Industrial regulations deployments

Industrial regulations deployments

Wdrażanie regulacji branżowych – w zależności od specyfiki i branży organizacji w procesie tworzenia zasad bezpieczeństwa informacji brane są pod uwagę i wdrażane rozmaite regulacje i rekomendacje, dobre praktyki, a także wymaganie specyficzne dla konkretnych branż, Oprócz typowych wymogów prawnych związanych z ochroną danych osobowych (m.in. RODO, Ustawa o Ochronie Danych  Osobowych), często wdrażane są normy serii ISO2700x, ISO20000, lub wybrane rekomendacje KNF, COBIT5 i inne. Pomagamy w przygotowaniu dokumentacji organizacyjnej i technicznej potrzebnej do wdrożenia i etapu certyfikacji systemu.

Korzyści

  • wdrażanie regulacji branżowych w zakresie bezpieczeństwa jest jest elementem kompleksowej oferty, w zakresie usług oferujemy również dobór i dostarczenie odpowiednich rozwiązań technicznych oraz indywidualne szkolenia w ramach linii IMNS Systems, IMNS Akademia
  • wdrażanie regulacji kończymy zindywidualizową dokumentacją wdrożeniową przygotowaną pod audyty certyfikacyjne na zgodność z regulacjami
  • w ramach projektów korzystamy z własnej, wypracowanej przez lata metodyki praca oraz posiadam system jakości usług, jak również rozwiązania techniczne od sprawdzonych, renomowanych partnerów, liderów w zakresie bezpieczeństwa
  • oferujemy elastyczne podejście do potrzeb klientów działających w różnych branżach oraz zindywidualizowane szkolenia

Jest normą międzynarodową standaryzującą systemy zarządzania bezpieczeństwem informacji (SZBI). Została ogłoszona w październiku 2005, a jej pierwowzorem był wydany przez BSI brytyjski standard BS 7799-2. W Polsce normę ISO/IEC 27001 opublikowano w styczniu 2007.

Podstawą normy jest ocena ryzyka związanego z bezpieczeństwem informacji oraz, na jej podstawie, implementacja odpowiednich mechanizmów nadzoru i zarządzania niezbędnego do zachowania podstawowych atrybutów bezpieczeństwa informacji, jakimi są: poufność, integralność oraz dostępność danych.

Norma jest usystematyzowanym zbiorem wymagań/rekomendacji, obejmującym swoim zakresem takie zagadnienia jak: tworzenie strategii i polityki bezpieczeństwa informacji, identyfikacja, analiza i zarządzanie ryzykami wystąpienia zagrożeń, poprzez wdrażanie i zarządzanie zabezpieczeniami chroniącymi przed tymi zagrożeniami, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądów kierownictwa.

W normie przyjęto podejście procesowe: model PDCA (Plan-Do-Check-Act). Model ten stosowany jest do całej struktury procesów SZBI, tzn.: ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu.

W normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji. W ramach tych obszarów zdefiniowano cele, jakie ma realizować sprawny system zarządzania bezpieczeństwem informacji (SZBI) oraz zabezpieczenia (w postaci wytycznych) niezbędne do realizacji tych celów.

Obszary, mające wpływ na bezpieczeństwo informacji wg. normy ISO/IEC 27001:

  1. Polityka bezpieczeństwa
  2. Organizacja bezpieczeństwa informacji
  3. Zarządzanie aktywami
  4. Bezpieczeństwo zasobów ludzkich
  5. Bezpieczeństwo fizyczne i środowiskowe
  6. Zarządzanie systemami i sieciami
  7. Kontrola dostępu
  8. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych
  9. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
  10. Zarządzanie ciągłością działania
  11. Zgodność z wymaganiami prawnymi i wprowadzonymi standardami

Warto zauważyć, że norma wskazuje, iż określone w niej cele stosowania zabezpieczeń i same zabezpieczenia nie są wyczerpujące i  organizacja może, w zależności od potrzeby,  rozważyć wyznaczenie nowych celów i zabezpieczeń.

IMNS Consulting oferuje: wsparcie przy wdrożeniu systemu zarządzania bezpieczeństwem informacji wg. normy oraz audyty zgodności z normą ISO 27001. W sprawie szczegółów prosimy o kontakt.

To działania (proces)  mające na celu administracyjno-prawną ochronę prawa do prywatności, realizowane zgodnie z regulacjami prawnymi określającymi zasady tworzenia i posługiwania się zbiorami danych osobowych, a także pojedynczymi danymi.

Podstawowe, obowiązujące akty prawne,  który określające zasady ochrony danych osobowych w Polsce:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 z późń. zm.). UWAGA: jest już nowy projekt tej ustawy, która będzie zaktualizowana do maja 2018 roku
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923).
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536).
  • Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października 2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2011 r. Nr 225, poz. 1350).

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określa:

  • zasady przetwarzania danych osobowych osób fizycznych
  • prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych
  • organy ochrony danych osobowych
  • kompetencje Generalnego Inspektora Ochrony Danych Osobowych
  • zasady zabezpieczania danych osobowych
  • zasady rejestracji zbiorów danych osobowych
  • zasady przekazywania danych osobowych do państwa trzeciego

IMNS Consulting oferuje: wsparcie przy wdrożeniu Polityki Ochrony Danych Osobowych w organizacji oraz doradztwo w tym zakresie. W sprawie szczegółów prosimy o kontakt.

Jest międzynarodową normą określającą wymagania dla ustanowienia i zarządzania systemem zarządzania ciągłością biznesu (BCMS) w każdej organizacji, niezależnie od rozmiaru i rodzaju prowadzonej działalności.

