Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Transkrypt

1 Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny

2 Audyt wewnętrzny

3 Definicja audytu wewnętrznego o o Art Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. 2. Ocena, o której mowa w ust. 1, dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej w dziale administracji rządowej lub jednostce.

4 Definicja kontroli zarządczej Art Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. 2. Celem kontroli zarządczej jest zapewnienie w szczególności: 1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi; 2) skuteczności i efektywności działania; 3) wiarygodności sprawozdań; 4) ochrony zasobów; 5) przestrzegania i promowania zasad etycznego postępowania; 6) efektywności i skuteczności przepływu informacji; 7) zarządzania ryzykiem.

5 Obowiązek prowadzenia audytu o o Art Audyt wewnętrzny prowadzi się w jednostkach samorządu terytorialnego, jeżeli ujęta w uchwale budżetowej jednostki samorządu terytorialnego kwota dochodów i przychodów lub kwota wydatków i rozchodów przekroczyła wysokość tys. zł. 4. Audyt wewnętrzny prowadzi się również w jednostkach sektora finansów publicznych, których kierownicy podejmą decyzję o prowadzeniu audytu wewnętrznego.

6 Obowiązek prowadzenia audytu o o Art Audyt wewnętrzny prowadzi: 1) audytor wewnętrzny zatrudniony w jednostce albo 2) usługodawca niezatrudniony w jednostce, zwany dalej usługodawcą. Art W jednostkach samorządu terytorialnego audyt wewnętrzny może być prowadzony przez usługodawcę, jeżeli ujęta w uchwale budżetowej jednostki samorządu terytorialnego kwota dochodów i przychodów oraz kwota wydatków i rozchodów jest niższa niż tys. zł.

7 Obowiązek prowadzenia audytu o Art W jednostce samorządu terytorialnego zadania przypisane kierownikowi jednostki związane z audytem wewnętrznym wykonują odpowiednio: wójt, burmistrz, prezydent miasta, przewodniczący zarządu jednostki samorządu terytorialnego.

8 Audyt własnymi słowami o ŚWIADOMOŚĆ o SPRAWCZOŚĆ o DYSTANS

9 Po co mi audytor? o o o o o Ocena działalności jednostki (zadania zapewniające). Czynności doradcze (projekty procedur wewnętrznych, projektowanie systemów). Szkolenia (audyt wewnętrzny, kontrola zarządcza, zarządzanie ryzykiem, motywacja, zarządzanie czasem). Udział w zespołach. Głos doradczy podczas narad.

10 Audyt procesu zarządzania bezpieczeństwem informacji

11 Przepisy o Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. (Dz.U. z 2012 r., poz. 526) w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

12 Audyt w zakresie bezpieczeństwa informacji o Zgodnie z 20 ust. 1 Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

13 Audyt w zakresie bezpieczeństwa informacji o Zgodnie z 20 ust. 2 pkt 14 Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

14 Audyt w zakresie bezpieczeństwa informacji o Zgodnie z 20 ust. 2 Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

15 Audyt w zakresie bezpieczeństwa informacji 3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

16 Audyt w zakresie bezpieczeństwa informacji 5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;

17 Audyt w zakresie bezpieczeństwa informacji 7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

18 Audyt w zakresie bezpieczeństwa informacji 9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

19 Audyt w zakresie bezpieczeństwa informacji 12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych,

20 Audyt w zakresie bezpieczeństwa informacji f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;

21 Audyt w zakresie bezpieczeństwa informacji 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

22 Audyty w zakresie bezpieczeństwa informacji w W-MUW o Czynności doradcze w zakresie dostosowania /aktualizacji procedur wewnętrznych dotyczących bezpieczeństwa informacji obowiązujących w Urzędzie do wymagań wynikających z przepisów prawa.

23 Audyty w zakresie bezpieczeństwa informacji w W-MUW o Ocena procesu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych w Warmińsko-Mazurskim Urzędzie Wojewódzkim w Olsztynie. (obszar badania: nadawanie uprawnień).

24 Audyty w zakresie bezpieczeństwa informacji w W-MUW o Ocena procesu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych w Warmińsko-Mazurskim Urzędzie Wojewódzkim w Olsztynie. (obszar badania: przeprowadzanie analizy ryzyka).

25 Audyty w zakresie bezpieczeństwa informacji w W-MUW o Ocena procesu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych w Warmińsko-Mazurskim Urzędzie Wojewódzkim w Olsztynie (obszar badania: zgłaszanie incydentów naruszenia bezpieczeństwa).

26 Audyty w zakresie bezpieczeństwa informacji w W-MUW o Ocena procesu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych w zakresie inwentaryzacji sprzętu i oprogramowania.

27 Zalecenia o Zalecenie: Dokonanie przeglądu zadań/czynności realizowanych przez pracowników na stanowiskach pracy pod kątem udzielonych uprawnień dostępu do danych osobowych i w razie konieczności podjęcie działań zmierzających do wydania/zmiany/odwołania stosownych upoważnień/uprawnień dostępu do tych danych.

28 Zalecenia o Zalecenie: Zgodne z przepisami prawa opracowanie oraz uzupełnienie i uporządkowanie dokumentacji związanej z przetwarzaniem danych osobowych, w szczególności ewidencji osób upoważnionych do przetwarzania danych osobowych, wykazu zbiorów danych osobowych wraz ze wskazaniem programów/systemów zastosowanych do przetwarzania tych danych, rejestru danych osobowych przetwarzanych przez administratora danych.

29 Zalecenia o Zalecenie: Dokonanie przeglądu udzielonych pracownikom uprawnień dostępu do systemów teleinformatycznych w szczególności, w których przetwarzane są zbiory danych osobowych pod kątem faktycznego posiadania przez tych pracowników upoważnień/uprawnień dostępu do tych danych. Podjęcie stosownych działań w wyniku dokonania przeglądu.

30 Zalecenia o Zalecenie: Organizowanie cyklicznych szkoleń z zakresu bezpieczeństwa informacji/danych, w tym ochrony danych osobowych, w którym będą uczestniczyli wszyscy pracownicy Urzędu. W szkoleniu należy uwzględnić tematykę związaną z przetwarzaniem danych w systemach informatycznych/teleinformatycznych.

31 Dziękuję za uwagę Anna Słowińska audytor wewnętrzny