1624_BIO_ załącznik_Dokumentacja systemu zarządzania

Załącznik do Zarządzania Prezydenta Miasta
Kędzierzyn-Koźle Nr 1624/BIO/2013
z dnia 4 października 2013 r.
DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
URZĘDU MIASTA KĘDZIERZYN-KOŹLE
Spis treści
Deklaracja ................................................................................................................................................ 3
Definicje................................................................................................................................................... 4
Cele i strategie bezpieczeństwa Urzędu Miasta Kędzierzyn-Koźle.......................................................... 6
Struktura dokumentów Polityki Bezpieczeństwa Informacji .................................................................. 9
Sposób funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji regulują dokumenty: ...... 9
Odpowiedzialność za bezpieczeństwo informacji ................................................................................. 11
Główny Administrator Informacji (GAI)......................................................................................... 11
Główny Administrator Bezpieczeństwa Informacji (GABI) ............................................................ 11
Administratorzy Bezpieczeństwa Informacji (ABI) ........................................................................ 12
Administratorzy Informacji (AI) ..................................................................................................... 12
Administratorzy Systemów (AS) .................................................................................................... 13
Administratorzy Bezpieczeństwa Systemów (ABS) ....................................................................... 13
Informacje przetwarzane przez system informatyczny Urzędu ............................................................ 14
Infrastruktura systemu informacyjnego urzędu.................................................................................... 14
Opis Infrastruktury systemu informacyjnego urzędu ........................................................................... 14
Zarządzanie ryzykiem ............................................................................................................................ 14
Procedura zarządzania ryzykiem ....................................................................................................... 14
Analiza ryzyka .................................................................................................................................... 17
Identyfikowanie ryzyka.................................................................................................................. 17
Macierz Prawdopodobieństwo/wpływ ......................................................................................... 18
Rejestr ryzyk .................................................................................................................................. 19
Podsumowanie………………………………………………………………………………………………………………………....21
Deklaracja
Miarą skuteczności działania każdej jednostki organizacyjnej jest stopień osiągania
zamierzonego celu. Mając świadomość znaczenia technologii, narzędzi i systemów
informatycznych w tym procesie oświadczam, że podejmowane przez Urząd Miasta
Kędzierzyn-Koźle działania dążą do zapewnienia bezpieczeństwa zasobów informacyjnych i
są zgodne z wymogami obowiązującego prawa.
W celu udokumentowania realizacji Systemu Zarządzania Bezpieczeństwem Informacji
przyjmuję Politykę Bezpieczeństwa Informacji.
Zasady, działania, kompetencje i zakresy odpowiedzialności opisane w dokumentach Polityki
Bezpieczeństwa Informacji obowiązują wszystkich pracowników Urzędu Miasta KędzierzynKoźle.
Zobowiązuję się do podejmowania wszelkich niezbędnych działań zmierzających do ciągłego
doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji.
Prezydent Miasta
Kędzierzyn-Koźle
………………………….
Definicje
1) Bezpieczeństwo informacji- zachowanie poufności, integralności i dostępności
informacji.
2) Poufność- właściwość polegająca na tym, że informacja nie jest udostępniana lub
wyjawiana nieupoważnionym osobom, podmiotom lub procesom.
3) Integralność danych- funkcja bezpieczeństwa zapewniająca, że dane nie zostały
zmodyfikowane, dodane lub usunięte w nieautoryzowany sposób.
4) Dostępność- właściwość bycia dostępnym i użytecznym na żądanie upoważnionego
podmiotu.
5) Analiza ryzyka- systematycznie wykorzystanie informacji do zidentyfikowania źródeł i
oszacowania ryzyka.
6) Szacowanie ryzyka- proces oceny i analizy ryzyk.
7) Ocena ryzyka- proces porównania oszacowanego ryzyka z określonymi kryteriami w
celu określenia znaczenia ryzyka.
8) Postępowanie z ryzykiem- wdrażanie środków modyfikujących ryzyko.
