obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji

[j]

czy jest obowiązek przeprowadzić zadania audytowe wskazane przez KOmitet Audytu

[kules]

No to jak ostatecznie, wpisujecie bezpieczeństwo informacji do planu na 2013, czy nie?
W analizie dla jednej z moich dwóch jednostek ten obszar sam wyszedł na nowy rok, ale w drugiej nie wychodzi i kusi mnie żeby go nie wpisywać, tak jak ustawa o finansach mi nakazuje, bądź co bądź ważniejsza niż sugestia MF na stronce i jakieś chyba nieprzemyślane rozporządzenie informatyczne.

[dorotab]

Również wciąż się zastanawiam. Ponadto, audyt należy prowadzić zgodnie z normą ISO, tym samym czy nie powinien go przeprowadzić certyfikowany audytor (zgodnie z rozporządzeniem)?
Mam również pytanie. Jaki systemy teleinformatyczne funkcjonują w starostwach lub jednostkach organizacyjnych powiatu? Mam bowiem problem z ich identyfikacją. Nie liczę ewidencji kierowców i pojazdów czy też SIO. Na ich systemy bezpieczeństwa nie mamy bowiem zbyt wielkiego wpływu.

[adela]

Nie zawracam sobie tym głowy. Audyty według planu po przeprowadzonej analizie ryzyka. I wszystko. Poza planem, jak z szefem coś uzgodnię.

[kules]

[QUOTE BY= DorotaB]
Mam również pytanie. Jaki systemy teleinformatyczne funkcjonują w starostwach lub jednostkach organizacyjnych powiatu? Mam bowiem problem z ich identyfikacją. Nie liczę ewidencji kierowców i pojazdów czy też SIO. Na ich systemy bezpieczeństwa nie mamy bowiem zbyt wielkiego wpływu.[/QUOTE]

Ano dla przykładu systemy elektronicznego obiegu dokumentów (np. DocFlow), systemy ewidencji geodezyjnej (np. Ewid) itp., zależy co kto sobie wdrożył

[dorotab]

Zgadzam się, że są to systemu informtyczne, ale informatycy twierdzą, iż w świetle ustawy o informatyzacji (…) za system teleinformatyczny należy uznać taki, z którego dane dostępne są bezpośrednio dla innych organów, a nie funkcjonujące wewnątrz jednostki tak jak np, elektroniczny obieg dokumentów.
Nie twierdzę, że nie należy badać bezpieczeństwa zawartych tam informacji, ale mam watpliwość czy akurat na podstawie wytycznych do ustawy o informatyzacji (…).

[meg]

W najczęściej zadawanych pytaniach jest wyjaśnienie kto jest zobowiązany do zapewnienia okresowego audytu. Wg tego wyjaśnienia audytor wewnętrzny obligatoryjnie corocznie powinien objąć ten obszar audytem niezależnie od wyników analizy ryzyka , chyba , że są spełnione warunki określone w par. 20 ust. 3 rozporządzenia.

Pozdrawiam

[kules]

Tekst MF w pytaniach, o którym piszesz meg, jest tym samym, który rozpoczął nasz wątek i nie odnosi się do uzasadnionych wątpliwości nas nurtujących. Nie mieli gdzie go przypiąć z aktualności to wrzucili w pytania.

[kules]

[QUOTE BY= DorotaB] Zgadzam się, że są to systemu informtyczne, ale informatycy twierdzą, iż w świetle ustawy o informatyzacji (…) za system teleinformatyczny należy uznać taki, z którego dane dostępne są bezpośrednio dla innych organów, a nie funkcjonujące wewnątrz jednostki tak jak np, elektroniczny obieg dokumentów.
[/QUOTE]

Ewid u nas jest dostępny dla innych organów bezpośrednio. Obieg dokumentów już nie, więc jeśli twoi informatycy mają rację to u nas do badania byłaby tylko ewidencja geodezyjna ewentualnie, bo chyba SIO i to co jest w Komunikacji to nie jest „nasze”.

[dorotab]

Witam.
Do prowadzonej u nas ewidencji gruntow i budynków inne organy (gmin) nie mają bezpośredniego dostępu. Na wniosek wydajemy im aktualne bazy, które oni wgrywają w swój system, który jest identyczny jak u nas.
SIO i systemy komunikacyjne są faktycznie nie „nasze” i uważam, że nie nam badać system ich bezpieczeństwa. Tak więc wątpliwość pozostaje nadal a czasu już niewiele.

