norm z bezpieczeństwa

informacjic

b Na wskazanej stronie są rejestrowane certyfikaty wydawane zarówno przez akredytowane, jak i nieakredytowane

jednostki certyfikacyjne

http://www.iso27000.pl/sites/view/form=3=all


DATA: 2012-11-20

Strona 6

Wzrost świadomości znaczenia ochrony informacji, zarówno w kontekście

biznesowym, jak i bezpieczeństwa państwa, a także dla rozwoju społecznego

(ochrona danych osobowych i prywatności, w szczególności przy użyciu

środków komunikacji elektronicznej)

Wypracowanie podstaw interoperacyjności dla zastosowań informatycznych

(dokument elektroniczny, podpis elektroniczny, platformy usług informatycznych

oraz przetwarzania w chmurze)

3 CZŁONKOSTWO W KT i STRUKTURA KT

Każdy podmiot krajowy zainteresowany daną tematyką ma prawo zgłosić chęć

uczestnictwa w KT i po spełnieniu wymogów proceduralnych (procedura SZJ nr Z2-P3

w powiązaniu z Z2-P1) stać się członkiem KT. Każdy członek KT realizuje zadania KT

poprzez swoich reprezentantów.

Komitet jest najliczniejszym z Komitetów Technicznych przy PKN, mając 37 członków i

50d reprezentantów członków KT. Strukturę Komitetu przedstawiono na poniższym

rysunku:

Rysunek 3 Struktura członkowska KT 182

Z uwagi na dużą liczebność Komitetu oraz rozległość obszarów normalizacyjnych,

Komitet działa merytorycznie, wykorzystując Grupy Ekspertów, wypracowujących

rekomendacje dla całego Komitetu.

Osoby funkcyjne w Komitecie:

Przewodniczący:

dr inż. Elżbieta Andrukiewicz

c Przykładowo, w sektorze ochrony zdrowia – podstawy dla prac ISO TC215 Health Informatics oraz

Komitetu Technicznego nr 302 ds. Zastosowania Informatyki w Ochronie Zdrowia, czy systemów

automatyki i sterowania produkcją – działania IEC TC 65/WG 10 Security for Industrial process

measurement and control - Network and system security oraz IEC TC57/WG15 Cyber Security for

the Power Industry d stan na 17.09.2012r


DATA: 2012-11-20

Strona 7

Polskie Towarzystwo Informatyczne - Warszawa

Zastępca:

mgr Bogusław Ładoś

Przedsiębiorstwo Państwowe Porty Lotnicze - Warszawa

Sekretarz:

mgr inż. Sławomir Wroński

Polski Komitet Normalizacyjny - Warszawa

email: [email protected]

Konsultant KT:

mgr inż. Sławomir Wroński tel.: 22 556 75 66

Aktualne dane nt. Komitetu znajdują się pod adresem strony internetowej:

karta informacyjna http://kt.pkn.pl/?pid=kikt&id=182

lista członkówi reprezentantów http://kt.pkn.pl/?pid=czkt&id=182

4 CELE KT I STRATEGIA ICH REALIZACJI

4.1 Cele KT

Cele działalności Komitetu:

Wspieranie bezpieczeństwa państwa oraz bezpieczeństwa gospodarczego

przez propagowanie powszechnie stosowanych rozwiązań z zakresu

bezpieczeństwa informacji

Przeciwdziałanie wykluczeniu elektronicznemu przez wspieranie

interoperacyjności w komunikacji elektronicznej

Propagowanie rozwiązań nowoczesnych, sprawdzonych w praktyce

Ułatwienie współpracy transgranicznej dla zwalczania cyber-przestępczości

Cele te Komitet zamierza osiągnąć w następujący sposób:

Tłumaczenie norm ISO/IEC z zakresu bezpieczeństwa informacji, prywatności

i zgodności

Wprowadzanie norm międzynarodowych do systemu PN metodą uznania

specyfikacji technicznych z formatów dokumentów oraz algorytmów i

technik kryptograficznych

Organizowanie i uczestnictwo w konferencjach krajowych i

międzynarodowych dotyczących normalizacji bezpieczeństwa informacji,

prywatności i zgodności

4.2 Strategia ustalona do osiągnięcia celów KT

Z uwagi na wolumen sprzedaży wyznaczający zainteresowanie rynku, przy ustalaniu

Programu prac, Komitet za priorytet uznał tłumaczenie i wprowadzenie do systemu PN

norm międzynarodowych z rodziny ISO/IEC 2700x.