9) Zarządzanie ryzykiem- działania dotyczące kierowania i nadzorowania organizacją w
odniesieniu do ryzyka.
10) Ryzyko szczątkowe- ryzyko pozostające po procesie postępowania z ryzykiem.
11) Akceptowanie ryzyka- decyzja aby zaakceptować ryzyko.
12) Bezpieczeństwo informacji- zachowanie poufności, integralności i dostępności
informacji; dodatkowo mogą być brane pod uwagę inne właściwości, takie jak
autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
13) Zdarzenie związane z bezpieczeństwem informacji- zdarzenie związane z
bezpieczeństwem informacji jako określonym stanem systemu, usługi lub sieci, który
wskazuje na możliwe naruszenie Polityki Bezpieczeństwa Informacji, błąd
zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z
bezpieczeństwem.
14) Incydent związany z bezpieczeństwem informacji- jest to pojedyncze zdarzenie lub
seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem
informacji, które stwarzają znaczne zakłócenia zadań biznesowych i zagrażają
bezpieczeństwu informacji.
15) System Zarządzania Bezpieczeństwem Informacji (SZBI)- to część całościowego
systemu zarządzania odnosząca się do ustanawiania, wdrażania, eksploatacji,
monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.
16) Aktywa- wszystko co ma wartość dla organizacji .
17) Dane osobowe- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
18) Urząd- rozumie się przez to jednostkę organizacyjną gminy tj. Urząd Miasta
Kędzierzyn-Koźle.
19) PBI- Polityka Bezpieczeństwa Informacji
Cele i strategie bezpieczeństwa Urzędu Miasta Kędzierzyn-Koźle
Władze miasta, stojąc na stanowisku, że informacja jest priorytetowym zasobem każdej
organizacji, wdrożyło System Zarządzania Bezpieczeństwem Informacji. Bezpieczeństwo
informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych
elementów Urzędu oraz warunkiem ciągłego jego rozwoju. Gwarancją sprawnej i skutecznej
ochrony informacji jest zapewnienie odpowiedniego poziomu bezpieczeństwa oraz
zastosowanie rozwiązań technicznych.
Władze miasta wprowadzając Politykę Bezpieczeństwa Informacji, deklarują że wdrożony
System Zarządzania Bezpieczeństwem Informacji będzie podlegał ciągłemu doskonaleniu
zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007.
Cele Urzędu Miasta w dziedzinie bezpieczeństwa informacji:
1) ochrona zasobów informacyjnych Urzędu i zapewnienie ciągłości działania
procesów,
2) ochrona wizerunku Urzędu Miasta,
3) zapewnienie zgodności z prawem podejmowanych działań,
4) uzyskanie i utrzymanie odpowiednio wysokiego poziomu bezpieczeństwa
zasobów Urzędu Miasta rozumiane jako zapewnienie poufności, integralności
i dostępności zasobów oraz zapewnienie rozliczalności podejmowanych
działań,
5) wyznaczenie ogólnych kierunków rozwoju systemu informacyjnego,
6) podnoszenie kultury informatycznej i tworzenie bezpiecznego społeczeństwa
informacyjnego.
Cele osiągane są przez realizowane strategie:
1) zapewnienie
wsparcia
Zarządzających
dla
Systemu
Zarządzania
Bezpieczeństwa Informacji,
2) właściwa organizacja Systemu Zarządzania Bezpieczeństwem Informacji,
3) zarządzanie ryzykiem w celu ograniczania go do akceptowanego poziomu,
4) właściwa ochrona informacji, a w szczególności informacji prawnie
chronionych,
5) zapewnienie odpowiedniego poziomu dostępności informacji i niezawodności
systemów informatycznych,
6) właściwa ochrona informacji związanych z zawartymi umowami,
7) wdrażanie i rozwój systemów informacyjnych z zachowaniem zasad
bezpieczeństwa,
8) eksploatowanie
systemów
informacyjnych
zgodnie
z
zasadami
bezpieczeństwa,
9) stała edukacja użytkowników systemu informacyjnego.
