Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapitału i Finansów –...

WDRAŻANIE

PN-ISO/IEC 27001

W WARUNKACH URZĘDU

XIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015


Adam Mizerski:

audytor systemów teleinformatycznych, ekspert ds. bezpieczeństwa (twórca portalu http://www.itsecurity24.info/) oraz metod zintegrowanej analizy ryzyka jak również zarządzania IT. Specjalista z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych wartości spółek giełdowych. Wieloletni „karbowy XXI wieku” czyli szef działu IT.

Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych (afiliacja w ISACA International), wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego, członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.

http://www.itsecurity24.info/



„ S TOWA R Z YS Z E N I E AU DY T U, KO N T R O L I I B E Z P I EC Z E Ń S T WA SYS T E M Ó W I N F O R M A C YJ N YC H ” P OW S TA Ł O W 2 0 1 1 R O KU, Z I N I C JAT Y W Y C Z Ł O N KÓ W I S AC A Z M A Ł O P O L S K I I Ś L Ą S K A . W LU T Y M 2 0 1 2 R . , JA KO I S A C A K ATO W I C E C H A P T E R U Z Y S K A Ł O A F I L I A C J Ę O D I S A C A I N T E R N AT I O N A L - O R G A N I Z A C J I DZ I A Ł A JĄ C E J O D 1 9 6 7 R O KU, K TÓ R E J C Z Ł O N K A M I N A C A Ł Y M Ś W I EC I E J E S T P O N A D 1 0 9 0 0 0 P R O F E S J O N A L I S TÓW.


C E L A M I S TA T U T O W Y M I S T O W A R Z Y S Z E N I A I S A C A K A T O W I C E C H A P T E R S Ą :

P R O M O W A N I E W I E D Z Y D O T Y C Z Ą C E J N O R M , S TA N D A R D Ó W I D O B R Y C H P R A K T Y K Z A R Z Ą D Z A N I A S Y S T E M A M I I N F O R M A C Y J N Y M I ,

D Z I A Ł A L N O Ś Ć E D U K A C Y J N A I N A U K O W A S Ł U Ż Ą C A P O D N O S Z E N I U O R A Z R O Z W I J A N I U W I E D Z Y I U M I E J Ę T N O Ś C I W Z A K R E S I E Z A R Z Ą D Z A N I A , A U D Y T U I Z A P E W N I E N I A B E Z P I E C Z E Ń S T W A S Y S T E M Ó W I N F O R M A C Y J N Y C H – W T Y M O R G A N I Z A C J A S Z K O L E Ń P R Z Y G O T O W U J Ą C Y C H N A E G Z A M I N Y U M O Ż L I W I A J Ą C E U Z Y S K A N I E P R E S T I Ż O W Y C H C E R T Y F I K AT Ó W C I S A , C I S M , C R I S C , C G E I T, C S X ,

Ś W I A D C Z E N I E U S Ł U G O P I N I O D A W C Z Y C H I D O R A D C Z Y C H W D Z I E D Z I N I E Z A R Z Ą D Z A N I A , A U D Y T U I K O N T R O L I S Y S T E M Ó W I N F O R M A C Y J N Y C H O R A Z B E Z P I E C Z E Ń S T W A I N F O R M A C J I .


W W Y N I K U I N T E N S Y W N E G O R O Z W O J U I S A C A K A T O W I C E C H A P T E R , W R O K U 2 0 1 3 C H A P T E R S U P P O R T C O M M I T T E E P R Z Y Z N A Ł I S A C A K A T O W I C E N A G R O D Ę W K A T E G O R I I M A Ł E G O O D D Z I A Ł U Z A O S I Ą G N I Ę C I E 4 2 % W Z R O S T U L I C Z B Y C Z Ł O N K Ó W – 2 0 1 3 G R O W T H A W A R D W I N N E R F O R S M A L L C H A P T E R , K T Ó R A Z O S T A Ł A W R Ę C Z O N A P R E Z E S O W I Z A R Z Ą D U , W R A M A C H M I Ę D Z Y N A R O D O W E J K O N F E R E N C J I L I D E R Ó W I S A C A W L A S V E G A S , W 2 0 1 4 R .

