Temat: Systemy zarządzania bezpieczeństwem informacji

51 edycja seminarium w cyklu INFORMATYKA W ADMINISTRACJI SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI w jednostkach realizujących zadania publiczne Warszawa, 11 maja 2011 r. Prowadzenie obrad: dr Aneta Januszko - Szakiel, Krakowska Akademia im. Andrzeja Frycza Modrzewskiego Program: 10:00 Wykład: Po co budować systemy zarządzania bezpieczeństwem informacji ? W wykładzie zostaną omówione źródła zagrożeń dla systemów informatycznych w sektorze publicznym. Przypomnimy definicje bezpieczeństwa i polityki bezpieczeństwa. W efekcie przypomnimy sobie elementy związane z zarządzaniem ryzykiem oraz systemowym, opartym na normach i podejściem do budowy Systemu Zarządzania Bezpieczeństwem Informacji. Na koniec zostaną zaś zdefiniowane korzyści jakie dla administracji publicznej niesie takie systemowe działanie. Wiesław Paluszyński, PTI 10:40 Wykład: Organizacja systemu ochrony informacji w jednostkach realizujących zadania publiczne - Klasyfikacja informacji przetwarzanej w podmiocie publicznym. - Prawne podstawy organizacji ochrony informacji w podmiocie publicznym. - Problem niespójności przepisów w zakresie ochrony informacji i wynikające z tego implikacje. - Mapowanie zadań w ochronie informacji na strukturę organizajną podmiotu realizującego zadania publiczne na przykładzie urzędu centralnego. - Kierunki działań mających na celu stworzenie spójnego systemu ochrony informacji w podmiocie publicznym Krzysztof Politowski, Departament Informatyzacji MSWiA 11:30 Case study: System Zarządzania Bezpieczeństwem Informacji w praktyce - Zasady wyboru zabezpieczeń Wystąpienie jest oparte na normie PN-ISO/IEC 27001 i doświadczeniach Polskiego Komitetu Normalizacyjnego przy wdrażaniu Systemu Zarządzania Bezpieczeństwem Informacji dr inż. Jerzy Krawiec, zastępca prezesa Polskiego Komitetu Normalizacyjnego 12:10 Przerwa, poczęstunek 12:40 Wykład: Badanie zgodności systemu zarządzania bezpieczeństwa informacji z obowiązującymi wymogami prawnymi - Podejście normy ISO/IEC 27001 do zagadnień zgodności z przepisami prawa - Kryteria prawne, organizacyjne i technologiczne w audycie zgodności z przepisami prawa jako część audytu zgodności z ISO/IEC 27001 - Podejście do audytu wymagań prawnych organizacyjnych i technologicznych - formułowanie kryteriów zgodności - Audyt wymagań wynikających z przepisów prawa ze szczególnym uwzględnieniem testów technologicznych - Prezentacja wyników audytu wymagań wynikających z przepisów prawa - Wnioski z punktu widzenia audytu zgodności z ISO/IEC 27001 dr Elżbieta Andrukiewicz, TI Consulting 13:30 Wykład: Analiza ryzyka i ochrona informacji w systemach teleinformatycznych Od paru lat można zaobserwować trend "postrzegania" działalności biznesowej przez pryzmat ryzyka, w tym ryzyka związanego z przetwarzaniem, przesyłaniem i przechowywaniem informacji w systemach informacyjnych organizacji. To stwierdzenie znajduje swoje uzasadnienie m.in. w zapisach norm (np. PN-ISO/IEC 27001:2007, PN-ISO/IEC 27005:2010) i przepisów prawa (np. ustawa o ochronie informacji niejawnych z 2010 roku). W ramach wykładu zostaną przedstawione następujące zagadnienia: - Zarządzanie ryzykiem na potrzeby ochrony informacji - przegląd problemu. - Przygotowanie do szacowania ryzyka: identyfikacja środowiska, zagrożeń i podatności. - Procesowe i zasobowe warianty szacowania ryzyka. - Ilościowe i jakościowe metody szacowania ryzyka. - Postępowanie z ryzykiem. - Budowa systemu zabezpieczeń jako metoda postępowania z ryzykiem. - Ryzyko szczątkowe i ryzyko akceptowalne. - Administrowanie ryzykiem. - Słabości analizy ryzyka. dr Krzysztof Liderman, WAT 14:30 Przerwa na kawę 14:50 Wykład: Warunki zapewnienia dostępność i integralności informacji w systemach archiwizacji dokumentów - Użyteczność dokumentów cyfrowych (dostępność, autentyczność, integralność, poufność) - rozważania terminologiczne - Wiarygodność i certyfikacja systemów archiwizacji dokumentów - Preservation policy w systemach archiwizacji dokumentów - Zapewnienie użyteczności informacji w systemach archiwizacji - wybrane metody, techniki, narzędzia (metadane dokumentów, sumy kontrolne, kody korekcyjne, identyfikatory stałe, kryptografia, etc.). dr Aneta Januszko-Szakiel, Krakowska Akademia im. Andrzeja Frycza Modrzewskiego 15:40 Dyskusja i konsultacje 16:00 Zakończenie programu, rozdanie certyfikatów udziału. Koszt udziału 1 osoby wynosi: 450 zł + 23% VAT - przy zgłoszeniu do 22 kwietnia 2011 r. 640 zł + 23% VAT - przy zgłoszeniu od 23 kwietnia 2011 r. 900 zł + 23% VAT - dla przedstawicieli firm IT oferujących produkt lub usługę z zakresu tematycznego seminarium Zgłoszenia: Warunkiem udziału jest przesłanie wypełnionego formularza zgłoszeniowego: faksem na numer 22 870 69 95 - formularz w załączeniu bądź elektronicznie: <http://www.e-administracja.org.pl/konferencje/2011/iwa...; http://www.e-administracja.org.pl/konferencje/2011/iwa... Organizator zastrzega możliwość odmowy przyjęcia zgłoszenia w wybranym terminie ze względu na brak wolnych miejsc. O przyjęciu decyduje kolejność przesyłania zgłoszeń. Z pozdrowieniami - Andrzej Janikowski