Polityka bezpieczeństwa odnosi się do sposobu przetwarzania danych osobowych oraz
środków ich ochrony określonych w:
1) ustawie z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101
poz. 926 z późniejszymi zmianami),
2) ustawie z dnia 18.09.2001r. o podpisie elektronicznym (Dz.U. nr 130 poz.1450 z
późniejszymi zmianami),
3) ustawie o świadczeniu usług drogą elektroniczną z dnia 18.07.2002r. (Dz.U.nr 144 poz
1204 z późniejszymi zmianami),
4) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 18.01.2007r. w
sprawie Biuletynu Informacji Publicznej (Dz.U. Nr 10, poz.68),
5) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 roku, Nr
100, poz. 1024),
6) rozporządzeniu Ministra Kultury z dnia 16.09.2002r. (Dz.U. w sprawie postępowania
z dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu
przekazywania materiałów archiwalnych do archiwów państwowych (Dz.U. nr 167,
poz.1375),
7) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 11.10.2005 r. w
sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. Nr 212,
poz. 1766),
8) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 30.10.2006r. w
sprawie niezbędnych elementów struktury dokumentów elektronicznych (Dz.U. Nr
206 poz. 1517),
9) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 30.10.2006r. w
sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi
(Dz.U. Nr 206 poz. 1518),
10) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 27.11.2006r. w
sprawie sporządzenia i doręczania pism w formie dokumentów elektronicznych
(Dz.U. nr 227 poz. 1664).
Struktura dokumentów Polityki Bezpieczeństwa Informacji
Sposób funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji
regulują dokumenty:
1. Polityka Bezpieczeństwa Danych Osobowych opisująca zasady przetwarzania
danych osobowych w Urzędzie Miasta Kędzierzyn-Koźle.
Polityka Bezpieczeństwa Danych Osobowych zawiera:
- wykaz budynków, pomieszczeń, tworzących obszar, w którym przetwarzane są dane
osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i
powiazania miedzy nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności,
integralności i rozliczalności przy przetwarzaniu danych.
2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych oraz postępowania w przypadku naruszenia ochrony danych
osobowych w Urzędzie Miasta Kędzierzyn-Koźle.
Instrukcja reguluje:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te
czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia, tj.
informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie
tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania
danych zawartych w zbiorach jawnych,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
3. Plan ochrony informacji niejawnych Urzędu Miasta oraz gminnych jednostek
organizacyjnych wchodzących w skład pionu Ochrony, określający:
- sposób postępowania z informacjami niejawnymi,
- strukturę organizacyjną pionu ochrony,
- zasady ewakuacji dokumentów niejawnych,
- postępowanie w przypadku naruszenia ochrony informacji niejawnych.
Odpowiedzialność za bezpieczeństwo informacji
Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik Urzędu. W
szczególności odpowiada on za przestrzeganie zasad wynikających z PBI. Za nadzór
nad przestrzeganiem postanowień PBI odpowiada Sekretarz Miasta.
Zarządzanie bezpieczeństwem składa się z dwóch pionów:
1) pionu administracyjnego- zarządzającego informacją,
2) pionu bezpieczeństwa- zarządzającego bezpieczeństwem informacji.
W ramach obydwu pionów wyróżnione zostały role:
na poziomie PBI:
Głównego Administratora Informacji (GAI),
Głównego Administratora Bezpieczeństwa Informacji (GABI),
na poziomie Grupy Informacji:
Administratora Grupy Informacji- właściciela informacji (AI),
Administratora Bezpieczeństwa Grupy Informacji (ABI)
na poziomie Systemu Przetwarzania:
Administratora Systemu (AS)
Administratora Bezpieczeństwa Systemu (ABS)
Główny Administrator Informacji (GAI)
Głównym Administratorem Informacji w Urzędzie jest Prezydent Miasta
Kędzierzyn-Koźle.
