2016-04-25
1
WYTYCZNE DLA KONTROLI DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH W DOBIE NOWYCH
ZAGROŻEŃ BEZPIECZEŃSTWA
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
audytor systemów teleinformatycznych w sektorze finansowym, ekspert ds.bezpieczeństwa (twórca portalu http://www.itsecurity24.info/) oraz metodzintegrowanej analizy ryzyka jak również zarządzania IT. Specjalista z obszaruinformatyki w zakresie wyceny środków trwałych oraz wartościniematerialnych i prawnych wartości spółek giełdowych. Wieloletni „karbowyXXI wieku” czyli szef działu IT.
Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwai Kontroli Systemów Informacyjnych (afiliacja w ISACA International),wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego,członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.
Adam Mizerski –ksiądz -architekt
2016-04-25
2
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
„Stowarzyszenie audytu, kontrolii bezpieczeństwa systemów informacyjnych”powstało w 2011 roku, z inicjatywy członkówISACA z Małopolski i Śląska. W lutym 2012 r.,jako ISACA Katowice Chapter uzyskało afiliacjęod ISACA International - organizacji działającejod 1967 roku, której członkami na całym świeciejest ponad 110 000 profesjonalistów.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Celami Statutowymi Stowarzyszenia ISACA Katowice Chapter są:
promowanie wiedzy dotyczącej norm, standardów i dobrych praktykzarządzania systemami informacyjnymi,
działalność edukacyjna i naukowa służąca podnoszeniu oraz rozwijaniuwiedzy i umiejętności w zakresie zarządzania, audytu i zapewnieniabezpieczeństwa systemów informacyjnych – w tym organizacja szkoleńprzygotowujących na egzaminy umożliwiające uzyskanie prestiżowychcertyfikatów CISA, CISM, CRISC, CGEIT, CSX,
świadczenie usług opiniodawczych i doradczych w dziedzinie zarządzania,audytu i kontroli systemów informacyjnych oraz bezpieczeństwa informacji.
2016-04-25
3
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
W W Y N I K U I N T E N S Y W N E G O R O Z W O J U I S A C A K A T O W I C E C H A P T E R ,W R O K U 2 0 1 3 C H A P T E R S U P P O R T C O M M I T T E E P R Z Y Z N A Ł I S A C AK A T O W I C E N A G R O D Ę W K A T E G O R I I M A Ł E G O O D D Z I A Ł U Z AO S I Ą G N I Ę C I E 4 2 % W Z R O S T U L I C Z B Y C Z Ł O N K Ó W – 2 0 1 3 G R O W T HA W A R D W I N N E R F O R S M A L L C H A P T E R , K T Ó R A Z O S T A Ł AW R Ę C Z O N A P R E Z E S O W I Z A R Z Ą D U , W R A M A C HM I Ę D Z Y N A R O D O W E J K O N F E R E N C J I L I D E R Ó W I S A C A W L A S V E G A S ,W 2 0 1 4 R .
ZA PR A SZAMY DO WS PÓŁPRACY
WIĘCEJ IN FORMACJ I N A STRONIE
WWW.ISACA.KATOWICE.PL
J E D N O C Z E Ś N I E P R Z E K R A C Z A J Ą C L I C Z B Ę S T U C Z Ł O N K Ó W , I S A C A K A T O W I C EP R Z E S U N Ę Ł A S I Ę D O G R U P Y M E D I U M C H A P T E R S .
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
2016-04-25
4
WYTYCZNE DLA KONTROLI DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
WYTYCZNE DLA KONTROLIDZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
2016-04-25
5
WYTYCZNE DLA AUDYTUDZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
2016-04-25
6
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
K R I
htt
ps:
//o
pen
clip
art.
org
/det
ail/
18
26
9/c
row
-fly
ing-
do
wn
K r A
K r A
htt
ps:
//o
pen
clip
art.
org
/det
ail/
19
25
10
/2-f
liege
nd
e-kr
aeh
en
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
http://www.itsecurity24.info
2016-04-25
7
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
http://www.itsecurity24.info
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Czytając raport NIK można stwierdzić, że kontrolowaneurzędy skoncentrowały się głównie na ochronie danychosobowych, jednak „nie wprzęgły” ochrony danychosobowych w kompleksowy System ZarządzaniaBezpieczeństwem Informacji:
http://www.itsecurity24.info
2016-04-25
8
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Opracowanie dostępne jest bezpłatnie – w wersji drukowanej i elektronicznej (nalicencji Creative Commons Uznanie Autorstwa 3.0 Polska).
http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
NIK objął kontrolą 24 urzędy, a badaniePTI realizowane w postaci ankietyw formie wniosku o udostępnienieinformacji publicznej objęło 339urzędów.
