Audyt KRI - audyt bezpieczeństwa informacji

Bezpieczeństwo informacji badane na wielu poziomach

Sytuacja:

Audyt kri - Krajowe Ramy Interoperacyjności - Audyt Bezpieczeństwa informacji.

Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych wprowadza liczne wymagania, między innymi obligując odpowiednie jednostki administracji publicznej do:

  • realizowania corocznych, wewnętrznych audytów bezpieczeństwa;
  • szkoleń z zakresu bezpieczeństwa informatycznego.

Rozporządzenie to jest aktem wykonawczym do Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.

Ponadto operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem” (zgodnie z art. 15, Dz. U. z 2018 r., poz. 1560).

Komplikacja:

Ewentualne konsekwencje zależne od rodzaju i skali występowania błędów bezpieczeństwa informacji:

  • odpowiedzialność karna za nielegalne oprogramowanie – art. 278 §2 KK;
  • odpowiedzialność karna za paserstwo art. 293 § 1 KK;
  • zwrot dofinansowania z środków UE – dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004r. w sprawie egzekwowania praw własności intelektualnej uprawnia kontrolerów do sprawdzania projektów i audytu legalności oprogramowania w ciągu 5 lat od zakończenia inwestycji.
  • wyciek informacji poprzez niewiedzę lub naiwność pracowników (ataki socjotechniczne);
  • paraliż funkcjonowania jednostki spowodowany utratą kluczowych baz danych;
  • wysokie koszty związane z naprawą szkód powstałych wskutek błędów bezpieczeństwa informacji;
  • odpowiedzialność administracyjna - oraz wskazanych  w art. 102 ustawy o ochronie danych osobowych, m.in. w wysokości do 100.000 zł w odniesieniu do takich jednostek sektora finansów publicznych jak np. gminy, szkoły, szpitale, uczelnie bądź w wysokości do 10.000 zł dla jednostek sektora finansów publicznych takich jak: biblioteki, domy kultury, muzea itp.
  • odpowiedzialność cywilnoprawna- bowiem każda osoba, która poniosła szkodę majątkową lub niemajątkową uprawniona jest do dochodzenia odszkodowania lub zadośćuczynienia - również w wyniku naruszenia przepisów dot. ochrony danych osobowych, zgodnie z art. 82 ust. 1 RODO
  • odpowiedzialność karna - uję­tą przez polskiego prawodawcę w art. 231 1 Kodeksu karnego, w przypadku gdy funkcjonariusz publiczny, który, przekraczając swoje uprawnienia lub nie dopełniając obowiązków, działa na szkodę interesu publicznego lub prywatnego, podlega karze pozbawienia wolności do lat 3.

 

Audyt należy wykonać gdy: 

  • audyt w tym zakresie nie był jeszcze wykonywany;
  • istnieją przesłanki, że sieć komputerowa i komputery mogą być skonfigurowane niewłaściwie;
  • został zwolniony lub odszedł z pracy informatyk;
  • zachodzi podejrzenie, że na komputerach pracowników znajdują się nielegalne kopie filmów lub muzyki;
  • brakuje procedur dotyczących użytkowania komputerów oraz administrowania systemem informatycznym;
  • jednostka przeszła informatyzację ze środków UE;
  • pracownicy mają pełny (nieograniczony) dostęp do komputerów.

Audyt wewnętrzny przeprowadzany przez osoby bezpośrednio powiązane z codzienną pracą jednostki może być nieobiektywny. Może to prowadzić do przeoczeń, a w konsekwencji do incydentu, którego mogliśmy uniknąć przy dokładnej weryfikacji zabezpieczeń.

 

Wspólne Stanowisko Departamentu Informatyzacji MAIC i departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji:

Kierownik jednostki podejmując decyzję o powierzeniu komórce audytu wewnętrznego realizacji audytu wewnętrznego w zakresie bezpieczeństwa informacji powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie oraz znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku, gdy zespół audytu wewnętrznego nie będzie posiadał kompetencji do objęcia badaniem ww. obszaru, należy rozważyć skorzystanie z pomocy ekspertów z wewnątrz lub z zewnątrz jednostki.

 

Rozwiązanie:

Rzetelnie przeprowadzony audyt pozwala na realizację ustawowych wymogów bezpieczeństwa informacji ale przede wszystkim jest cennym źródłem informacji dla podmiotu, dzięki któremu możliwe jest podjęcie odpowiednich działań naprawczych.

Audyt jest złożonym procesem polegającym na zebraniu kompletnych informacji dotyczących zabezpieczeń, zasobów sprzętowych, zainstalowanego oprogramowania, wykorzystania komputerów i łącza internetowego oraz przestrzegania procedur wewnętrznych (np. związanych z przetwarzaniem danych osobowych) w jednostce.

Analiza wyników poszczególnych elementów audytu i zależności między nimi daje pełny obraz sytuacji, pozwala dobrać stosowne zalecenia i w konsekwencji zwiększyć efektywność procesów zachodzących w jednostce.

Właściwie przeprowadzony audyt kri pomoże odpowiedzieć na następujące pytania:

  1. Czy jednostka jest podatna na ataki hakerskie?
  2. Czy na zainstalowane na komputerach oprogramowanie posiadają Państwo licencje?
  3. Czy kopie zapasowe wykonywane przez dział IT umożliwiają odzyskanie danych w przypadku awarii?
  4. Czy sprzęt komputerowy, zakupiony np. w ramach projektów UE wykorzystywany jest optymalnie?
  5. Czy pracownicy wykorzystują powierzony im sprzęt komputerowy zgodnie z jego przeznaczeniem?
  6. Czy respektowane są procedury bezpieczeństwa informacji w jednostce?

Korzyści z przeprowadzenia audytu bezpieczeństwa informacji:

  • realizacja wymogów ustawowych;
  • sprawdzenie działania infrastruktury i serwerów pod kątem bezpieczeństwa umożliwiające podjęcie stosownych czynności eliminujących potencjalne zagrożenia;
  • identyfikacja potrzeb w zakresie optymalizacji oprogramowania;
  • analiza właściwego wdrożenia rozwiązań technicznych (np. zakupionych komputerów/serwerów) współfinansowanych ze środków UE;
  • analiza polityki bezpieczeństwa, w tym m.in. kwestii związanych z wykonywaniem kopii bezpieczeństwa, przetwarzania danych osobowych, wykorzystania publicznego/firmowego sprzętu do celów prywatnych celem poprawy poziomu bezpieczeństwa informatycznego podmiotu publicznego lub firmy;
  • wskazanie błędów i uchybień, których skutkiem może być większa podatność na ataki hakerskie, a w konsekwencji nawet utrata środków publicznych.

Odpowiemy na wszelkie pytania:
tel. 82 / 570 33 03