GAI odpowiedzialny jest za:
1) określanie jakiego rodzaju informacje mogą być przetwarzane w Urzędzie,
2) określenie grup informacji przetwarzanych w Urzędzie,
3) określenie czy Urząd jest właścicielem danej grupy informacji, czy też należy
ona do innego podmiotu,
4) ustalenie poprzez pełnomocnika ds. ochrony informacji niejawnych wykazu
informacji stanowiących tajemnicę.
Główny Administrator Bezpieczeństwa Informacji (GABI)
Głównym
Administratorem Bezpieczeństwa Informacji jest Kierownik Biura
Informatyki i Ochrony Informacji.
GABI odpowiedzialny jest za:
1) bezpieczeństwo informacji w organizacji,
2) identyfikację grup informacji podlegających ochronie,
3) przygotowanie dokumentu głównego PBI i przygotowanie dokumentów
polityk informacji prawnie chronionych,
4) nadzór pod względem bezpieczeństwa nad pracą wszystkich grup informacji,
administratorów bezpieczeństwa wszystkich grup informacji, administratorów
wszystkich systemów przetwarzania,
Administratorzy Bezpieczeństwa Informacji (ABI)
Administratorami Bezpieczeństwa Informacji są pracownicy Biura Informatyki i
Ochrony Informacji.
ABI odpowiedzialni są za:
1) zapewnienie, że do informacji chronionych należących do administrowanej
grupy mają dostęp wyłącznie osoby upoważnione oraz, że mogą one
wykonywać wyłącznie uprawnione operacje,
2) prowadzenie rejestru osób dopuszczonych do grupy informacji chronionych
(rejestr ten powinien zawierać: imię i nazwisko osoby, pełnioną rolę, czas
trwania dostępu),
3) przygotowanie dokumentów polityki bezpieczeństwa danej grupy informacji
chronionych,
4) szkolenie osób dopuszczonych do danej grupy informacji chronionych.
Administratorzy Informacji (AI)
Administratorami Informacji są Kierownicy wszystkich komórek organizacyjnych
Urzędu oraz osoby zajmujące stanowiska samodzielne.
AI odpowiedzialni są za:
1) określenie miejsca i czasu przetwarzania, przechowywania, tworzenia i
niszczenia informacji należących do danej grupy,
2) określenie
budynków, pomieszczeń lub części pomieszczeń tworzących
obszar, w którym przetwarzane są dane należące do danej grupy,
3) określenie wrażliwości grupy informacji ze względu na jej poufność,
integralność i dostępność,
4) określenie które osoby i na jakich prawach mają dostęp do danych informacji
Praca AI jest nadzorowana pod względem bezpieczeństwa przez ABI.
Administratorzy Systemów (AS)
Administratorami Systemów są pracownicy Biura Informatyki i Ochrony Informacji
AS odpowiedzialni są za:
1) zapewnienie przy wsparciu GAI ciągłości działania systemu informatycznego i
optymalizację jego wydajności,
2) instalację i konfigurację sprzętu i oprogramowania,
3) konfigurację i administrację oprogramowaniem systemowym i sieciowym,
4) przydzielanie praw dostępu do systemu osobom upoważnionym.
Administratorzy Bezpieczeństwa Systemów (ABS)
Administratorami
Bezpieczeństwa
Systemów
są
Kierownicy
komórek
organizacyjnych Urzędu oraz osoby zajmujące stanowiska samodzielne
ABS odpowiedzialni są za:
1) przestrzeganie PBI i innych dokumentów opisujących zasady bezpieczeństwa
w stosunku do administrowanego systemu przetwarzania informacji
chronionych,
2) Identyfikowanie i zgłaszanie do AS ewentualnych problemów z zakresu
bezpieczeństwa informacji,
3) zapewnienie, że do informacji chronionych mają dostęp wyłącznie osoby
upoważnione i że mogą one wykonywać wyłącznie uprawnione operacje,
4) całościowy nadzór nad zatrudnionymi w danej jednostce pracownikami w
zakresie bezpieczeństwa informacji.