2016-04-25
9
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Sformułowano następujące hipotezy badawcze:Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za
pomocą systemów teleinformatycznych zgodnie z przepisami KRI.Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza usługami
realizowanymi za pomocą systemów teleinformatycznych jest zależna odwielkości podmiotu, liczby i wykształcenia osób związanych z IT.
Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemuzarządzania bezpieczeństwem informacji.
Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależyod wielkości podmiotu, liczby i wykształcenia osób związanych z IT.
Hipoteza 5: Większość systemów teleinformatycznych badanych podmiotów służącychdo prezentacji zasobów informacji nie jest zgodnych ze standardemWCAG 2.0.
Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemówteleinformatycznych służących do prezentacji zasobów informacji zestandardem WCAG 2.0.
Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak kwalifikacji kadry badanychjednostek.
2016-04-25
10
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
http://www.bdwsp.pl/
WYTYCZNE DLA AUDYTUDZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
2016-04-25
11
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Zgodnie z zamysłem autorów wytycznych (Departament Kontroli, Skarg iWniosków we współpracy z Departamentem Informatyzacji orazDepartamentem Społeczeństwa Informacyjnego), ich celem „jestzapewnienie wsparcia dla kontroli, w tym wskazanie jednolitychkryteriów merytorycznych realizacji obowiązku określonego w art. 25ust. 1 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalnościpodmiotów realizujących zadania publiczne - Dz. U. z 2014 r., poz. 1114
(dalej: ustawa o informatyzacji), dotyczącego przeprowadzania kontroli
działania systemów teleinformatycznych, używanych do realizacji zadań
publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2
ustawy o informatyzacji”. Ustandaryzowanie kryteriów oceny umożliwirównież analizę porównawczą wyników kontroli pomiędzy podmiotamipublicznymi oraz zbudowanie bazy wiedzy dla organizacji w zakresieokresowej oceny spełniania zgodności z wymogami stawianymi przezKRI.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III. ZASADY PROWADZENIA KONTROLI1. Cel kontroliCelem kontroli jest dokonanie oceny działania systemówteleinformatycznych pod względem zgodności z minimalnymiwymaganiami dla systemów teleinformatycznych lubrejestrów publicznych i wymiany informacji w postacielektronicznej oraz przestrzegania wymagań zawartychw Krajowych Ramach Interoperacyjności.2. Tryb kontroliKontrola powinna być przeprowadzona w trybie określonymustawą o kontroli oraz zgodnie ze Standardami kontroli w
administracji rządowej.
2016-04-25
12
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
3. Zespół kontrolnyZgodnie z wytycznymi w celu zapewnienia wysokiej jakości kontroliktóra wymaga specjalistycznej wiedzy, zaleca się powołaniezespołu kontrolnego którego członkiem może być „pracownik
posiadający wiedzę i doświadczenie w zakresie szeroko
rozumianego bezpieczeństwa informacji (np. pracownika pionu IT)”
Zgodnie ze standardami prowadzenia audytu osoby wykonujące
prace w obszarze podlegającym audytowi nie powinny go
audytować. Regulacje wewnętrzne wynikające z ładu
korporacyjnego mówią nawet o dwu letnim okresie karencji.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
4. Obszary kontroliKontrola powinna objąć następujące główne obszary:�Wymianę informacji w postaci elektronicznej, w tym
współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną.
�Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych.
�Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych.
2016-04-25
13
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
5. Przygotowanie kontroliW celu przygotowania kontroli zaleca się pozyskanie: � Dokumentów ustanawiających SZBI - polityki, instrukcje, procedury;� Dokumentacji analizy ryzyka związanego z BI;� Dokumentacji przeglądów SZBI;� Dokumentacji audytów wewnętrznych SZBI.� Dokumentacji systemu zarządzania jakością usług świadczonych przez
system teleinformatyczny.Ponadto od kierownika jednostki kontrolowanej należy uzyskać informacje za pomocą:Ankiety – wg załączonego wzoru nr 1;Zestawiania – systemów teleinformatycznych używanych do realizacji zadań publicznych wg załączonego wzoru nr 2.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
2016-04-25
14
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
DLACZEGO NIE POWSTAŁOCENTRALNE
REPOZYTORIUM ???
