2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad

2016-04-25

1

WYTYCZNE DLA KONTROLI DZIAŁANIA SYSTEMÓW

TELEINFORMATYCZNYCH W DOBIE NOWYCH

ZAGROŻEŃ BEZPIECZEŃSTWA

III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016

[email protected]


audytor systemów teleinformatycznych w sektorze finansowym, ekspert ds.bezpieczeństwa (twórca portalu http://www.itsecurity24.info/) oraz metodzintegrowanej analizy ryzyka jak również zarządzania IT. Specjalista z obszaruinformatyki w zakresie wyceny środków trwałych oraz wartościniematerialnych i prawnych wartości spółek giełdowych. Wieloletni „karbowyXXI wieku” czyli szef działu IT.

Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwai Kontroli Systemów Informacyjnych (afiliacja w ISACA International),wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego,członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.

Adam Mizerski –ksiądz -architekt

2016-04-25

2


„Stowarzyszenie audytu, kontrolii bezpieczeństwa systemów informacyjnych”powstało w 2011 roku, z inicjatywy członkówISACA z Małopolski i Śląska. W lutym 2012 r.,jako ISACA Katowice Chapter uzyskało afiliacjęod ISACA International - organizacji działającejod 1967 roku, której członkami na całym świeciejest ponad 110 000 profesjonalistów.


Celami Statutowymi Stowarzyszenia ISACA Katowice Chapter są:

promowanie wiedzy dotyczącej norm, standardów i dobrych praktykzarządzania systemami informacyjnymi,

działalność edukacyjna i naukowa służąca podnoszeniu oraz rozwijaniuwiedzy i umiejętności w zakresie zarządzania, audytu i zapewnieniabezpieczeństwa systemów informacyjnych – w tym organizacja szkoleńprzygotowujących na egzaminy umożliwiające uzyskanie prestiżowychcertyfikatów CISA, CISM, CRISC, CGEIT, CSX,

świadczenie usług opiniodawczych i doradczych w dziedzinie zarządzania,audytu i kontroli systemów informacyjnych oraz bezpieczeństwa informacji.

2016-04-25

3


W W Y N I K U I N T E N S Y W N E G O R O Z W O J U I S A C A K A T O W I C E C H A P T E R ,W R O K U 2 0 1 3 C H A P T E R S U P P O R T C O M M I T T E E P R Z Y Z N A Ł I S A C AK A T O W I C E N A G R O D Ę W K A T E G O R I I M A Ł E G O O D D Z I A Ł U Z AO S I Ą G N I Ę C I E 4 2 % W Z R O S T U L I C Z B Y C Z Ł O N K Ó W – 2 0 1 3 G R O W T HA W A R D W I N N E R F O R S M A L L C H A P T E R , K T Ó R A Z O S T A Ł AW R Ę C Z O N A P R E Z E S O W I Z A R Z Ą D U , W R A M A C HM I Ę D Z Y N A R O D O W E J K O N F E R E N C J I L I D E R Ó W I S A C A W L A S V E G A S ,W 2 0 1 4 R .

ZA PR A SZAMY DO WS PÓŁPRACY

WIĘCEJ IN FORMACJ I N A STRONIE

WWW.ISACA.KATOWICE.PL

J E D N O C Z E Ś N I E P R Z E K R A C Z A J Ą C L I C Z B Ę S T U C Z Ł O N K Ó W , I S A C A K A T O W I C EP R Z E S U N Ę Ł A S I Ę D O G R U P Y M E D I U M C H A P T E R S .


2016-04-25

4

WYTYCZNE DLA KONTROLI DZIAŁANIA SYSTEMÓW

TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI

ZADAŃ PUBLICZNYCH


WYTYCZNE DLA KONTROLIDZIAŁANIA SYSTEMÓW


ZADAŃ PUBLICZNYCH


2016-04-25

5

WYTYCZNE DLA AUDYTUDZIAŁANIA SYSTEMÓW


ZADAŃ PUBLICZNYCH



2016-04-25

6


K R I

htt

ps:

//o

pen

clip

art.

org

/det

ail/

18

26

9/c

row

-fly

ing-

do

wn

K r A

K r A

htt

ps:

//o

pen

clip

art.

org

/det

ail/

19

25

10

/2-f

liege

nd

e-kr

aeh

en


http://www.itsecurity24.info

2016-04-25

7




Czytając raport NIK można stwierdzić, że kontrolowaneurzędy skoncentrowały się głównie na ochronie danychosobowych, jednak „nie wprzęgły” ochrony danychosobowych w kompleksowy System ZarządzaniaBezpieczeństwem Informacji:


2016-04-25

8


Opracowanie dostępne jest bezpłatnie – w wersji drukowanej i elektronicznej (nalicencji Creative Commons Uznanie Autorstwa 3.0 Polska).

http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf


NIK objął kontrolą 24 urzędy, a badaniePTI realizowane w postaci ankietyw formie wniosku o udostępnienieinformacji publicznej objęło 339urzędów.