Informacje przetwarzane przez system informatyczny Urzędu
Informacje przetwarzane przez system informatyczny Urzędu stanowią załącznik do Polityki
Bezpieczeństwa danych osobowych.
Infrastruktura systemu informacyjnego urzędu
Opis Infrastruktury systemu informacyjnego urzędu zawarty jest w Instrukcji
zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
oraz postępowania w przypadku naruszenia ochrony danych osobowy w Urzędzie
Miasta Kędzierzyn-Koźle
Zarządzanie ryzykiem
Ryzyko to niepewne zdarzenie lub zbiór zdarzeń, które w przypadku ich wystąpienia będą
mieć wpływ na bezpieczeństwo informacji.
Zarządzanie ryzykiem odnosi się do systematycznego stosowania procedur dotyczących
zadań identyfikowania i oceniania ryzyk, a następnie planowania i wdrażania reakcji na nie.
Procedura zarządzania ryzykiem
W Urzędzie stosuje się procedurę zarządzania ryzykiem zalecaną przez metodologię PRINCE2
obejmującą pięć następujących kroków:
1. Identyfikuj
2. Oceniaj
3. Planuj
4. Wdrażaj
5. Komunikuj
Rys. Procedura zarządzania ryzykiem
Identyfikowanie ryzyk polega na możliwym rozpoznaniu zagrożeń, które mogą wpływać na
bezpieczeństwo informacji. W tym celu przyjęto jako podstawową technikę mieszaną,
będącą połączeniem technik „przeglądu doświadczeń” oraz „burzy mózgów”.
Przegląd doświadczeń opiera się na wiedzy eksperckiej oraz analizie wcześniejszych
incydentów związanych z naruszeniem bezpieczeństwa informacji.
Burza mózgów opiera się na myśleniu grupowym, które może być bardziej produktywne niż
indywidualne oraz umożliwia zrozumienie poglądów innych interesariuszy na temat
zidentyfikowanych ryzyk.
Ocenianie polega na oszacowaniu zagrożeń oraz możliwości ich zmaterializowania w
przypadku nie podjęcia odpowiednich działań. Do tego celu wykorzystano „macierz
prawdopodobieństwo/wpływ”. Zawiera ona wartości niezbędne do sklasyfikowania zagrożeń
w ujęciu jakościowym. Skale prawdopodobieństwa są miarami pochodzącymi z wartości
procentowych, natomiast skale wpływu są wybrane w celu określenia miary oddziaływania
na Urząd.
Planowanie polega na przygotowaniu określonych reakcji zarządczych w celu usunięcia lub
zmniejszenia zagrożeń wynikających ze zmaterializowania się określonego ryzyka.
Wprowadza się następujące możliwe reakcje na ryzyko:
1. Unikanie (prewencja)- jeżeli to możliwe podjęcie stosownych reakcji zarządczych tak
aby zagrożenie (przypisane do danego ryzyka) nie mogło wpłynąć na bezpieczeństwo
informacji lub nie mogło zaistnieć.
2. Redukowanie- działania podjęte w celu zmniejszenia prawdopodobieństwa
wystąpienia zdarzenia lub ograniczenia jego wpływu (redukcja jednego lub dwóch
parametrów z macierzy prawdopodobieństwo/wpływ).
3. Plan rezerwowy- opracowanie działań, które zostaną podjęte w celu zredukowania
skutków zagrożenia dla ryzyka, które się zmaterializowało.
Wdrażanie polega na zapewnieniu, aby planowane reakcje na ryzyko zostały zrealizowane
oraz aby podjęte zostały działania korygujące w przypadku gdyby reakcje te nie spełniły
związanych z nimi oczekiwań. Istotnym elementem ról i obowiązków w zarządzaniu
ryzykiem. Wprowadza się następujące role:
1. Właściciela ryzyka- wskazane stanowisko lub osoba odpowiedzialna zarządzanie,
monitorowanie i kontrolowanie wszystkich aspektów przypisanego jej ryzyka łącznie
z wdrożeniem wybranych reakcji na zagrożenie.