2016-04-25
15
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
6. Techniki kontroliZaleca się przeprowadzanie kontroli stosując dwie następujące techniki:� Zza biurka - analiza zebranej dokumentacji i informacji z
ankiety i wykazu;� Na miejscu - kontrola wspomagana listą kontrolną, w tym
m.in. potwierdzenie informacji z ankiety.
Biorąc pod uwagę, że zgodnie z §286 Ustawy z dnia 27 sierpnia 2009 r.o finansach publicznych audytorem wewnętrznym może być osoba któraposiada odpowiednie kompetencje poświadczone m.in. posiadaniemjednego z uznanych na całym świecie certyfikatu dotyczącego audytu,proponowanie etapu kontroli „zza biurka” jest co najmniej niefortunne
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
7. Kryteria kontroli oraz mierniki oceny
Kryterium oceny kontrolowanej działalności jest legalność, tj. zgodność z prawempowszechnie obowiązującym oraz regulacjami wewnętrznymi dotyczącymi SZBI.Ocenie podlegają niezależnie 3 główne obszary kontroli, tj. interoperacyjność,bezpieczeństwo informacji oraz dostosowanie dla osób niepełnosprawnych. Przyjęto 4-stopnioną skalę ocen:� ocenę pozytywną otrzyma jednostka kontrolowana, gdy w 3 obszarach kontroli uzyska
cząstkowe oceny pozytywne;� ocenę pozytywną z uchybieniami otrzyma jednostka kontrolowana, która uzyska choć
jedną cząstkową ocenę pozytywną z uchybieniami;� ocenę pozytywną z nieprawidłowościami otrzyma jednostka kontrolowana, gdy uzyska
choć jedną cząstkową ocenę pozytywną z nieprawidłowościami;� ocena negatywna zostanie przyznana wtedy, gdy będzie przewaga negatywnych ocen
cząstkowych.
2016-04-25
16
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Szkoda, że autorzy nie wykorzystali przyjętych standardów
dotyczących modeli dojrzałości wynikających np. z CMMI (ang.
Capability Maturity Model Integration) lub COBIT (ang. Control
Objectives for Information and related Technology).
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy:� nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono
jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);
� nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);
� nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki
2016-04-25
17
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy:� nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono
jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);
� nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);
� nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki
Z badania PTI: „ponad połowa (56%) ankietowanych
instytucji nie posiada żadnej procedury z zakresu
wdrażania, eksploatacji, testowania i wycofywania
aktywów”.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:� nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania
Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli);
� nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);
� nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli);
� nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);
� nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli);
2016-04-25
18
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:� nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
� nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);
� nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);
� nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:� nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
� nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);
� nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);
� nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).
Z badania PTI: „Ponad połowa (53,69%) respondentów
zadeklarowała prowadzenie rejestru incydentów, jednakże
134 pozostają puste, gdyż nie zarejestrowano w nim żadnego
incydentu.” PTI „Stan wdrożenia wybranych wymagań …
2016-04-25
19
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
(…) pozytywną ocenę BI może uzyskać system posiadający małozabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnieprzeprowadzonej analizy ryzyka (np.: system jednostanowiskowyprzetwarzający dane powszechnie dostępne). Jednocześnie ocenęnegatywną może uzyskać system posiadający znaczną liczbęzabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość ijakość) został zastosowany przypadkowo, bez potwierdzenia poprzezrzetelnie wykonaną analizę ryzyka i powstały w jej wyniku planpostępowania z ryzykiem. W takiej sytuacji jednostka nie zarządzawłaściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dlapewnych ryzyk może posiadać nadmierne, niczym nieuzasadnionezabezpieczenia, natomiast dla innych całkowity ich brak.
Jest RYZYKO
Jest ZABAWAIII Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
PN-ISO/IEC 27005:2014-01 - wersja polska
PN-ISO 31000:2012 - wersja polska
COBIT 5 for Risk Polski (Polish)
2016-04-25
20
Jest RYZYKO
Jest ZABAWAIII Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
„COBIT 5 for Risk” dostępny również w języku polskim http://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx
Ponad 2 000 przykładowych scenariuszy ryzyka
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Czy wasz dział IT
świadczy usługi IT na ustalonym poziomie OLA/SLA ?
2016-04-25
21
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Czy wasz dział IT
świadczy usługi IT na ustalonym poziomie OLA/SLA ?
świadomie i udokumentowanie zarządza ryzykiem ?