ZAPRASZAMY DO WSPÓŁPRACY

WIĘCEJ INFORMAC JI NA STRONIE

WWW.ISACA.KATOWICE.PL

J E D N O C Z E Ś N I E P R Z E K R A C Z A J Ą C L I C Z B Ę S T U C Z Ł O N K Ó W , I S A C A K A T O W I C E P R Z E S U N Ę Ł A S I Ę D O G R U P Y M E D I U M C H A P T E R S .

http://www.isaca.katowice.pl/

WDRAŻANIE

PN-ISO/IEC 27001

W WARUNKACH URZĘDU


S Z E F I T = „ K A R B O W Y X X I W I E K U ” ( 8 L AT )

A K T U A L N I E D E PA R TA M E N T A U D Y T U W E W N Ę T R Z N E G O

WDRAŻANIE

PN-ISO/IEC 27001

OKIEM „KARBOWEGO XXI WIEKU”


CZY WARTO WDRAŻAĆ

PN-ISO/IEC 27001

W WARUNKACH URZĘDU ?


K R IXIII Samorządowe Forum Kapitału i Finansów – Katowice: 02.10.2015

https

://o

penc

lipar

t.org

/det

ail/1

8269

/cro

w-fl

ying

-dow

n

K R A

K R A

https

://o

penc

lipar

t.org

/det

ail/1

9251

0/2-

flieg

ende

-kra

ehen


§ 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

I TAK DO PKT 14 !!!


3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:1) PN-ISO/IEC 17799 - w odniesieniu do

ustanawiania zabezpieczeń;2) PN-ISO/IEC 27005 - w odniesieniu do

zarządzania ryzykiem;3) PN-ISO/IEC 24762 - w odniesieniu do

odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.


http://www.itsecurity24.info




http://www.itsecurity24.info

Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji:



TAKIE SYSTEMOWE DZIAŁANIE

DAJE WYKORZYSTANIE

PN-ISO/IEC 27001


PN-ISO/IEC 27001


PN-ISO/IEC 27005

PN-ISO/IEC 27002


PN-ISO/IEC 27005:2014-01 - wersja polskaTechnika informatyczna - Techniki bezpieczeństwa

Zarządzanie ryzykiem w bezpieczeństwie informacjiZakresW niniejszej Normie Międzynarodowej podano wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji.

W niniejszej Normie Międzynarodowej rozwinięto ogólne koncepcje określone w ISO/IEC 27001, opracowano ją w celu wsparcia satysfakcjonującego wdrożenia podejścia do bezpieczeństwa opartego na zarządzaniu ryzykiem.

Znajomość koncepcji, modeli, procesów i terminologii podanych w ISO/IEC 27001 oraz ISO/IEC 27002 jest istotna dla zrozumienia niniejszej Normy Międzynarodowej.

Niniejsza Norma Międzynarodowa ma zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non-profit), które zamierzają zarządzać ryzykami, które mogą spowodować naruszenie bezpieczeństwa informacji w tych organizacjach.

http://sklep.pkn.pl/pn-iso-iec-27005-2014-01p.html


PN-ISO/IEC 27002:2014-12 - wersja polskaTechnika informatyczna - Techniki bezpieczeństwa

Praktyczne zasady zabezpieczania informacjiZakresW niniejszej Normie Międzynarodowej podano zalecenia dotyczące standardów bezpieczeństwa informacji w organizacjach i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru, wdrażania i zarządzania zabezpieczeniami, z uwzględnieniem środowiska (środowisk) w którym (których) w organizacji występuje (-ą) ryzyko w bezpieczeństwie informacji.

