1 / 20

Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO

international user group. ISMS. Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej. Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO

josh
Download Presentation

Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. international user group ISMS Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji w administracji państwowej i samorządowej Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO Stowarzyszenie Wspierania Rozwoju Systemów Zarządzania bezpieczeństwem informacji ISMS Polska Polish Chapter Jak rozwijać społeczeństwo informacyjne w latach 2007-2010 26 czerwca 2007

  2. Plan prezentacji • Krótkie wprowadzenie • Wymagania bezpieczeństwa systemów teleinformatycznych używanych przez podmioty publiczne do realizacji zadań publicznych • Bezpieczeństwo systemów teleinformatycznych i informacji oparte na Polskich Normach • Rodzina norm ISO/IEC 2700x • Krótka prezentacja normy ISO/IEC 27001:2005 (PrPN ISO/IEC 27001) Wymagania na systemy zarządzania bezpieczeństwem informacji. • Warunki dojścia do certyfikacji na zgodność z ISO 27001 • Praktyczne zastosowanie normy ISO/IEC 17799 (27002) – odwzorowania wymagań przepisów prawa na kryteria bezpieczeństwa zgodne z normą • Podsumowanie

  3. Błędne podejście: Pokaż mi ROI To tylko generuje koszty Czy mogę mieć pewność? Transfer ryzyka = transfer odpowiedzialności Bezpieczeństwo informacji = bezpieczeństwo internetowe Bezpieczeństwo to sprzęt, a nie organizacja („twarde”, a nie „miękkie”) W rzeczywistości: Model oparty na ryzyku To jest dźwignia biznesu Mogę zmniejszyć ryzyko, ale nie mogę go wyeliminować w 100% Większość problemów z bezpieczeństwem ma swoje źródło wewnątrz organizacji Bezpieczeństwo to tylko 5% nakładów na informatykę Bezpieczeństwo jest b. niedojrzałym biznesem Czym jest bezpieczeństwo informacji?

  4. Podstawowe definicje bezpieczeństwo informacji i systemów teleinformatycznych –wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzane PN ISO/IEC 17799:2003 PN-I-13335-1:1999 polityka bezpieczeństwa informacji - udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa swego systemu informatycznego oraz przetwarzane informacje. PN ISO/IEC 17799:2003 system zarządzania bezpieczeństwem informacji - ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji ISO/IEC 27001:2005

  5. Podejście do określania wymagań bezpieczeństwa informacji w polskich aktach prawnych • Brak przywołań norm • Ustawa o ochronie danych osobowych i rozporządzenie MSWiA [….] w sprawie warunków organizacyjnych i technicznych, jakim powinny odpowiadać systemy służące do przetwarzania danych osobowych • Rozporządzenie o Biuletynie Informacji Publicznej • Strukturalny problem aktualizacji aktów prawnych wraz ze zmieniającym się stanem techniki i uaktualnieniem norm • Ustawa o podpisie elektronicznym • Wpisane w dyrektywy normalizacyjne mechanizmy uaktualniania norm • W ISO – normy techniczne są aktualizowane co 3 lata, normy dotyczące zarządzania – co 5 lat • Normy można ustanowić, ale można też wycofać

  6. Nowe podejście w aktach prawnych a wymagania dotyczące bezpieczeństwa informacji • Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne • Rozporządzenie RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych § 3. 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji.

  7. Opublikowane jako Polskie normy Polska Norma w opracowaniu Projekty norm międzynarodowych w opracowaniu Wymagania dla akredytacji jednostek certyfikujących Fundamentals and vocabulary ISMS Auditor Guidelines ISMS Risk Management Wymagania Wytyczne do wdrażania zabezpieczeń ISM measurements ISMS implementation guidelines

  8. *Zgodnie z planem prac ISO/IEC JTC1/SC27

  9. Systemy Zarządzania Bezpieczeństwem Informacji - zgodne z PN ISO/IEC 27001

  10. Nowa norma międzynarodowa ISO/IEC 27001

  11. Model PDCA Systemu Zarządzania Bezpieczeństwem Informacji Wdrożenie SZBI ZaplanowanieSZBI Utrzymywanie & Doskonalenie ISMS Monitorowanie & PrzeglądSZBI Cykl życia SZBI Źródło: Ted Humphreys, Konferencja Wyzwania bezpieczeństwa informacji, Warszawa, 30 marca 2006

  12. ISO/IEC 27002(17799) Zbiór wytycznych ISO/IEC 27001 – Załącznik A Zbiór wymagań Wytyczne a Wymagania bezpieczeństwa System zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 ISO/IEC 27002 jest normą niezbędną do wdrożenia ISO/IEC 27001