2016-04-25

9



Sformułowano następujące hipotezy badawcze:Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za

pomocą systemów teleinformatycznych zgodnie z przepisami KRI.Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza usługami

realizowanymi za pomocą systemów teleinformatycznych jest zależna odwielkości podmiotu, liczby i wykształcenia osób związanych z IT.

Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemuzarządzania bezpieczeństwem informacji.

Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależyod wielkości podmiotu, liczby i wykształcenia osób związanych z IT.

Hipoteza 5: Większość systemów teleinformatycznych badanych podmiotów służącychdo prezentacji zasobów informacji nie jest zgodnych ze standardemWCAG 2.0.

Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemówteleinformatycznych służących do prezentacji zasobów informacji zestandardem WCAG 2.0.

Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak kwalifikacji kadry badanychjednostek.

2016-04-25

10


http://www.bdwsp.pl/

WYTYCZNE DLA AUDYTUDZIAŁANIA SYSTEMÓW


ZADAŃ PUBLICZNYCH


2016-04-25

11


Zgodnie z zamysłem autorów wytycznych (Departament Kontroli, Skarg iWniosków we współpracy z Departamentem Informatyzacji orazDepartamentem Społeczeństwa Informacyjnego), ich celem „jestzapewnienie wsparcia dla kontroli, w tym wskazanie jednolitychkryteriów merytorycznych realizacji obowiązku określonego w art. 25ust. 1 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalnościpodmiotów realizujących zadania publiczne - Dz. U. z 2014 r., poz. 1114

(dalej: ustawa o informatyzacji), dotyczącego przeprowadzania kontroli

działania systemów teleinformatycznych, używanych do realizacji zadań

publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2

ustawy o informatyzacji”. Ustandaryzowanie kryteriów oceny umożliwirównież analizę porównawczą wyników kontroli pomiędzy podmiotamipublicznymi oraz zbudowanie bazy wiedzy dla organizacji w zakresieokresowej oceny spełniania zgodności z wymogami stawianymi przezKRI.


III. ZASADY PROWADZENIA KONTROLI1. Cel kontroliCelem kontroli jest dokonanie oceny działania systemówteleinformatycznych pod względem zgodności z minimalnymiwymaganiami dla systemów teleinformatycznych lubrejestrów publicznych i wymiany informacji w postacielektronicznej oraz przestrzegania wymagań zawartychw Krajowych Ramach Interoperacyjności.2. Tryb kontroliKontrola powinna być przeprowadzona w trybie określonymustawą o kontroli oraz zgodnie ze Standardami kontroli w

administracji rządowej.

2016-04-25

12


3. Zespół kontrolnyZgodnie z wytycznymi w celu zapewnienia wysokiej jakości kontroliktóra wymaga specjalistycznej wiedzy, zaleca się powołaniezespołu kontrolnego którego członkiem może być „pracownik

posiadający wiedzę i doświadczenie w zakresie szeroko

rozumianego bezpieczeństwa informacji (np. pracownika pionu IT)”

Zgodnie ze standardami prowadzenia audytu osoby wykonujące

prace w obszarze podlegającym audytowi nie powinny go

audytować. Regulacje wewnętrzne wynikające z ładu

korporacyjnego mówią nawet o dwu letnim okresie karencji.


4. Obszary kontroliKontrola powinna objąć następujące główne obszary:�Wymianę informacji w postaci elektronicznej, w tym

współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną.

�Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych.

�Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych.

2016-04-25

13


5. Przygotowanie kontroliW celu przygotowania kontroli zaleca się pozyskanie: � Dokumentów ustanawiających SZBI - polityki, instrukcje, procedury;� Dokumentacji analizy ryzyka związanego z BI;� Dokumentacji przeglądów SZBI;� Dokumentacji audytów wewnętrznych SZBI.� Dokumentacji systemu zarządzania jakością usług świadczonych przez

system teleinformatyczny.Ponadto od kierownika jednostki kontrolowanej należy uzyskać informacje za pomocą:Ankiety – wg załączonego wzoru nr 1;Zestawiania – systemów teleinformatycznych używanych do realizacji zadań publicznych wg załączonego wzoru nr 2.


