Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

Może spóźnione powiadomienia, ale ryzyko znajduje się na 1 miejscu w działaniach PBCRP (dostępne na stronkach MAC i CERT).
Pytanie: jakie granice ma cyberprzestrzeń RP -nco jest niezmiennie ważne przy ocenie ryzyka?
Jerzy Podlewski

Jerzy Podlewski ryzykonomia.pl

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

A co to PBCRP ?
wyskakuje mi
Portsmouth Business Crime Reduction Partnership
Co Jarek jednak powiedziłeś "pas" mimo nowego otwarcia, darmowych podręczników i skoku cywilzacyjnego już w środę ? ;-)
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

Polityka Bezpieczeństwa Cyberprzestrzeni Rzeczypospolitej Polskiej
Jerzy Podlewski

Jerzy Podlewski ryzykonomia.pl

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

A to się ciesze że jesteś tu, Jarku...
Ja mam problem z tymi programamai wszystkimi rządowymi że nie za bardzo tam jest co czytać.
O weźmy to:

W celu osiągnięcia akceptowalnego poziomu bezpieczeństwa, zakłada się, iż każda
jednostka administracji rządowej, o której mowa w pkt 1.4 (punkty 1-4), w terminie do 31
stycznia każdego roku przekaże do ministra właściwego ds. informatyzacji sprawozdanie
podsumowujące wyniki szacowania ryzyka (wg wzorca opracowanego przez ministra
właściwego ds. informatyzacji). Sprawozdanie powinno zawierać ogólne dane dotyczące
rodzajów ryzyka, zagrożeń i słabych punktów zdiagnozowanych w każdym z sektorów,
w których poszczególna instytucja działa i za które odpowiada.

"ryzyko, zagrożenia i słabe punkty" to mamy aż 3 pojęcia. A co z "niebezpieczeństwami, nieszansami i hazardami" ? Ale pewnie znowu nie rozumiem, nie znam się i nie znam tajnych tajności. Strasznie dużo ludzi w tym kraju zna się na ZR na jakieś tajnie kursy chodzą, wymieniają poglądy na sekretnych forach
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

To dopiero początek i dalej będzie już tylko lepiej.
Ryzyko, zagrożenia i słabe punkty myślę, że intencją było ryzyko, czynniki i podatności, a więc kierunek IT.
A ja dalej nie wiem gdzie jest granica cyberprzestrzeni. No i co oni z tym ceber???
Monika Dubiel

Monika Dubiel CIA, Audytor
wewnętrzny MF

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

Lepiej będzie w momencie gdy świadomość wzrośnie. Póki co wiele jednostek nie zdaje sobie sprawy z istotności analizy ryzyka. Narzędzie nie jest wykorzystywane skutecznie. Niestety traktujemy je jako "zbędny obowiązek" bo zbyt rzadko wyniki analiz przekładają się na wartość dodaną. Zapewne kiedyś dojrzejemy. A co do PBCRP to nie dotyczy ona jedynie administracji rządowej - zakres pełny w RP. Istotne są tu Krajowe Ramy Interoperacyjności oraz ustalenie właściwej definicji systemu teleinformatycznego. PS do Jerzego: o jakim dokumencie/projekcie piszesz? Nie słyszałam jeszcze o takim obowiązku sprawozdawczym w stosunku do ministra właściwego ds. informatyzacji.
Pozdrawiam
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

Przepraszam nie pamiętam dokładnie miejsca, jednak sprawozdawczość została umieszczona w Polityce Bezpieczeństwa Cyberprzestrzeni RP. Do tego jest tam deklaracja opracowania systemu sprawozdawczego i metodyki. Na ostatni tydzień moje poszukiwania w MAC nie przyniosły rezultatu.
Pozostaje czekać.
Jerzy Podlewski

Jerzy Podlewski ryzykonomia.pl

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

Monika,
sformułowabym to inaczej: może i nie jedna analiza przekadałaby się na wartość dodaną ale trzeba by wdrożyć odpowiednie/proponowane postępowanie z ryzykiem (mechanizmy kontrolne jak kto woli, znowu pełno tu zamieszania). Wtedy pojawiłaby się wartośc dodana.
Pytanie czy tego się naprawdę oczekuje.

