jak uzyskać zgodność iso27001 z krajowymi ramami interoperacyjności
TRANSCRIPT
Jak uzyskać zgodność z Krajowymi Ramami Interoperacyjności, czyli o minimalnych wymaganiach w zakresie bezpieczeństwa systemów teleinformatycznych oraz zapewnieniu zgodności
z wymaganiami normy ISO 27001
Katarzyna Cieślak – Audytor Wewnętrzny 27001, Administrator Bezpieczeństwa Informacji (FORSAFE Sp. z o.o.)
5 listopada 2015r.Łódź
Akty prawne
Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania Publiczne (tekst jednolity: Dz. U. z 2014 r. poz. 1114 z późn. zm.)
Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r. poz. 526 z późn. zm.)
Wymagania normy ISO/IEC 27001:2014-12 – Technika informacyjna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania
Pojęcie informacji i bezpieczeństwa
Informacja Bezpieczeństwo
Czym jest interoperacyjność?
ujednolicenie
wymiennośćzgodność
Założenia interoperacyjności
Stworzenie warunków dla rozwoju rynku usług świadczonych drogą elektroniczną obywatelom i przedsiębiorcom
Efektywne świadczenie usług publicznych
Usprawnienie pracy administracji publicznej
Podstawy interoperacyjności i bezpieczeństwa informacji
dostępność integralność poufność
Polityka Bezpieczeństwa
Informacji
Procedury
Polityki
Zasady
Instrukcje
Jak osiągnąć interoperacyjność?
Jak osiągnąć interoperacyjność?
Opracowanie systemu zarządzania bezpieczeństwem informacji na podstawie:
Krajowych Ram Interoperacyjności
Polskiej Normy 27001
Wymagania
aktualizacja regulacji wewnętrznych
inwentaryzacja sprzętu i oprogramowania
przeprowadzanie analizy ryzyka
nadawanie uprawnień
Wymagania
zarządzanie uprawnieniami
szkolenia
ochrona przetwarzanych informacji
zasady pracy na urządzeniach mobilnych
Wymagania
zabezpieczenie informacji
umowy o poufności
zasady postępowania z informacjami
Wymagania
bezpieczeństwo w systemach teleinformatycznych
zgłaszanie incydentów naruszenia bezpieczeństwa informacji
okresowe audyty wewnętrzne
Wymagania dla strony www
• Alternatywa w postaci tekstu• Media zmienne w czasie• Możliwość adaptacji• Możliwość rozróżnienia
Postrzegalność
• Dostępność z klawiatury• Wystarczająca ilość czasu• Ataki padaczki• Możliwość nawigacji
Funkcjonalność
Wymagania dla strony www
• Możliwość odczytania• Przewidywalność• Pomoc przy wprowadzaniu
informacji
Zrozumiałość
• KompatybilnośćSolidność
Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak Polityki Bezpieczeństwa Informacji
Polityka Bezpieczeństwa
Informacji
Polityka Bezpieczeństwa
Danych Osobowych
Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Wykorzystywanie tradycyjnego systemu rozpatrywania spraw
Źródło obrazu: kobieta.pl
Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Niewłaściwe zarządzanie uprawnieniami
użytkowników w zakresie dostępu do systemów
informatycznych
Źródło obrazu: archiwum własne
Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak zapisów o zachowaniu poufności w umowach
z wykonawcami realizującymi serwis oprogramowania lub
sprzętu komputerowego
Źródło obrazu: infor.pl
Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak zasad bezpiecznej pracy na komputerach
przenośnych
Źródło obrazu: archiwum prywatne
Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak realizacji corocznych audytów wewnętrznych
w zakresie bezpieczeństwa informacji
Źródło obrazu: seo4.net
Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Brak szkoleń pracowników z bezpieczeństwa informacji
Źródło obrazu: kadry.infor.pl
Najczęstsze nieprawidłowości (na podstawie raportu NIK)
Błędy w prezentowaniu treści strony www
dostosowanych do potrzeb osób niepełnosprawnych
Źródło obrazu: uke.gov.pl
FORSAFE Sp. z o.o.
ul. Żwirki 17, 90-539 Łódźtel.: +48 42 225 95 30, tel. kom. +48 600 005 880