Aby realizować cele swojej działalności Komitet aktywnie działa na w komitetach

technicznych ISO przy opracowywaniu norm międzynarodowych, w szczególności w

SC27 oraz SC38.

mailto:[email protected]

http://kt.pkn.pl/?pid=kikt&id=182

http://kt.pkn.pl/?pid=czkt&id=182


DATA: 2012-11-20

Strona 8

4.3 Aspekty środowiskowe

[nie mają zastosowania]

5 CZYNNIKI WPŁYWAJĄCE NA REALIZACJĘ PROGRAMU PRAC KT I WPROWADZANIE

NOWYCH TN DO PROGRAMU PRAC

Istotnym czynnikiem ograniczającym możliwości realizacji celów Komitetu jest problem

braku finansowania wprowadzania norm ISO-wskich do systemu PN.

Brak jest na rynku podmiotów bezpośrednio zainteresowanych finansowaniem norm, a

jednocześnie jest duże zainteresowanie ze strony różnych środowisk polskimi normami z

zakresu bezpieczeństwa informacji, zwłaszcza normą ISO/IEC 27001 oraz normami

wspierającymi jej wdrożenie (rodzina norm ISO/IEC 2700x). Ponadto, należy podkreślić,

że korzystanie z tych norm jako podstaw dla wymagań wprowadzanych do aktów

prawnych Rzeczypospolitej Polskiej powinno skutkować zapewnieniem finansowania

wprowadzania tych norm do systemu PN.

Kolejnym czynnikiem powodującym opóźnienie prac jest zbyt późne wprowadzanie do

Programu prac normalizacyjnych opublikowanych już norm międzynarodowych.

Z uwagi na charakter prac, do Programu powinny być wprowadzane projekty norm na

etapie DIS lub FDIS.

6 WYKAZ PUBLIKACJI, AKTUALNIE OPRACOWYWANYCH PROJEKTÓW ORAZ PROPOZYCJI

TEMATÓW NORMALIZACYJNYCH, DLA KTÓRYCH KT PRZEWIDUJE POZYSKANIE

ZAMAWIAJĄCYCH W RAMACH PRAC NA ZAMÓWIENIE

6.1 Wykaz opublikowanych Polskich Norm i Polskich Dokumentów Normalizacyjnych:

Lp. Numer normy Tytuł normy Wprowadza Zastępuje

1.

PN-I-02000:2002 Technika informatyczna -- Zabezpieczenia w

systemach informatycznych -- Terminologia

PN-I-02000:1998

2.

PN-I-

02000:2002/Ap1:2010

Technika informatyczna -- Zabezpieczenia w

systemach informatycznych -- Terminologia

3.

PN-I-13335-1:1999 Technika informatyczna -- Wytyczne do

zarządzania bezpieczeństwem systemów

informatycznych -- Pojęcia i modele

bezpieczeństwa systemów informatycznych

ISO/IEC TR

13335-1:1996

4.

PN-ISO 9160:1997 Przetwarzanie informacji -- Szyfrowanie danych --

Wymagania dotyczące współpracy w warstwie

fizycznej

ISO 9160:1988

5.

PN-ISO/IEC 10118-

2:1996

Technika informatyczna -- Techniki zabezpieczeń -

- Funkcje skrótu -- Funkcje skrótu wykorzystujące n-

-bitowy algorytm szyfrowania blokowego

ISO/IEC 10118-

2:1994

W wyniku

Przeglądu PN

2012 – w trakcie

wycofywania nie

znaleziono

finansowania na

nowelizację w

2011-2012


DATA: 2012-11-20

Strona 9 Lp. Numer normy Tytuł normy Wprowadza Zastępuje

6.

PN-ISO/IEC 10118-

3:1999


- Funkcje skrótu -- Dedykowane funkcje skrótu

ISO/IEC 10118-

3:1998

7.

PN-ISO/IEC 10118-

4:2001


- Funkcje skrótu -- Funkcje skrótu wykorzystujące

arytmetykę modularną

ISO/IEC 10118-

4:1998

8.

PN-ISO/IEC 11770-

1:1998


- Zarządzanie kluczami -- Struktura

ISO/IEC 11770-

1:1996

9.

PN-ISO/IEC 11770-

2:1998


- Zarządzanie kluczami -- Mechanizmy z

zastosowaniem technik symetrycznych

ISO/IEC 11770-

2:1996

10.

PN-ISO/IEC 11770-

3:2000


- Zarządzanie kluczami -- Mechanizmy z

zastosowaniem technik asymetrycznych

ISO/IEC 11770-

3:1999

11.

PN-ISO/IEC 13888-

1:1999


- Niezaprzeczalność -- Model ogólny

ISO/IEC 13888-

1:1997

12.