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
źródło: http://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx
2016-04-25
22
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
PTI: „Stan wdrożenia wybranych wymagań Krajowych Ram Interoperacyjności w serwisach samorządowych” obejmujący ok 400 urzędów
Niewiele instytucji opracowało analizę ryzyka. Z deklaracji wynika, że zrobiły to81 jednostki (23,89%).
Znamiennym jest, że respondenci nie umieli ustalić bądź nie znali nazw użytych metodyk. Wymieniali następującenazwy, których większość, oznaczonych kolorem czerwonym, nie jest nazwami metodyk analizy ryzyka:• burza mózgów (Starostwo Powiatowe w W…),• FMEA,• Prince 2 (Starostwo Powiatowe w S…),• arytmetyczna (Starostwo Powiatowe w K…),• CMMI for Services v. 1.3,• PMI (Urząd Gminy N…),• CRAMM,• delficka (Urząd Miasta Bydgoszcz),• indukcyjna (Urząd Miasta i Gminy T…, Urząd Gminy w L…),• MEHARI,• ręczna (Urząd Miejski w Łomży).
http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Ocena negatywna w obszarze nr 3 (dostosowanie dla osób niepełnosprawnych) może zostać przyznana w szczególności, gdy:� nie zapewniono spełnienia przez system wymagań Web Content Accessibility
Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr 4 do rozporządzenia (§ 19 rozporządzenia; pkt 3 tematyki kontroli).
http://wcag.pti.org.pl/
Od 15 października 2012 roku wytyczne WCAG w wersji 2.0 zyskały status międzynarodowej normy ISO/IEC 40500:2012.
2016-04-25
23
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
8. Znaczenie Polskich Norm
Najbardziej zaskakujący jest punkt wytycznych dotyczący Polskich Norm.Interpretacja prawna zaprezentowana przez autorów wytycznych w konkluzji nieuznaje stosowania Polskich Norm, jako dokumentów obligatoryjnych ??? Z badaniaPTI wynika, że zdecydowana większość instytucji tj. 309, co stanowi ponad 91%badanych, nie posiada ani jednej normy (!).
Polski Komitet Normalizacyjny jest jednostką publiczną, tak więc przepływypieniężne pomiędzy instytucjami publicznymi a PKN realizuje się w ramach jednegobudżetu Państwa.
Być może Ministerstwo Cyfryzacji powinno podjąć działania w celu zmiany modeluwspółpracy PKN z instytucjami publicznymi. Warto tu przywołać przykład ITIL (ang.Information Technology Infrastructure Library) - kodeks postępowania dla działówinformatyk – który został opracowany na zlecenie brytyjskiej administracji rządowej istał się standardem zarządzania działów IT w korporacjach na całym świecie.
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
IV. TEMATYKA I OBSZARY KONTROLI 151. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną 151.1. Usługi elektroniczne 151.2. Centralne repozytorium wzorów dokumentów elektronicznych 161.3. Model usługowy 171.4. Współpraca systemów teleinformatycznych z innymi systemami 171.5. Obieg dokumentów w podmiocie publicznym 181.6. Formaty danych udostępniane przez systemy teleinformatyczne 19
2016-04-25
24
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
https://www.nik.gov.pl/plik/id,10420,vp,12749.pdf
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
2.1. Dokumenty z zakresu bezpieczeństwa informacji 202.2. Analiza zagrożeń związanych z przetwarzaniem informacji 222.3. Inwentaryzacja sprzętu i oprogramowania informatycznego
232.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych 242.5. Szkolenia pracowników zaangażowanych w proces przetwarzania informacji 252.6. Praca na odległość i mobilne przetwarzanie danych 252.7. Serwis sprzętu informatycznego i oprogramowania 262.8. Procedury zgłaszania incydentów naruszenia BI 262.9. Audyt wewnętrzny z zakresu bezpieczeństwa informacji 272.10. Kopie zapasowe 272.11. Projektowanie, wdrażanie i eksploatacja systemów teleinformatycznych
282.12. Zabezpieczenia techniczno-organizacyjne dostępu do informacji 292.13. Zabezpieczenia techniczno-organizacyjne systemów informatycznych 312.14. Rozliczalność działań w systemach informatycznych 32
2016-04-25
25
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
A gdzie miejsce narekomendacje,
działania korygującei mitygujące ryzyka ???
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeń
�„Shadow IT” – nieautoryzowane IT w organizacji
� Cloud Computing
� outsourcing IT
� „łańcuchy podwykonawców”
� Ryzyko utraty poufności
� Ryzyko utraty reputacji
� Ryzyko utraty dostępności
2016-04-25
26
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
IP serwera pocztowego REV serwera pocztowego Outsourcer
91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.
