Raport NIK o KRI z 2 lutego 2015 ... jest dobrze: ale nie w zakresie bezpieczeństwa …

"Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych" - http://isap.sejm.gov.pl/DetailsServlet?id=WDU20120000526 to akt prawny który powinien być „biblią” każdego urzędnika odpowiedzialnego m.in za bezpieczeństwo systemów teleinformatycznych.

Najwyższa Izba Kontroli postanowiła przyjrzeć się na jakim etapie jest wdrażanie KRI w jednostkach administracji. Kontrolę przeprowadzono w 25 jednostkach, tj. w: MAiC oraz w 24 wybranych urzędach gmin miejskich i miast na prawach powiatu w województwach (dolnośląskim, małopolskim, mazowieckim, śląskim, wielkopolskim i zachodniopomorskim) i dotyczyła m.in. wdrażania wybranych wymagań określonych w rozporządzeniu KRI:

− stopnia wdrożenia systemu zarządzania bezpieczeństwem systemów informatycznych

Po mimo pozytywnej oceny całości wyników przeprowadzonej kontroli, niepokój wywołują wyniki raportu:

NIK, ze względu na liczne nieprawidłowości, ogólnie negatywnie ocenia działania burmistrzów i prezydentów miast w zakresie zarządzania bezpieczeństwem informacji w urzędach, o którym mowa w § 20 rozporządzenia KRI. NIK stwierdziła nieprawidłowości w tym obszarze w 2115 z 24 (87,5%) skontrolowanych urzędów miast, z których sześć oceniła negatywnie (UM w : Głogowie, Mińsku Mazowieckim, Nowym Targu, Olkuszu, Pruszkowie i Świnoujściu.)

Zdaniem NIK, stwierdzone nieprawidłowości mogą skutkować utratą dostępności, integralności i poufności informacji przetwarzanych w systemach informatycznych urzędów wykorzystywanych do elektronicznej komunikacji i świadczenia usług.

Nieprawidłowości dotyczyły przede wszystkim:

  • braku w kontrolowanych urzędach całościowej Polityki Bezpieczeństwa Informacji (poza bezpieczeństwem danych osobowych), która jest wymagana przepisami § 20 ust. 1 i 3 rozporządzenia KRI;
  • nieprzeprowadzania corocznych audytów wewnętrznych z zakresu bezpieczeństwa informacji, co było niezgodne z § 20 ust. 2 pkt 14 rozporządzenia KRI;
  • braku w umowach na zakup lub serwis sprzętu komputerowego/oprogramowania zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych w związku z realizacją tych umów przez wykonawców, co było niezgodne z § 20 ust. 2 pkt 10 rozporządzenia KRI.
  • niewłaściwego zarządzania uprawnieniami użytkowników w zakresie dostępu do systemów informatycznych, co było niezgodne z § 20 ust. 2 pkt 4 i 5 rozporządzenia KRI;
    nieprzeprowadzania corocznych audytów wewnętrznych z zakresu bezpieczeństwa informacji, co było niezgodne z § 20 ust. 2 pkt 14 rozporządzenia KRI;
  • braku w umowach na zakup lub serwis sprzętu komputerowego/oprogramowania zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych w związku z realizacją tych umów przez wykonawców, co było niezgodne z § 20 ust. 2 pkt 10 rozporządzenia KRI.

Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji:

Jednostka, aby zabezpieczyć swoje informacje powinna zastosować podejście systemowe, w ramach którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji. Podstawowe wymagania w zakresie systemu zarządzania bezpieczeństwem informacji reguluje § 20 rozporządzenia KRI.

Całość raportu dostępna jest na stronach NIK - https://www.nik.gov.pl/kontrole/P/14/004/

p.s. Autor niniejszego portalu jest członkiem zespołu który otrzymał grant od Polskiego Towarzystwa Informatycznego na przeprowadzenie badania dot. stopnia wdrożenia KRI w zakresie bezpieczeństwa informacji. W odróżnieniu od NIK który przeprowadził kontrolę w 24 urzędach, badaniu ankietowemu w ramach art. 2 ust. 1 ustawy o dostępie do informacji publicznej z dnia 6 września 2001 r. (Dz. U. Nr 112, poz. 1198) poddano ok 340 powiatów/gmin. Wyniki wkrótce …