Audyt KRI bezpieczeństwa informacji.
Audyt KRI bezpieczeństwa informacji. Zagadnienia związane z tematem utrzymania i eksploatacji systemu bezpieczeństwa informacji opisane zostały w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [dalej KRI]
Rola podmiotu realizującego zadania publiczne.
Zgodnie z §20 ust. 1 KRI cyt.:
cyt.: „(…)Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność(…)”.
Zarządzanie bezpieczeństwem informacji.
Zgodnie z § 20 ust. 2 KRI
cyt.: „(…)Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań (…)”.
Obowiązkowe audyty wewnętrzne bezpieczeństwa.
Zgodnie z §20 ust. 2 pkt. 14) KRI
cyt.: „(…)Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań (…) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok (…)”.
Czy ktoś to kontroluje.
- Najwyższa Izba Kontroli (NIK) zgodnie z określonym planem kontroli,
- W jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych – właściwy wojewoda,
- W podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej – organ administracji rządowej nadzorujący dany podmiot publiczny,
- W podmiotach publicznych niewymienionych w lit. 1 i 2 – minister właściwy do spraw informatyzacji
Wyniki przykładowych kontroli.
Dla przykładu raport NIK dot. wdrożenia przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych z 2019r. dokonał analizy stanu faktycznego wskazując wprost na konkretne uchybienia podmiotów, określając przy tym konkretne przepisy ww. Rozporządzenia KRI, których się dopuściły, i na tej podstawie sformułował dalsze zalecenia, wnioski i wszczął adekwatne postępowania pokontrolne. W naszym serwisie Proste to RODO pisaliśmy o tym czytaj więcej >>>
W 2018r. NIK skontrolowała 31 jednostek samorządowych województwa podlaskiego (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne, czytaj więcej >>>
Kto jest uprawniony do wykonania Audytu KRI.
Audytor wewnętrzny z zakresu bezpieczeństwa informacji powinien cechować się przede wszystkim: dobrą znajomością zagadnień IT; zagadnień bezpieczeństwa informacji; zagadnień związanych z ryzykiem oraz umiejętnością współpracy; wyrażania opinii, a ponadto komunikatywnością, dociekliwością i asertywnością.
Doskonale sprawdzą się w roli audytora wewnętrznego z zakresu bezpieczeństwa informacji:
- informatycy;
- administratorzy systemów informatycznych;
- inspektorzy ochrony danych;
- pracownicy działu audytu i kontroli.
Korzyści płynące z realizacji audytu wewnętrznego bezpieczeństwa informacji:
- obiektywna ocena wdrożonych w podmiocie polityk bezpieczeństwa informacji oraz funkcjonowania systemu zarządzania bezpieczeństwem informacji,
- poszerzanie świadomości kierownictwa podmiotu w zakresie ryzyk i podatności systemu bezpieczeństwa informacji,
- wypełnienie obowiązku wynikającego z przepisu prawa,
- uzyskanie wytycznych i zaleceń względem stosowanych środków technicznych
i organizacyjnych dla ochrony danych i informacji, - wzmocnienie sytemu ochrony danych osobowych w zgodzie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO),
- Przygotowanie podmiotu do kontroli organów uprawnionych do wykonywania kontroli w zakresie bezpieczeństwa informacji.