[tomeks]

Witam

Próbuję ruszyć ten temat. Pomijając fakt, że nie do końca podoba mi się pomysł prowadzenia takiego audytu szczególnie, że w drodze Rozporządzenia określono krąg osób (certyfikaty), które mogą dokonać kontroli w zasadzie w tym samym zakresie. No, ale cóż.

Pierwszy zgrzyt – co należy uznać za system teleinformatyczny?
Zgodnie z ustawą o świadczeniu usług drogą elektroniczną (art. 2 ust. 3) jest to:
zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne.

Telekomunikacyjne urządzenie końcowe natomiast to – urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (art. 2 pkt 43 ustawy prawo telekomunikacyjne).

Zakończenie sieci – fizyczny punkt, w którym abonent otrzymuje dostęp do publicznej sieci telekomunikacyjnej; w przypadku sieci stosujących komutację lub przekierowywanie, zakończenie sieci identyfikuje się za pomocą konkretnego adresu sieciowego, który może być przypisany do numeru lub nazwy abonenta (art. 2 pkt 52 ustawy prawo telekomunikacyjne).

Uff… ja to rozumiem tak, że system informatyczny posiadający wyjście „na zewnątrz” do sieci ogólnodostępnej, który wysyła i odbiera poprzez nią dane jest systemem teleinformatycznym. To teraz moje pytanie, czy PŁATNIKa też należy traktować jako system teleinformatyczny?
Ja pracuję akurat w szpitalu, w którym wdrożono system informatyczny, z którego korzystają lekarze prowadząc dokumentację medyczną, na podstawie którego przygotowywane są raporty wysyłane do NFZ. Poz tym lekarze mogą łączyć się z tym systemem od siebie z domu (oczywiście muszą posiadać stosowne uprawnienia, a połączenia są szyfrowane). Rozumiem, że ten system spełnia przesłanki systemu teleinformatycznego. Proszę o wyprowadzenie mnie z błędu.

Druga kwestia to standardy 27001, 17799, 27005, 24762. Opierając się na piśmie DA nie rozumiem, czy te standardy mam bezwzględnie brać pod uwagę, wyrywkowo, czy w ogóle się nimi nie przejmować? Skoro mam prowadzić audyt bezpieczeństwa, bo organizacja nie wdrożyła u siebie tych standardów, to w jakim celu miałbym wziąć je jako kryteria oceny? Czy nie jest tak, że wzięcie pod uwagę tych standardów doprowadzi do wydania zaleceń zmierzających do stworzenia systemu zarządzania bezpieczeństwem informacji zgodnego z tymi standardami – co w zasadzie może doprowadzić do wykluczenia przeprowadzenia co roku audytu bezpieczeństwa informacji? Albo jestem przemęczony, albo widzę tu jakiś jeden wielki absurd. No i kwestia skąd wziąć te standardy?
Proszę o jakąś merytoryczną pomoc 🙄
Dobranoc 😯

[jaga1]

Czyli rozumiem, że obowiązek wynikający z nowego rozporządzenia będzie spełniony, jeśli przeprowadzę zadanie doradcze, tak? Czy musi to być zadanie zapewniające? 😯

[tomeks]

Najprawdopodobniej nasze obawy co do kwestii kto ma przeprowadzić audyt w zakresie bezpieczeństwa informacji pojawiły się również w Ministerstwie Finansów. Szkoda, że dopiero teraz zagadnienie to zostanie poddane dokładniejszej analizie.
Ja już w zasadzie jestem po. Zadanie miało charakter zarówno czynności zapewniającej jak i doradczej 😐

[andrzejm]

Tomek S Jeżeli przeprowadziłeś już zadanie w tej kwestii to podziel się garścią uwag, dotyczących przeprowadzenia powyższego zadania. Nie jestem informatykiem i trudno mi zawnioskować na czym się konkretnie skoncentrować. Pewnie że można przeprowadzić zadanie opierając się tylko na aktach prawnych ale chodzi o to że mato dać coś konkretnego i praktycznego jednostce a nie tylko i wyłącznie skoncentrować się na przepisach. Pozdrawiam. ( wziaudytormil na wp).

[wojak]

[Autor]

Wpisy