Niniejsza Norma Międzynarodowa jest przeznaczona do stosowania przez organizacje, które zamierzają:a) wybierać zabezpieczenia w ramach procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z ISO/IEC 27001;b) wdrażać powszechnie akceptowane zabezpieczenia informacji;c) opracować własne zalecenia w zakresie zarządzania bezpieczeństwem informacji.

http://sklep.pkn.pl/pn-iso-iec-27002-2014-12p.html


PN-ISO/IEC 27001

https

://o

penc

lipar

t.org

/det

ail/1

8991

6/st

andi

ng-u

nico

rn


Sformułowano następujące hipotezy badawcze:Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za

pomocą systemów teleinformatycznych zgodnie z przepisami KRI.Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza usługami realizowanymi za pomocą systemów teleinformatycznych jest zależna od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemu

zarządzania bezpieczeństwem informacji.Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależy

od wielkości podmiotu, liczby i wykształcenia osób związanych z IT.Hipoteza 5: Większość systemów teleinformatycznych badanych podmiotów służących

do prezentacji zasobów informacji nie jest zgodnych ze standardem WCAG 2.0.

Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemów teleinformatycznych służących do prezentacji zasobów informacji ze

standardem WCAG 2.0.Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak kwalifikacji kadry badanych

jednostek.


Z BADANIA PTI:

NA OK 330 URZĘDÓW:

NORMĘ 27001 POSIADA TYLKO

26 !?!** DANE NIEPEŁNE BADANIE W TRAKCIE REALIZACJI


Z BADANIA PTI:

* DANE NIEPEŁNE BADANIE W TRAKCIE REALIZACJI

Urząd Marszałkowski Województwa Podkarpackiego 2014Urząd Miasta Bydgoszcz GM 2014

Urząd Miasta Jastrzębie Zdrój MNP 2014

Urząd Miasta Kielce MNP 2014Urząd Miasta Legnica GM 2014Urząd Miasta Ostróda GM 2011

Urząd Miasta Piotrkowa Trybunalskiego MNP 2012Urząd Miasta Wałbrzych GM 2008

Urząd Miejski w Wolsztynie GM 2012


WDROŻENIE

PN-ISO/IEC 27001

W WARUNKACH URZĘDU


WDROŻENIE

PN-ISO/IEC 27001

JAKO PROJEKT IT ???


WDROŻENIE

PN-ISO/IEC 27001

JAKO PROJEKT ORGANIZACJI


WDROŻENIE

PN-ISO/IEC 27001

JAKO PROJEKT ORGANIZACJIMUSI BYĆ „SPONSOR”


WDROŻENIE

PN-ISO/IEC 27001

W MODELU ITIL


WDROŻENIE

PN-ISO/IEC 27001

W MODELU ITILFORUM BEZPIECZEŃSTWA


FORUM BEZPIECZEŃSTWA :

Przywództwo Reprezentatywność Regularne spotkania Przegląd „Załącznika A” w modelu PDCA Burza mózgów + cele S .M.A.R .T

+ „quick win”

https

://o

penc

lipar

t.org

/det

ail/3

977/

stop

wat

ch-n

o-sh

adin

g


Czarny sen administratora

(szukając pomocy w

ISO/IEC 22301 i COBIT 5)

Nie/Płacz po katastrofie: PN-ISO/IEC 24762:2010

Źródło: http://www.itwadministracji.pl/numery/kwiecien-2015/apetyt-na-ryzyko.html

http://www.itwadministracji.pl/numery/kwiecien-2015/apetyt-na-ryzyko.html

http://www.itwadministracji.pl/numery/kwiecien-2015/apetyt-na-ryzyko.html


D Z I Ę K U J EZ A

U W A G ĘAdam Mizerski [email protected] 507-071-401

www.isaca.katowice.pl

www.slideshare.net/AdamMizerski www.itsecurity24.info

http://www.slideshare.net/AdamMizerski


Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapitału i Finansów –...

Government & Nonprofit

Transcript of Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapitału i Finansów –...