2016-04-25

14



DLACZEGO NIE POWSTAŁOCENTRALNE

REPOZYTORIUM ???

2016-04-25

15


6. Techniki kontroliZaleca się przeprowadzanie kontroli stosując dwie następujące techniki:� Zza biurka - analiza zebranej dokumentacji i informacji z

ankiety i wykazu;� Na miejscu - kontrola wspomagana listą kontrolną, w tym

m.in. potwierdzenie informacji z ankiety.

Biorąc pod uwagę, że zgodnie z §286 Ustawy z dnia 27 sierpnia 2009 r.o finansach publicznych audytorem wewnętrznym może być osoba któraposiada odpowiednie kompetencje poświadczone m.in. posiadaniemjednego z uznanych na całym świecie certyfikatu dotyczącego audytu,proponowanie etapu kontroli „zza biurka” jest co najmniej niefortunne


7. Kryteria kontroli oraz mierniki oceny

Kryterium oceny kontrolowanej działalności jest legalność, tj. zgodność z prawempowszechnie obowiązującym oraz regulacjami wewnętrznymi dotyczącymi SZBI.Ocenie podlegają niezależnie 3 główne obszary kontroli, tj. interoperacyjność,bezpieczeństwo informacji oraz dostosowanie dla osób niepełnosprawnych. Przyjęto 4-stopnioną skalę ocen:� ocenę pozytywną otrzyma jednostka kontrolowana, gdy w 3 obszarach kontroli uzyska

cząstkowe oceny pozytywne;� ocenę pozytywną z uchybieniami otrzyma jednostka kontrolowana, która uzyska choć

jedną cząstkową ocenę pozytywną z uchybieniami;� ocenę pozytywną z nieprawidłowościami otrzyma jednostka kontrolowana, gdy uzyska

choć jedną cząstkową ocenę pozytywną z nieprawidłowościami;� ocena negatywna zostanie przyznana wtedy, gdy będzie przewaga negatywnych ocen

cząstkowych.

2016-04-25

16


Szkoda, że autorzy nie wykorzystali przyjętych standardów

dotyczących modeli dojrzałości wynikających np. z CMMI (ang.

Capability Maturity Model Integration) lub COBIT (ang. Control

Objectives for Information and related Technology).


Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy:� nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono

jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);

� nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);

� nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki

2016-04-25

17


Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy:� nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono

jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);

� nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);

� nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki

Z badania PTI: „ponad połowa (56%) ankietowanych

instytucji nie posiada żadnej procedury z zakresu

wdrażania, eksploatacji, testowania i wycofywania

aktywów”.


Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:� nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania

Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli);

� nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);

� nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli);

� nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);

� nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli);

2016-04-25

18


Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:� nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,

ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);

� nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);

� nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);

� nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).


Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:� nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,

ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);

� nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);

� nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);

� nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).

Z badania PTI: „Ponad połowa (53,69%) respondentów

zadeklarowała prowadzenie rejestru incydentów, jednakże

134 pozostają puste, gdyż nie zarejestrowano w nim żadnego

incydentu.” PTI „Stan wdrożenia wybranych wymagań …

2016-04-25

19


(…) pozytywną ocenę BI może uzyskać system posiadający małozabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnieprzeprowadzonej analizy ryzyka (np.: system jednostanowiskowyprzetwarzający dane powszechnie dostępne). Jednocześnie ocenęnegatywną może uzyskać system posiadający znaczną liczbęzabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość ijakość) został zastosowany przypadkowo, bez potwierdzenia poprzezrzetelnie wykonaną analizę ryzyka i powstały w jej wyniku planpostępowania z ryzykiem. W takiej sytuacji jednostka nie zarządzawłaściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dlapewnych ryzyk może posiadać nadmierne, niczym nieuzasadnionezabezpieczenia, natomiast dla innych całkowity ich brak.

Jest RYZYKO

Jest ZABAWAIII Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016

PN-ISO/IEC 27005:2014-01 - wersja polska

PN-ISO 31000:2012 - wersja polska

COBIT 5 for Risk Polski (Polish)

2016-04-25

20

Jest RYZYKO

Jest ZABAWAIII Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016

„COBIT 5 for Risk” dostępny również w języku polskim http://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx

Ponad 2 000 przykładowych scenariuszy ryzyka


Czy wasz dział IT

świadczy usługi IT na ustalonym poziomie OLA/SLA ?