PN-ISO/IEC 13888-

2:1999


- Niezaprzeczalność -- Mechanizmy

wykorzystujące techniki symetryczne

ISO/IEC 13888-

2:1998

13.

PN-ISO/IEC 13888-

3:1999


- Niezaprzeczalność -- Mechanizmy

wykorzystujące techniki asymetryczne

ISO/IEC 13888-

3:1997

14.

PN-ISO/IEC 14888-

1:2010

Technika informatyczna -- Techniki

bezpieczeństwa -- Schematy podpisu cyfrowego z

załącznikiem -- Część 1: Postanowienia ogólne

ISO/IEC 14888-

1:2008

15.

PN-ISO/IEC 14888-

3:2002

ISO/IEC 14888-

3:1998 + ISO/IEC

14888-

3:1998/AC1:2001

Przewidziana do

nowelizacji

16.

PN-ISO/IEC

15292:2004


- Procedury rejestracji profili zabezpieczeń

ISO/IEC

15292:2001

17.

PN-ISO/IEC 15408-

1:2002


- Kryteria oceny zabezpieczeń informatycznych --

Część 1: Wprowadzenie i model ogólny

ISO/IEC 15408-

1:1999

Przewidziana do

nowelizacji

18.

PN-ISO/IEC 15408-

1:2002/Ap1:2010



Część 1: Wprowadzenie i model ogólny

Przewidziana do

nowelizacji

19.

PN-ISO/IEC 15408-

3:2002



Część 3: Wymagania uzasadnienia zaufania do

zabezpieczeń

ISO/IEC 15408-

3:1999

Przewidziana do

nowelizacji

20.

PN-ISO/IEC

15945:2004


- Specyfikacja usług TTP wspomagających

stosowanie podpisów cyfrowych

ISO/IEC

15945:2002


DATA: 2012-11-20


21.

PN-ISO/IEC 15946-

1:2010


bezpieczeństwa -- Techniki kryptograficzne oparte

na krzywych eliptycznych -- Część 1:

Postanowienia ogólne

ISO/IEC 15946-

1:2008

PN-ISO/IEC

15946-1:2005

22.

PN-ISO/IEC

17799:2007


bezpieczeństwa -- Praktyczne zasady zarządzania

bezpieczeństwem informacji

ISO/IEC

17799:2005

PN-ISO/IEC

17799:2003

23.

PN-ISO/IEC

17799:2007/Ap1:2010


bezpieczeństwa -- Praktyczne zasady zarządzania

bezpieczeństwem informacji

24.

PN-ISO/IEC 18014-

1:2010


bezpieczeństwa -- Usługi znacznika czasu -- Część

1: Struktura

ISO/IEC 18014-

1:2008

PN-ISO/IEC

18014-1:2005

25.

PN-ISO/IEC 18014-

2:2005


- Usługi znacznika czasu -- Część 2: Mechanizmy

tworzenia tokenów niezależnych

PN-ISO/IEC

18014-2:2002

26.

PN-ISO/IEC 18014-

3:2006


- Usługi znacznika czasu -- Część 3: Mechanizmy

tworzenia tokenów wiązanych

ISO/IEC 18014-

3:2004

W wyniku

Przeglądu PN

2012 – w trakcie

wycofywania,

ponieważ nie

znaleźliśmy

finansowania na

nowelizację w

2011-2012

27.

PN-ISO/IEC

18031:2010


bezpieczeństwa -- Generowanie bitów losowych

ISO/IEC

18031:2005

28.

PN-ISO/IEC 19794-

1:2010

Technika informatyczna -- Formaty wymiany

danych biometrycznych -- Część 1: Struktura

ISO/IEC 19794-

1:2006

29.

PN-ISO/IEC 19794-

5:2010

Technika informatyczna -- Formaty wymiany

danych biometrycznych -- Część 5: Dane obrazu

twarzy

ISO/IEC 19794-

5:2005 + ISO/IEC

19794-

5:2005/A1:2007

30.

PN-ISO/IEC

24762:2010


bezpieczeństwa -- Wytyczne dla usług

odtwarzania techniki teleinformatycznej po

katastrofie

ISO/IEC

24762:2008

31.

PN-ISO/IEC

27000:2012


bezpieczeństwa -- Systemy zarządzania

bezpieczeństwem informacji -- Przegląd i

terminologia

ISO/IEC

27000:2009

32.

PN-ISO/IEC

27001:2007



bezpieczeństwem informacji -- Wymagania

ISO/IEC

27001:2005

PN-I-07799-2:2005

33.

PN-ISO/IEC

27001:2007/Ap1:2010



bezpieczeństwem informacji -- Wymagania

34.

