Audyty KRI

Od dłuższego już czasu w naszej ofercie znajdują się audyty bezpieczeństwa. Usługa adresowana jest zarówno do przedsiębiorstw prywatnych, jak też do instytucji publicznych. W każdej organizacji coraz rozleglejsza sfera aktywności wewnętrznych oraz związanych z kontaktami z Klientami odbywa się z użyciem systemów informatycznych.

W przypadku instytucji publicznych dostępnych jest wiele usług zapewniających obsługę obywateli za pośrednictwem mediów elektronicznych. Wnioski, zaświadczenia, wypisy z rejestrów, deklaracje podatkowe możemy składać za pośrednictwem aplikacji internetowych bez konieczności odwiedzania urzędów. Te możliwości są dużym ułatwieniem ale jednocześnie wystawiają na niebezpieczeństwo systemy dostępne w Internecie oraz zgromadzone w nich dane.

Chcemy zwrócić Państwa uwagę na wykonywane przez naszą firmę audyty zgodności z Krajowymi Ramami Interoperacyjności (KRI) czyli audyty zarządzania bezpieczeństwem informacji w jednostkach publicznych .

KPRM

W maju 2012 roku weszło w życie Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, dotyczy minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Omawiane Rozporządzenie to akt wykonawczy do Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.

Nakłada ono wymagania na jednostki administracji publicznej, co do przeprowadzenia corocznego Audytu Bezpieczeństwa infrastruktury IT. Dotyczy ono w szczególności:

Art. 2. 1. Z zastrzeżeniem ust. 2–4, przepisy ustawy stosuje się do realizujących zadania publiczne określone przez ustawy: 1) organów administracji rządowej, organów kontroli państwowej i ochrony prawa, sądów, jednostek organizacyjnych prokuratury, a także jednostek samorządu terytorialnego i ich organów, 2) jednostek budżetowych i samorządowych zakładów budżetowych, 3) funduszy celowych, 4) samodzielnych publicznych zakładów opieki zdrowotnej oraz spółek wykonujących działalność leczniczą w rozumieniu przepisów o działalności leczniczej, 5) Zakładu Ubezpieczeń Społecznych, Kasy Rolniczego Ubezpieczenia Społecznego, 6) Narodowego Funduszu Zdrowia, 7) państwowych lub samorządowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu realizacji zadań publicznych – zwanych dalej „podmiotami publicznymi”. 2. Przepis art. 13 ust. 2 pkt 1 stosuje się również do podmiotu, któremu podmiot publiczny powierzył lub zlecił realizację zadania publicznego, jeżeli w związku z ©Kancelaria Sejmu s. 3/28 2015-05-12 realizacją tego zadania istnieje obowiązek przekazywania informacji do lub od podmiotów niebędących organami administracji rządowej.

Źródło: Dz.U. 2005 Nr 64 poz. 565 USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.

Skupimy się teraz na zapisie dotyczącym minimalnych wymagań dla systemów teleinformatycznych. Obejmuje on 13 punktów kontrolnych:

  1. Zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. Utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  3. Przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. Podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. Bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
  6. Zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    a) zagrożenia bezpieczeństwa informacji,
    b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
  7. Zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub
    zakłóceniami, przez:
    a) monitorowanie dostępu do informacji,
    b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
  8. Ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub
    zniszczenie;
  10. Zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom
    bezpieczeństwa informacji;
  11. Ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji
    i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    a) dbałości o aktualizację oprogramowania,
    b) minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    e) zapewnieniu bezpieczeństwa plików systemowych,
    f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na
    możliwość naruszenia bezpieczeństwa,
    h) kontroli zgodności systemów teleinformatycznych z odpowiednimi
    normami i politykami bezpieczeństwa;
  13. Bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób,umożliwiający szybkie podjęcie działań korygujących.

Spełnianie powyższych wymagań nie gwarantuje pełni bezpieczeństwa. Trzeba pamiętać, że bezpieczeństwo to nie stan, a proces. Poziom zagrożeń rośnie nieustannie i nie jesteśmy w stanie w pełni zadbać o każdy szczegół naszej infrastruktury czy niefrasobliwość pracowników. Rozwiązaniem są okresowe audyty bezpieczeństwa, najlepiej zewnętrzne, realizowane przez wysokiej klasy specjalistów posiadających certyfikaty organizacji branżowych w zakresie bezpieczeństwa.

Nasza firma jest członkiem ISSA Polska – Stowarzyszenia do spraw Bezpieczeństwa Systemów Informacyjnych. Nasi specjaliści przeprowadzili kilkadziesiąt audytów bezpieczeństwa również w jednostkach samorządu terytorialnego. Dysponujemy certyfikatem Certified Ethical Hacker (CEH) przyznawanym przez International Council of Electronic Commerce Consultants (EC-Council).