2016-04-25

21


Czy wasz dział IT

świadczy usługi IT na ustalonym poziomie OLA/SLA ?

świadomie i udokumentowanie zarządza ryzykiem ?


źródło: http://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx

2016-04-25

22


PTI: „Stan wdrożenia wybranych wymagań Krajowych Ram Interoperacyjności w serwisach samorządowych” obejmujący ok 400 urzędów

Niewiele instytucji opracowało analizę ryzyka. Z deklaracji wynika, że zrobiły to81 jednostki (23,89%).

Znamiennym jest, że respondenci nie umieli ustalić bądź nie znali nazw użytych metodyk. Wymieniali następującenazwy, których większość, oznaczonych kolorem czerwonym, nie jest nazwami metodyk analizy ryzyka:• burza mózgów (Starostwo Powiatowe w W…),• FMEA,• Prince 2 (Starostwo Powiatowe w S…),• arytmetyczna (Starostwo Powiatowe w K…),• CMMI for Services v. 1.3,• PMI (Urząd Gminy N…),• CRAMM,• delficka (Urząd Miasta Bydgoszcz),• indukcyjna (Urząd Miasta i Gminy T…, Urząd Gminy w L…),• MEHARI,• ręczna (Urząd Miejski w Łomży).

http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf


Ocena negatywna w obszarze nr 3 (dostosowanie dla osób niepełnosprawnych) może zostać przyznana w szczególności, gdy:� nie zapewniono spełnienia przez system wymagań Web Content Accessibility

Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr 4 do rozporządzenia (§ 19 rozporządzenia; pkt 3 tematyki kontroli).

http://wcag.pti.org.pl/

Od 15 października 2012 roku wytyczne WCAG w wersji 2.0 zyskały status międzynarodowej normy ISO/IEC 40500:2012.

2016-04-25

23


8. Znaczenie Polskich Norm

Najbardziej zaskakujący jest punkt wytycznych dotyczący Polskich Norm.Interpretacja prawna zaprezentowana przez autorów wytycznych w konkluzji nieuznaje stosowania Polskich Norm, jako dokumentów obligatoryjnych ??? Z badaniaPTI wynika, że zdecydowana większość instytucji tj. 309, co stanowi ponad 91%badanych, nie posiada ani jednej normy (!).

Polski Komitet Normalizacyjny jest jednostką publiczną, tak więc przepływypieniężne pomiędzy instytucjami publicznymi a PKN realizuje się w ramach jednegobudżetu Państwa.

Być może Ministerstwo Cyfryzacji powinno podjąć działania w celu zmiany modeluwspółpracy PKN z instytucjami publicznymi. Warto tu przywołać przykład ITIL (ang.Information Technology Infrastructure Library) - kodeks postępowania dla działówinformatyk – który został opracowany na zlecenie brytyjskiej administracji rządowej istał się standardem zarządzania działów IT w korporacjach na całym świecie.


IV. TEMATYKA I OBSZARY KONTROLI 151. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną 151.1. Usługi elektroniczne 151.2. Centralne repozytorium wzorów dokumentów elektronicznych 161.3. Model usługowy 171.4. Współpraca systemów teleinformatycznych z innymi systemami 171.5. Obieg dokumentów w podmiocie publicznym 181.6. Formaty danych udostępniane przez systemy teleinformatyczne 19

2016-04-25

24


https://www.nik.gov.pl/plik/id,10420,vp,12749.pdf


2.1. Dokumenty z zakresu bezpieczeństwa informacji 202.2. Analiza zagrożeń związanych z przetwarzaniem informacji 222.3. Inwentaryzacja sprzętu i oprogramowania informatycznego

232.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych 242.5. Szkolenia pracowników zaangażowanych w proces przetwarzania informacji 252.6. Praca na odległość i mobilne przetwarzanie danych 252.7. Serwis sprzętu informatycznego i oprogramowania 262.8. Procedury zgłaszania incydentów naruszenia BI 262.9. Audyt wewnętrzny z zakresu bezpieczeństwa informacji 272.10. Kopie zapasowe 272.11. Projektowanie, wdrażanie i eksploatacja systemów teleinformatycznych