Co do dokumentu

http://www.enisa.europa.eu/activities/Resilience-and-C...

Skoro mówisz że nie oboaiwązuje, to czyni dokuemnt jeszcze ciekawszym :-)Ten post został edytowany przez Autora dnia 16.02.14 o godzinie 10:29
Monika Dubiel

Monika Dubiel CIA, Audytor
wewnętrzny MF

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

Dzięki Jerzy i Jarku.
Zwróciłam szczególną uwagę na sprawozdawczość, bo ona dot. kilkunastu jednostek wg. programu ochrony CRP (pkt. 2.3). Przestraszyłam się, że o jakimś obowiązku dla moich jednostek nie wiem heheh;)
I nadal nie wiem co reguluje zakres i termin sprawozdania, o którym mówi Jerzy, tj."każda
jednostka administracji rządowej, o której mowa w pkt 1.4 (punkty 1-4), w terminie do 31
stycznia każdego roku przekaże do ministra właściwego ds. informatyzacji sprawozdanie
podsumowujące wyniki szacowania ryzyka (wg wzorca opracowanego przez ministra
właściwego ds. informatyzacji). Sprawozdanie powinno zawierać ogólne dane dotyczące
rodzajów ryzyka, zagrożeń i słabych punktów zdiagnozowanych w każdym z sektorów,
w których poszczególna instytucja działa i za które odpowiada."

Z tego co widzę to sprawozdawczość w programie ochrony CPRP dot. jednostek wymienionych w pkt 2.3, a bliżej niedookreślone raportowanie dot. pkt. 1.4. Nadal proszę o namiar na szczegóły ww. sprawozdawczości, jeśli można?
Jak namierzyć tę deklarację opracowania systemu sprawozdawczego i metodyki lub inną podstawę dot. obowiązków sprawozdawczych? A skoro nie ma podstaw prawnych to z czego ten termin 31 stycznia i którego roku to dotyczy? :)

A co do ZR:)
Ja nie twierdzę, że 1 analiza da wartość dodaną. Chodzi o cały system zarządzania ryzykiem , który ma być systemem, który "żyje"
A "postępowanie z ryzykiem (mechanizmy kontrolne jak ..." to jeden z etapów ZR.
A co do pytania "czy tego się naprawdę oczekuje" to mam nadzieję, że cotaz bardziej "tak" :)
Jednak chyba jeszcze nie "wiemy", że spełnienie oczekiwania wymaga określenia jego zakresu oraz posiadania zasobów na podjęcie działań
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

Nigdzie nie znalazłem podstaw prawnych, które wdrażałyby obowiązek sprawozdawczości w zakresie wskazanym w PBCRP.

Polityki, jak to polityki, są tzw. regulacjami miękkimi. Nie stanowią źródeł prawa, a jednak przesądzają o kierunkach aktywności w regulowanych przez siebie dziedzinach.
Deklarację i sprawozdawczość w brzmieniu z polityki pojmuję jako coś co nastąpi. Jest zapowiedzią, a na konkrety trzeba będzie jeszcze poczekać. Nie natrafiłem na powyższe w prawnych regulacjach z zakresu bezpieczeństwa informacji (Uodo, Rozp. o interoperacyjności itd.), ani z zakresu IT. Mogę się jednak mylić bo regulacji jest wiele. Jak znajdę lub będę coś więcej wiedział dam znać.
Jerzy Podlewski

Jerzy Podlewski ryzykonomia.pl

Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni

Monika
cyt.
"A co do pytania "czy tego się naprawdę oczekuje" to mam nadzieję, że coraz bardziej "tak" :)"

Mogłabys podać jakiś przykład, chciałbym poznać taką dobrą praktykę ZR i jakie przyniosła rezultaty w postaci uniknięcia/zredukowania zagrożeń, nieprzekroczenia budżetu, osiągnęcia zakładanych KPIs, zakończenia projektu sukcesem itp. A może gdzieś o tym piszą?

Następna dyskusja:

Czy znacie te ryzyka ?




Wyślij zaproszenie do