PN-ISO/IEC

27005:2010


bezpieczeństwa -- Zarządzanie ryzykiem w

bezpieczeństwie informacji

ISO/IEC

27005:2008


DATA: 2012-11-20


35.

PN-ISO/IEC

27006:2009


bezpieczeństwa -- Wymagania dla jednostek

prowadzących audyt i certyfikację systemów

zarządzania bezpieczeństwem informacji

ISO/IEC

27006:2007

36.

PN-ISO/IEC 9796-

2:2005


- Schematy podpisu cyfrowego z odtwarzaniem

wiadomości -- Część 2: Mechanizmy oparte na

faktoryzacji liczb całkowitych

ISO/IEC 9796-

2:2002

37.

PN-ISO/IEC 9796-

3:2009


bezpieczeństwa -- Schematy podpisu cyfrowego z

odtwarzaniem wiadomości -- Część 3:

Mechanizmy oparte na logarytmie dyskretnym

ISO/IEC 9796-

3:2006

38.

PN-ISO/IEC 9798-

3:2002

PN-ISO/IEC 9798-3:2002 PN-ISO/IEC

9798-3:1998

PN-ISO/IEC 9798-

3:1996

6.2 Wykaz aktualnie opracowywanych projektów

Projekty zakończone w 2012 roku

PN-ISO/IEC 27000:2012 Technika informatyczna -- Techniki bezpieczeństwa -- Systemy

zarządzania bezpieczeństwem informacji -- Przegląd i terminologia zakończony 2012-

08-28

[nie ma aktualnie opracowywanych projektów]

6.3 Wykaz propozycji tematów normalizacyjnych, dla których KT przewiduje

pozyskanie środków na opracowanie w ramach prac na zamówienie

Lp. Numer normy Tytuł normy Wprowadza Zastępuje

1.

ISO/IEC 3rd CD27001 Information technology — Security techniques

— Information security management system*

PN-ISO/IEC

27001:2007/Amd1:2010

2.

ISO/IEC 27005:2011 Information technology — Security techniques

— Information security risk managment

PN-ISO/IEC 27005:2010

3.

ISO/IEC 27010:2012 Information technology — Security techniques

— Information security management for inter-

sector and inter-organisational communications

4.

ISO/IEC 27013** Information technology — Security techniques

— Guidelines on the integrated implementation

of ISO/IEC 27001 and ISO/IEC 20000-1

5.

ISO/IEC 18014-3:2009 Information technology — Security techniques

— Time-stamping services — Part 3: Mechanisms

producing linked tokens

PN-ISO/IEC 18014-

3:2006

6.

ISO/IEC 10118-2:2010 Information technology — Security techniques

— Hash-functions — Part 2: Hash-functions using

an n-bit block cipher

PN-ISO/IEC 10118-

2:1996


DATA: 2012-11-20

Strona 12 7. PN-ISO/IEC 14888-

3:2002

Information technology — Security techniques

— Digital signatures with appendix -

Part 3: Discrete logarithm based mechanisms

PN-ISO/IEC 14888-

3:2002

8. ISO/IEC 15408-1:2009 Information technology - Security techniques -

Evaluation criteria for IT security - Part 1:

Introduction and general model

PN-ISO/IEC 15408-

1:2002/Ap1:2010

9. ISO/IEC 15408-3:2008 Information technology - Security techniques -

Evaluation criteria for IT security - Part 3: Security

assurance requirements

PN-ISO/IEC 15408-

3:2002/Ap1:2010

* FDIS oczekiwany w kwietniu 2013

** oczekuje na publikację

Doświadczenie ostatnich lat wykazało, że mimo dużego zainteresowania normami KT

przejawiającego się w liczbach sprzedanych egzemplarzy oraz częstego

przywoływania ich w rozporządzeniach rządowych, brak jest źródeł finansowania

tłumaczenia nowych norm międzynarodowych (R2-P1). Ponieważ KT ma ograniczone

możliwości pozyskiwania środków na tłumaczenie, mamy nadzieję na wprowadzenie

w PKN dla norm międzynarodowych procedury analogicznej do R2-P5, umożliwiającej

przyjęcie norm międzynarodowych do systemu PN metodą uznania co komitet

zaopiniował w głosowaniu pozytywnie w związku z zapytaniem skierowanym do nas

przez PKN. W wypadku uruchomienia takiej ścieżki uznania norm za PN, proponujemy

przyjęcie do systemu PN następujących norm:

ISO/IEC 26300/Amd 1:2012

ISO/IEC 29500:2012

ISO/IEC 19757 (wszystkie części)

PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach ... · Przetwarzanie w chmurze (Cloud...

Documents

Transcript of PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach ... · Przetwarzanie w chmurze (Cloud...