77.55.38.239 abm239.rev.netart.pl nazwa.pl sp. z.o.o
93.157.100.76 s48-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.
91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.
91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.
93.157.99.126 mail29-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.
85.128.222.209 ann209.rev.netart.pl nazwa.pl sp. z.o.o
85.128.155.237 aky237.rev.netart.pl nazwa.pl sp. z.o.o
93.157.100.76 s48-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.
79.96.156.226 cloudserver090650.home.net.pl home.pl S.A.
85.128.245.90 aok90.rev.netart.pl nazwa.pl sp. z.o.o
91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.
89.25.214.162 host8925214162.*.3s.pl 3S S.A.
89.161.135.46 cloudserver022144.home.net.pl home.pl S.A.
91.211.221.206 gabriel-221-206.trustnet.pl Trustnet Babicz Agnieszka
91.211.221.207 gabriel-221-207.trustnet.pl Trustnet Babicz Agnieszka
194.110.77.143 koral.iplus.com.p INTERNET PLUS s.c.
89.146.221.150 mail4.lh.pl LH.PL SP. Z O.O.
Analiza rekordów MX - firm świadczących usługi dla podmiotów z domeny *.gov.pl - źródło opracowanie własne
Jak w warunkach administracji publicznej zapewnić możliwość audytu u jednej z powyższych firm, którazachwalając bezpieczeństwo swoich usług reklamuje na swojej stronie: „Firma dysponuje dwoma szafami 42Uznajdującymi się w jednym z najnowocześniejszych Data Center w Europie (Niemcy)”
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeń
�monitoring IP (shodan.io)� w październiku 2015 r. eksperci odnotowali ogromną liczbę
żądań HTTP (do 20 000 żądań na sekundę) pochodzącychz kamer telewizji przemysłowej. Badacze zidentyfikowaliokoło 900 kamer na świecie, które tworzyły botnetwykorzystywany do ataków DDoS.http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence_dla_iv_kwartalu_2015_roku.html
� Ryzyko utraty poufności
� Ryzyko utraty reputacji
� Ryzyko utraty dostępności
2016-04-25
27
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeń
�Malware� Od 8 lat liczba
malware wzrasta
o 100%
� 0-day
� skuteczność AVhttps://www.av-test.org/en/statistics/malware/
� Ryzyko utraty poufności
� Ryzyko utraty reputacji
� Ryzyko utraty dostępności
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeń
�Malvertising
� http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i-zaserwowal-zlosliwa-reklame-54144
� http://sekurak.pl/popularne-serwisy-internetowe-infekowaly-wirusami-ransomware/
msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.
� Ryzyko utraty poufności
� Ryzyko utraty reputacji
� Ryzyko utraty dostępności
2016-04-25
28
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeń
�Phishing - > APT
� Jak chronić „najwyższe kierownictwo” ?
� Jak ocenić szkolenia z zakresu bezpieczeństwa ?
� Ryzyko utraty poufności
� Ryzyko utraty reputacji
� Ryzyko utraty dostępności
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
nowe / stare wyzwania w dobie współczesnych zagrożeń
�BYOD
�Internet of Things
� ???
� Ryzyko utraty poufności
� Ryzyko utraty reputacji
� Ryzyko utraty dostępności
2016-04-25
29
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Podsumowując
Publikacja przez Ministerstwo Cyfryzacji „Wytycznych dla kontroli działania
systemów teleinformatycznych używanych do realizacji zadań publicznych” tokrok w dobrym kierunku. Jednak w obliczu współczesnych zagrożeń to dopiero„pierwszy krok w podróży” której celem jest zapewnienie bezpieczeństwasystemów informacyjnych przetwarzających dane (niejednokrotnie wrażliwe) naswszystkich. Współczesne wyzwania w zakresie bezpieczeństwa wymagają jednakw wiele więcej, m.in. koncentracji zespołów odpowiedzialnych za bezpieczeństwo(np. jeden centralny zespół odpowiedzialny za bezpieczeństwo systemówteleinformatycznych podmiotów publicznych całej gminy), budowywyspecjalizowanych zespołów zarządzających incydentami CSIRT (ang. ComputerSecurity Incident Response Team) czy tworzenia Operacyjnych CentrówBezpieczeństwa SOC (ang. Security Operations Center).
III Forum IT dla Kierowników w Administracji - Zakopane 20-22.04.2016
Dziękuje za uwagę
isaca.katowice.pl