Norma ISO 22301 zastępuje brytyjską normę BS 25999-2, która do tej pory była wzorcem w tym obszarze zarządzania  i zdobyła sobie uznanie na całym świecie.

Na ciągłość biznesu zwracana jest coraz większa uwaga ponieważ od ciągłości świadczonych przez organizacje usług zależy nasz komfort życia, a w wielu przypadkach i jego bezpieczeństwo. Norma ISO 22301 daje organizacjom dostęp do wymagań, które pozwolą na przygotowanie się do incydentów mogących uniemożliwiać osiągnięcie celów biznesowych.

Norma może być wzorcem pomocnym przy ocenie:
– zdolności organizacji do spełnienia własnych potrzeb i obowiązków wobec klientów, związanych z ciągłością prowadzonego biznesu,
– aktualnego poziomu ustanowienia i wdrożenia polityki zarządzania ciągłością biznesu.

W zależności od potrzeb i dojrzałości zarządzania organizacji, normę można traktować jako zbiór wskazówek w zakresie dobrych praktyk z zarządzania ciągłością działania.

ISO 22301 pomaga w zrozumieniu i doskonaleniu organizacji w zakresie:

  • zrozumienia jej potrzeb i zobowiązań względem klientów i innych interesariuszy,
  • identyfikacji kluczowych czynników ryzyka, które wpływają na skuteczność i ciągłość działania organizacji,
  • planowania, ustanowienia, wdrożenia i utrzymania systemu zarządzania ciągłością biznesu,
  • mierzenia ogólnej zdolności organizacji do zarządzania incydentami,
  • zagwarantowania zgodności z dobrymi praktykami z zakresu polityki ciągłości biznesowej.

Występowanie incydentów zagrażających ciągłości działania krytycznych procesów w organizacji jest nieakceptowalne i należy zrobić wszystko, aby im zapobiec. Jeśli mimo wszystko takie incydenty wystąpią, organizacja musi być przygotowana do sprawnego i szybkiego odtworzenia krytycznych procesów, a tym samym najważniejszych usług świadczonych swoim klientom.

Wdrożenie systemu zarządzania ciągłością działania, bazującego na wymaganiach zawartych w normie ISO 22301, może być pomocne w ustanowieniu najlepszego podejścia do zarządzania ciągłością biznesu.

To międzynarodowy standard zarządzania usługami w IT, opracowany przez Międzynarodową Organizację Normalizacyjną.

Na standard składają się dwa dokumenty:

  • ISO/IEC 20000-1:2011 – International Standard – Information Technology – Service Management – Part 1: Service management system requirements
  • ISO/IEC 20000-2:2005 – International Standard – Information Technology – Service Management – Part 2: Code of practice.

Polska  wersja opublikowana została w 2007 roku i została zwarta w dokumentach jak poniżej:

  • PN-ISO/IEC 20000-1: 2007 – Technika informatyczna – Zarządzanie usługami – Część 1: Specyfikacja
  • PN-ISO/IEC 20000-2: 2007 – Technika informatyczna – Zarządzanie usługami – Część 2: Reguły postępowania.

Część pierwsza zawiera specyfikację wymagań, na podstawie których firmy mogą się certyfikować i uzyskać potwierdzenie zgodności z normą. Niespełnienie któregokolwiek z wymagań może oznaczać, że firma nie uzyska certyfikatu.
Część 2 stanowi rozszerzenie wymagań z części pierwszej o pewne rekomendacje, bazujące na modelu Information Technology Infrastructure Library, elementach Microsoft Operations Framework i COBIT.

REKOMENDACJA D Komisji Nadzoru Finansowego dotyczy zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.

Komisja Nadzoru Finansowego sprawuje nadzór nad sektorem bankowym, rynkiem kapitałowym, ubezpieczeniowym, emerytalnym, nadzór nad instytucjami płatniczymi i biurami usług płatniczych, instytucjami pieniądza elektronicznego oraz nad sektorem kas spółdzielczych.
Celem nadzoru nad rynkiem finansowym jest zapewnienie prawidłowego funkcjonowania tego rynku, jego stabilności, bezpieczeństwa oraz przejrzystości, zaufania do rynku finansowego, a także zapewnienie ochrony interesów uczestników tego rynku. Więcej na stronie www.knf.gov.pl.

Sformułowanie “rekomendacja” może sugerować, że Rekomendacje wydawane przez KNF są jedynie zaleceniami, a stosowanie się do nich jest dobrowolne. Rekomendacje są zestawem wymagań obowiązujących instytucje finansowe, a niestosowanie się do nich może skutkować różnymi sankcjami ze strony KNF.

REKOMENDACJA D KNF to zestaw wymagań jakie powinny spełniać banki, aby zarządzać IT z uwzględnieniem obowiązujących standardów bezpieczeństwa. Zarządzanie ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym, zostało podzielone w rekomendacji na cztery ogólne zagadnienia:

  • Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
  • Rozwój środowiska teleinformatycznego,
  • Utrzymanie i eksploatacja środowiska teleinformatycznego
  • Zarządzanie bezpieczeństwem środowiska teleinformatycznego

Rekomendacja ta zawiera w swojej treści zalecenia Bazylejskiego Komitetu ds. Nadzoru Bankowego dotyczące zasad zarządzania ryzykiem w bankowości elektronicznej.

IMNS Consulting oferuje: audyty zgodności z Rekomendacją D, szkolenia i konsultacje w tym zakresie. W sprawie szczegółów prosimy o kontakt.