282.12. Zabezpieczenia techniczno-organizacyjne dostępu do informacji 292.13. Zabezpieczenia techniczno-organizacyjne systemów informatycznych 312.14. Rozliczalność działań w systemach informatycznych 32

2016-04-25

25


A gdzie miejsce narekomendacje,

działania korygującei mitygujące ryzyka ???


nowe / stare wyzwania w dobie współczesnych zagrożeń

�„Shadow IT” – nieautoryzowane IT w organizacji

� Cloud Computing

� outsourcing IT

� „łańcuchy podwykonawców”

� Ryzyko utraty poufności

� Ryzyko utraty reputacji

� Ryzyko utraty dostępności

2016-04-25

26


IP serwera pocztowego REV serwera pocztowego Outsourcer

91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.

77.55.38.239 abm239.rev.netart.pl nazwa.pl sp. z.o.o

93.157.100.76 s48-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.



93.157.99.126 mail29-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.

85.128.222.209 ann209.rev.netart.pl nazwa.pl sp. z.o.o

85.128.155.237 aky237.rev.netart.pl nazwa.pl sp. z.o.o

93.157.100.76 s48-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.

79.96.156.226 cloudserver090650.home.net.pl home.pl S.A.

85.128.245.90 aok90.rev.netart.pl nazwa.pl sp. z.o.o


89.25.214.162 host8925214162.*.3s.pl 3S S.A.

89.161.135.46 cloudserver022144.home.net.pl home.pl S.A.

91.211.221.206 gabriel-221-206.trustnet.pl Trustnet Babicz Agnieszka

91.211.221.207 gabriel-221-207.trustnet.pl Trustnet Babicz Agnieszka

194.110.77.143 koral.iplus.com.p INTERNET PLUS s.c.

89.146.221.150 mail4.lh.pl LH.PL SP. Z O.O.

Analiza rekordów MX - firm świadczących usługi dla podmiotów z domeny *.gov.pl - źródło opracowanie własne

Jak w warunkach administracji publicznej zapewnić możliwość audytu u jednej z powyższych firm, którazachwalając bezpieczeństwo swoich usług reklamuje na swojej stronie: „Firma dysponuje dwoma szafami 42Uznajdującymi się w jednym z najnowocześniejszych Data Center w Europie (Niemcy)”



�monitoring IP (shodan.io)� w październiku 2015 r. eksperci odnotowali ogromną liczbę

żądań HTTP (do 20 000 żądań na sekundę) pochodzącychz kamer telewizji przemysłowej. Badacze zidentyfikowaliokoło 900 kamer na świecie, które tworzyły botnetwykorzystywany do ataków DDoS.http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence_dla_iv_kwartalu_2015_roku.html




2016-04-25

27



�Malware� Od 8 lat liczba

malware wzrasta

o 100%

� 0-day

� skuteczność AVhttps://www.av-test.org/en/statistics/malware/






�Malvertising

� http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i-zaserwowal-zlosliwa-reklame-54144

� http://sekurak.pl/popularne-serwisy-internetowe-infekowaly-wirusami-ransomware/

msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.




2016-04-25

28



�Phishing - > APT

� Jak chronić „najwyższe kierownictwo” ?

� Jak ocenić szkolenia z zakresu bezpieczeństwa ?






�BYOD

�Internet of Things

� ???




2016-04-25

29


Podsumowując

Publikacja przez Ministerstwo Cyfryzacji „Wytycznych dla kontroli działania

systemów teleinformatycznych używanych do realizacji zadań publicznych” tokrok w dobrym kierunku. Jednak w obliczu współczesnych zagrożeń to dopiero„pierwszy krok w podróży” której celem jest zapewnienie bezpieczeństwasystemów informacyjnych przetwarzających dane (niejednokrotnie wrażliwe) naswszystkich. Współczesne wyzwania w zakresie bezpieczeństwa wymagają jednakw wiele więcej, m.in. koncentracji zespołów odpowiedzialnych za bezpieczeństwo(np. jeden centralny zespół odpowiedzialny za bezpieczeństwo systemówteleinformatycznych podmiotów publicznych całej gminy), budowywyspecjalizowanych zespołów zarządzających incydentami CSIRT (ang. ComputerSecurity Incident Response Team) czy tworzenia Operacyjnych CentrówBezpieczeństwa SOC (ang. Security Operations Center).


Dziękuje za uwagę

isaca.katowice.pl

[email protected]

2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad

Government & Nonprofit