  13. Czym ISO/IEC 17799 jest, a czym nie jest? • Zarządzanie bezpieczeństwem informacji • Zasady (polityka) bezpieczeństwa informacji z punktu widzenia potrzeb biznesowych • Organizacja bezpieczeństwa • Gestorzy aktywów • Delegacja odpowiedzialności • Mechanizmy wykonawcze, zarządcze (zatwierdzanie), nadzoru (przegląd), kontroli (niezależny audyt) • Wyniki szacowania ryzyka podstawą wyboru zabezpieczeń • Nie jest to poradnik dotyczący szacowania ryzyka • Jakkolwiek dodano nowy rozdział o szacowaniu i postępowaniu z ryzykiem • ISO/IEC 27005 jako następca ISO/IEC 13335-1/3

  14. Wydanie 2000 Wydanie 2005 Polityka bezpieczeństwa Polityka bezpieczeństwa Organizacja bezpieczeństwa Organizacja bezp. informacji Zarządzanie aktywami Klasyfikacja i kontrola aktywów Bezpieczeństwo zasobów ludzkich Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Zarządzanie systemami i sieciami Kontrola dostępu Kontrola dostępu Pozyskanie, rozwój i utrzymanie systemów informacyjnych Rozwój i utrzymanie systemu Zarządzanie incydentami naruszenia bezpieczeństwa informacji Zarządzanie ciągłością działania Zarządzanie ciągłością działania Zgodność Zgodność

  15. W 1. wydaniu: ZABEZPIECZENIE + Wskazówki do wdrożenia przemieszane z innymi informacjami 11 głównych zagadnień bezpieczeństwa OBSZAR BEZPIECZEŃSTWA 39 celów stosowania zabezpieczeń w obszarach bezpieczeństwa CEL STOSOWANIA ZABEZPIECZEŃ W 2. wydaniu: Deklaracja zabezpieczenia spełniającego cel stosowania ZABEZPIECZENIE Wytyczne do wdrożenia Wytyczne ułatwiające wdrożenie zabezpieczenia w sposób umożliwiający spełnienie celu stosowania Inne informacje Wyjaśnienia związane z wdrożeniem zabezpieczenia (np. uwarunkowania prawne), które należy uwzględnić przy wdrożeniu

  16. Sformułowanie kryteriów 1 audytu Zdefiniowanie mierników 2 spełnienia kryteriów Poszukiwanie dowodów 3 spelnienia kryteriów 4 Ocena - porównanie stanu faktycznego z stanem opisanym za pomocą mierników Praktyczne zastosowanie normy ISO/IEC 17799 – audyt bezpieczeństwa

  17. Certyfikacja systemów zarządzania bezpieczeństwem informacji przez niezależną stronę trzecią • Normy certyfikacji na zgodność • ISO/IEC 27001:2005 (wcześniej BS 7799 Part:2002) – Załącznik A zawiera zabezpieczeniaz ISO/IEC 17799:2005 • ISO/IEC 27006 Wymagania akredytacji dla jednostek certyfikującychsystemy zarządzania bezpieczeństwem informacji • ISO Guide 62/EN 45012 (ISO 17021) - Conformity assessment — Requirements for bodies providing audit and certification of management systems • ISO 19011 (PN ISO 19011) Wytyczne do audytowania systemów zarządzania jakością i/lub środowiskowego

  18. Dynamika wzrostu certyfikacji systemów zarządzania bezpieczeństwem informacji 16 certyfikatów zgodności organizacji polskich Źródło: http://www.iso27001certificates.com

  19. Podsumowanie • Kompletny zbiór norm międzynarodowych dotyczący zarządzania bezpieczeństwa informacji jest w trakcie tworzenia • Kierunki są wyraźnie zaznaczone (horyzont 2008) • Potrzeby są zdefiniowane (horyzont 2010) • Rynek a obowiązek ISMS • Wymagania kontraktowe • Niezależne potwierdzenie strony trzeciej • Możliwość wpisania mechanizmów zgodności z aktualnymi wydaniami norm międzynarodowych/krajowych jako wymagań bezpieczeństwa informacji i systemów teleinformatycznych do stosownych aktów prawnych • Rozporządzenie Komisji UE 1290/2006 w sprawie akredytacji Agencji Płatniczych • Ustawa o informatyzacji i rozporządzenie dot. minimalnych wymagań dla systemów teleinformatycznych - Ujednolicenie wymagań dla systemów administracji państwowej i samorządowej

  20. Pytania, uwagi, komentarze ... prezes@ismspolska.org.pl

More Related