2. Wykonawca reakcji na ryzyko- stanowisko lub osoba wyznaczona do wykonywania
działań związanych z reakcją na konkretne ryzyko. Wykonawca reakcji wspiera
właściciela ryzyka i otrzymuje od niego polecenia.
Komunikacja polega na zapewnieniu, aby wszystkie informacje o zagrożeniach docierały do
wszystkich zainteresowanych. Jako podstawową formę komunikacji wprowadza się w
Urzędzie drogę elektroniczną poprzez pocztę email.
Analiza ryzyka
Identyfikowanie ryzyka
W Urzędzie zidentyfikowano następujące ryzyka
Identyfikator Ryzyko
1
Włamanie do sieci Urzędu z zewnątrz
2
Włamanie do sieci Urzędu z wewnątrz
3
Błędy przesyłania, adresowania danych
4
Zawodność infrastruktury technicznej
5
Podsłuch
6
Błędy w oprogramowaniu
7
Pogorszenie jakości sprzętu i oprogramowania
8
Niepożądany ruch w sieci
9
Kopiowanie, podmiana lub niszczenie plików
10
Nieświadome udostępnienie informacji
11
Świadome udostępnienie informacji
12
Klęski żywiołowe
Macierz Prawdopodobieństwo/wpływ
0.9
B. wysokie
0.045
0.09
0.18
0.36
0.72
0.035
0.07
0.14
0.28
0.56
71-90%
Prawdopodobieństwo
0.7
Wysokie
51-70%
0.5
Średnie
ID:2
0.025
0.05
31-50%
0.3
Niskie
B. niskie
0.20
0.40
0.12
0.24
ID:7,10
0.015
0.03
0.06
ID:6
ID:3
0.01
0.02
ID:5
ID:8,9,11
B. mały
Mały
0.05
0.1
11-30%
0.1
0.10
0.005
<10%
ID:1,4,12
0.04
0.08
Średni
Duży
B. duży
0.2
0.4
0.8
Wpływ
Rejestr ryzyk
ID
Zdarzenie
Skutek
P
W
Reakcja
Działanie
Właściciel ryzyka
1
Nieuprawniony
dostęp do systemów
IT Urzędu
Utrata integralności,
poufności,
dostępności
informacji
0.3
0.8
Unikanie
Zapewnienie przez GAI środków finansowych
niezbędnych do: odpowiedniego zabezpieczenia
systemów IT, szkoleń pracowników.
GAI, GABI, ABI
2
Nieuprawniony
dostęp do systemów
IT Urzędu
Utrata integralności,
poufności,
dostępności
informacji
0.7
0.8
Redukowanie
Prowadzenie szkoleń pracowników, określenie
imiennych
zakresów
odpowiedzialności,
zobowiązanie do przestrzegania obowiązujących w
Urzędzie wewnętrznych instrukcji i procedur
ochrony informacji.
AI, ABS
3
Błędne
zaadresowanie
informacji
Możliwy dostęp do
informacji
osób
nieuprawnionych
0.3
0.2
Redukowanie
Podniesienie świadomości pracowników.
AI, ABS
4
Możliwy
ciągłości
systemów IT
Utrudnienia
Urzędu i
petentów
pracy
obsługi
0.3
0.8
Redukowanie, Plan rezerwowy
Zapewnienie przez GAI odpowiednich środków
finansowych,
prowadzenie
systematycznych
przeglądów infrastruktury technichnej.
GAI,
GABI,
ABI,
Kierownik Wydziału
AG
5
Nieuprawniony
dostęp do informacji
Utrata
poufności
informacji
0.1
0.1
Plan rezerwowy
Powiadomienie właściwych służb o możliwym
zaistnieniu zdarzenia.
