[Rejestr] Program Ochrony Cyberprzestrzeni RP na lata 2011-2016

[Maciej Szmit]

  W dniu 10-10-22 10:41, Paweł Krawczyk pisze:
> On Fri, 22 Oct 2010 09:35:48 +0200 Maciej Szmit
> <maciej.szmit w gmail.com>  wrote:
>
>> Bo mnie osobiście
>> pomysł ISMSa w każdym urzędzie postwił resztki włosów na głowie.
> W wydaniu urzędowym to może być istotnie karykatura ale ISMS można
> postawić nawet w zakładzie fryzjerskim z jednostronicową polityką
> bezpieczeństwa. I nie trzeba go certyfikować, żeby działał.
w zakładzie fryzjerskim zapewne tak, w szpitalu czy POZecie (dane 
osobowe, tajemnica lekarska..) już gorzej, w Izbie Adwokackiej (dochodzi 
z pół tuzin innych tajemnic choćby postępowania przygotowawczego czy 
adwokacka) - to już trzeba pomyśleć. A wymóg certyfikowania to zdaje się 
jest w którymś z dokumentów do rządowego projektu. Dlatego zastanawiałem 
sie w oparciu o co ma być ta certyfikacja? Bo jeśli o PN-ISO/IEC 27002, 
to jeszcze trzeba by zmienić ustawę o normalizacji albo stworzyć inny 
akt normatywny, który dobrowolną normę zamieniłby na jakiś akt rangi 
państwowej (tak jak ma swoje umocowanie ISO 9k)
> Natomiast zdając sobie sprawę z tego jaka jest kultura zarządzania
> w naszej administracji w w/w komentarzu napisałem właśnie, że ZANIM
> się zabierze za wdrażanie ISMS to trzeba NAJPIERW wdrożyć normalne
> standardy zarządzania.
>
No, to już zupełnie inna, zasadnicza kwestia kwadratury koła, którą 
lepiej pominąć milczeniem ;)
>> nie mogą sobie dać często rady (obejrzyjcie sobie polityki
>> bezpieczeństwa w szpitalach, fundacjach, szkołach),
> To oczywisty skutek jeśli do organizacji, której POLITYKA
> bezpieczeństwa normalnie mieściłaby się na pół kartki A4
w szpitalu nie zmieści się. W szpitalu mamy skomputeryzowaną 
diagnostykę, której wyniki przesyła się przez sieć na biurko lekarza 
albo do jego bezprzewodowego laptopa, albo do szpitala obok, który jest 
inną instytucją bo tak wyszło w trakcie kolejnych przekształceń 
urzędowych, albo do osobnej instytucji jaką jest spółka zatrudniająca 
personel pomocniczy itd. Mamy bezpieczeństwo sprzętu mobilnego, 
współpracę z osobami trzecimi, wymogi prawa, ochronę antywirusową, w 
zasadzie całość ISO 27001.
> wdraża się
> zmałpowaną z sieci REFERENCYJNĄ politykę napisaną dla
> międzynarodowego banku o objętości 100 stron.
a to już zupełnie inna historia. Ale i tak w Polsce mamy coś koło setki 
(tak: setki) firm z ISO 27k1 (i poprzedniczkami z BS włącznie) a tu na 
raz - niemal cały kraj. Cały kraj buduje swoje ISO 27k. Nie, to koszmar...
>> się psu na budę. Chyba, że mowa o jakichś "krajowych wymaganiach
>> odnośnie do SZBI", które będą dotyczyć tylko informacji zapisanej
>> w
>> komputerach a w wymaganiach będą miały zainstalowanie antywirusa
>> firmy X
> No właśnie o tym napisałem - z tego co napisał CERT można (MOŻNA)
> wdrożyć rozsądne "dobre praktyki" organizacyjne jak również MOŻNA
> wdrożyć kolejną biurokratyczną fikcję, która tylko będzie tylko
> irytować ludzi i pogrążać zaufanie do polskiej administracji
> ("teraz trwa to 3 miesiące bo wdrożyliśmy to bezpieczeństwo czy jak
> mu tam").
>
> Problem z ISO 27002 polega głównie na tym, że jest to dokument O
> ZARZĄDZANIU a nie o jednorazowym kupieniu softu i usługi od szwagra
> brata dyrektora :)
>
ja to wiem
>> może wniesiemy jakąś istotną nowość do nauk o administracji i o
>> zarządzaniu tworząc na przykład "pole tensorowe administracji
>> publicznej" i "tensorową strukturę organizacyjną", no ale to już
>> dygresja :))
> Ależ to doskonały powód dla założenia nowego publicznego instytutu,
> który będzie się zajmował badaniem tych zjawisk, da zatrudnienie
> znacznej liczbie absolwentów pedagogiki, historii i psychologii, i
> gdzie wszyscy będą mówić sobie per "wujku", "ciociu", "tato" itd.
> (to nie żart, tak jest w jednym z krakowskich sądów)
>
:)
MS