Obowiązkowy audyt Krajowe Ramy Interoperacyjności

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada na podmioty, które realizują zadania publiczne w tym JST konieczność przeprowadzenia audytu KRI minimum raz w roku.
„Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.”
&20 pkt.2. 14) KRI

Rozporządzenie KRI – kto przeprowadza audyt?

Audyt może być przeprowadzony samodzielnie wewnątrz JST, jednak musi wykonać go osoba, która jest specjalistą i doskonale zna działanie systemów teleinformatycznych, zna zagadnienia szerokorozumianego cyberbezpieczeństwa oraz potrafi dokonać analizy ryzyka. Powinna być to osoba doświadczona i posiadająca uprawnienia audytora wewnętrznego oraz wyposażona w wiedzę z zakresu RODO, KRI i innych praw, które obejmują zakres bezpieczeństwa danych osobowych.

Przeprowadzenie audytu przez firmę zewnętrzną gwarantuje obiektywne podejście i realizację zadania przez ekspertów w tej dziedzinie. Niezależni audytorzy pozwolą na otrzymanie bezstronnych i miarodajnych wyników audytu.

Krajowe Ramy Interoperacyjności – szkolenia dla pracowników

„Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
zagrożenia bezpieczeństwa informacji,
skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;” & 20 pkt.2 6) KRI

Pracownicy JST powinni być przeszkalani zarówno z zasad RODO jak i cyberbezpieczeństwa – na niektórych polach obie dziedziny się pokrywają. Czynnik ludzki jest elementem, który znacząco wpływa na bezpieczeństwo JST, ponieważ żadne zabezpieczenia nie będą skuteczne jeśli pracownik samodzielnie otworzy drzwi i wpuści cyberprzestępcę. Dodatkowo szkolenia powinny zawierać elementy bezpiecznej pracy zdalnej, która jest nieodłącznym elementem w przypadku pandemii covid-19 lub analogicznych kryzysów.

KRI rozporządzenie – zasady pracy zdalnej

„Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;” &20 pkt.2. 8) KRI

Gminy powinny posiadać procedurę pracy zdalnej, która obejmuje podstawowe zasady pozwalające na utrzymanie wysokiego poziomu bezpieczeństwa i zapobieganie wystąpienia incydentu. Procedura powinna zawierać takie elementy jak np. zasady bezpiecznych wideokonferencji, zabezpieczenia sieci , ustawienia routera czy zabezpieczenie sprzętu służbowego i danych przed osobami postronnymi, w tym wspólnie z nim zamieszkującymi.

Inwentaryzacja sprzętu i oprogramowania

„ Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.”
&20 pkt.2. 2) KRI

Inwentaryzacja sprzętu wydaje się czynnością ogólnie znaną i wykonywaną. Rozporządzenie KRI jednak nakłada obowiązek jej aktualności, a także zakres, który powinien obejmować również konfigurację. Inwentaryzacja sprzętu powinna być aktualna „zawsze”, a zmiany uzupełniane na bieżąco – podejście do corocznej inwentaryzacji jako procesu samego w sobie jest błędne. „Coroczna inwentaryzacja” powinna być jedynie sprawdzeniem czy nie występują błędy lub luki. Dodatkowo inwentaryzacja powinna obejmować również konfigurację, a nie sam spis sprzętu i programowania.

Ponadto KRI wymaga od gmin m.in. zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych czy przeprowadzania analiz ryzyka utraty integralności, dostępności lub poufności informacji.

Audyt KRI od KICB

Jeśli jesteś zainteresowany audytem KRI dla swojej Gminy od Krajowego Instytutu Cyberbezpieczeństwa to zapraszamy do kontaktu poprzez formularz kontaktowy bądź pod numerem tel. 22 417 03 50.