GAI, AI
6
Możliwy
ciągłości
systemów IT
brak
pracy
Utrudnienia
Urzędu i
petentów
pracy
obsługi
0.3
0.1
Redukowanie
Zapewnienie przez GAI środków finansowych na
umowy serwisowe i asysty techniczne.
GAI, GABI, ABI
7
Możliwy
ciągłości
systemów IT
brak
pracy
Utrudnienia
Urzędu i
petentów
pracy
obsługi
0.5
0.4
Unikanie
Zapewnienie przez GAI środków finansowych na
zakup nowego sprzętu i oprogramowania.
GAI, GABI, ABI
8
Możliwe
wprowadzenie
Utrata,
zniszczenie
lub
udostępnienie
0.1
0.2
Redukowanie
Monitorowanie ruchu sieciowego
GABI, ABI
brak
pracy
do
sieci
potencjalnie
niebezpiecznych
kodów lub aplikacji
informacji w całości
lub
części.
Niewłaściwa
praca
systemów.
9
Nieuprawnione
udostępnienie
lub
zniszczenie informacji
Utrata,
zniszczenie
lub
udostępnienie
informacji w całości
lub części.
0.1
0.2
Redukowanie
Podnoszenie świadomości pracowników
AI, ABS
10
Przypadkowe
udostępnienie
informacji
Nieuprawniony
dostęp do informacji
0.5
0.2
Redukowanie
Podnoszenie świadomości pracowników
AI, ABS
11
Celowe
udostępnienie
informacji
Nieuprawniony
dostęp do informacji.
0.1
0.2
Podnoszenie świadomości pracowników
AI, ABS
12
Pożar,
powódź,
uderzenie pioruna
Zniszczenie
infrastruktury, utraty
informacji
0.3
0.8
ID- Identyfikator
P-Prawdopodobieństwo
W-Wpływ
Redukowanie, Plan rezerwowy
Opracowanie
procedur
zabezpieczenie budynku
aktywów
reagowania,
Urzędu oraz
oraz
jego
Kierownik
WZK,
Kierownik Wydziału
AG
Podsumowanie
Macierz „prawdopodobieństwo/wpływ” ilustruje obszary różnego poziomu zagrożenia.
Z
punktu
widzenia
Urzędu
najbardziej
istotne
są
wyrazy
(będące
iloczynem
prawdopodobieństwa i wpływu) o największej wartości które oznaczone zostały kolorem
czerwonym. Obejmują one następujące ryzyka:
1. Włamanie do sieci z zewnątrz.
2. Włamanie do sieci z wewnątrz.
3. Zawodność infrastruktury technicznej.
4. Pogorszenie się jakości sprzętu i oprogramowania.
5. Nieświadome udostępnienie informacji.
6. Klęski żywiołowe.
Należy stwierdzić, że ryzyka, o których mowa wyżej znajdują się na poziomie
nieakceptowalnym. W związku z powyższym są one traktowane w sposób szczególny i ciągle
monitorowane. Zmaterializowanie się ich może zagrażać funkcjonowaniu jednostki i jej
aktywów.
Kolorem pomarańczowym oznaczono obszar o średnim zagrożeniu. W jego skład wchodzą
następujące ryzyka:
1. Błędy przesyłania, adresowania danych.
2. Niepożądany ruch w sieci.
3. Kopiowanie, podmiana lub niszczenie plików.
4. Świadome udostępnienie informacji.
Kolor zielony oznacza obszar ryzyk, w którym zmaterializowanie się zdarzeń jest mało
prawdopodobne lub ich wpływ na Urząd jest niewielki.
1. Podsłuch.
2. Błędy w oprogramowaniu
W Urzędzie podejmowane są działania zgodne z procedurą zarządzania ryzykiem. Istotnym
ich elementem jest zabezpieczanie środków finansowych niezbędnych do redukowania
zagrożeń polegających na zmniejszeniu wystąpienia prawdopodobieństwa zdarzenia oraz w
przypadku jego wystąpienia ograniczeniu wpływu na Urząd. Dotyczy to wszystkich obszarów
i zidentyfikowanych ryzyk.