Audyt KRI jako element SZBI

Audyt KRI jako element SZBI – w wystąpieniu z dnia 23 marca br. [DTC.WTC.7202.198.2023] kierowanym do podmiotów przyłączonych do węzła krajowego, Kancelaria Prezesa Rady Ministrów Departament Tożsamości Cyfrowej, sformułowała istotne, kluczowe wnioski odnoszące się do tematyki zapewnienia bezpieczeństwa informacji. KPRM w 18 punktach przedstawia konkretne zalecenia, które powinny zostać uwzględnione w związku z obowiązkiem właściwego podejścia do zarządzania bezpieczeństwem informacji. Zwracam szczególną uwagę na punkt (16), w którym do podniesiona została kwestia odnosząca się do obowiązku zapewnienia przez kierowników jednostek wykonania wewnętrznych audytów bezpieczeństwa (Audyt KRI).

KPRM [DTC.WTC.7202.198.2023] cyt.: "(...) Należy zauważyć, że system zarządzania bezpieczeństwem informacji nie może być kompletny bez zapewnienia audytu wewnętrznego, zarówno według wymagań rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie krajowych ram interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych14 jak i wymagań normy PN-ISO/IEC 27001.(...)"

Kto jest zobowiązany do wykonania Audytu KRI ...

Zgodnie z § 20 ust. 2 pkt 14) Rozporządzenia KRI

cyt.: „Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań (…) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.”

Innymi słowy, kierownictwo podmiotu publicznego realizującego zadania publiczne zobowiązane jest do takiego zarządzania bezpieczeństwem informacji, aby zapewnione zostały warunku do realizacji i egzekwowania m.in. okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, z częstotliwością jego wykonania, nie rzadziej niż raz na rok.

Warsztaty szkoleniowe - Audyt KRI

Praktyczne zajęcia / Wzory dokumentów / Wyjaśnienia eksperta ... Przygotowaliśmy,y dla Państwa kolejną edycję warsztatów szkoleniowych poświęconych tematyce audytu bezpieczeństwa informacji. Każdy z uczestników otrzymuje wzorcową dokumentację, niezbędną do przeprowadzenia samodzielnego Audytu KRI, w ramach pakietu znajdują się listy z pytaniami kontrolnymi, jak również niezbędne wzory protokołów. Uczestnicy w ramach warsztatów otrzymują możliwość zadawania pytań i prowadzenia dyskusji z prowadzącym. Zapraszamy do udziału w warsztatach "Jak poprawnie wykonaćAudyt KIR"

Wystąpienie Kancelarii Prezesa Rady Ministrów ...

Zakres SZBI ...

cyt.: „Dla właściwego opracowania, ustanowienia i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) niezbędnym jest objęcie tym systemem wszystkich informacji przetwarzanych w podmiocie. Niewystarczające jest np. powoływanie się jedynie na politykę ochrony danych osobowych i/lub instrukcję zarządzania systemem informatycznym. Zagadnienia dotyczące ochrony danych osobowych i danych przetwarzanych w systemach informatycznych stanowią bowiem węższy obszar względem zarządzania bezpieczeństwem informacji.” więcej >>>

Podmioty zewnętrzne, jako współpracujący ...

cyt.: „Jeśli integrację systemu teleinformatycznego z węzłem krajowym zleciliście Państwo podmiotowi zewnętrznemu musicie pamiętać, że w takiej sytuacji to na Was spoczywa obowiązek właściwego zabezpieczenia współpracy z podmiotem zewnętrznym. Ta współpraca powinna umożliwiać bieżącą ocenę bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym zintegrowanym z węzłem krajowym m.in. poprzez sprawną wymianę informacji z tym podmiotem zewnętrznym.” więcej >>>

Systemy informatyczne DU objęte SZBI ...

cyt.: „Wdrożony SZBI powinien obejmować System Teleinformatyczny DU w obszarze bezpieczeństwa informacji w relacjach z dostawcami i zarządzania usługami świadczonymi przez dostawców. Utrzymanie uzgodnionego poziomu bezpieczeństwa informacji oraz jakości usług objętych umowami jest wymogiem koniecznym w każdym przypadku, kiedy system teleinformatyczny jest utrzymywany przy wykorzystaniu wykonawców zewnętrznych.” więcej >>>

SZBI a Polska Norma ...

cyt.: „Opracowanie właściwie funkcjonującego SZBI powinno spełniać wymagania Polskiej Normy PN-ISO/IEC 27001.” więcej >>>

Monitorowanie, jako element SZBI ...

cyt.: „Istotnym zagadnieniem dot. SZBI jest monitorowanie4. Poprzez monitorowanie należy rozumieć takie rozwiązania, które umożliwią ocenę działań na rzecz bezpieczeństwa informacji oraz skuteczności systemu zarządzania bezpieczeństwem informacji.” więcej >>>

Przegląd zarządzania ...

cyt.: „Wyjaśnienia wymaga czym jest obowiązek realizacji przeglądu zarządzania. Przegląd zarządzania jest to obowiązek spoczywający na najwyższym kierownictwie. Powinien być realizowany cyklicznie w odgórnie zaplanowanych odstępach czasu. Wynikiem przeglądu zarządzania powinny być udokumentowane decyzje najwyższego kierownictwa w zakresie możliwości doskonalenia SZBI i potrzeb jego zmiany. ” więcej >>>

Przegląd SZBI ...

cyt.: „Poprzedni punkt dotyczy przeglądu zarządzania, którego nie można mylić z pojęciem: przegląd SZBI. Przeglądy SZBI obejmują przeglądy polityk i innych dokumentów składających się na SZBI pod kątem ich aktualności, przydatności i adekwatności. Poddawanie dokumentacji SZBI cyklicznym przeglądom to niezbędny element skutecznego zarządzania. ” więcej >>>

Zarządzanie incydentami ...

cyt.: „Aby zapewnić spójne i skuteczne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji należy ustanowić odpowiedzialność oraz procedury zapewniające szybką, skuteczną i zorganizowaną reakcję na incydenty.
Te procedury powinny być udokumentowane i obejmować system teleinformatyczny zintegrowany z węzłem krajowym.” więcej >>>

Dzienniki zdarzeń ...

cyt.: „Dla zapewnienia rozliczalności działania w systemach niezbędne jest przechowywanie dzienników zdarzeń (logów) przez określony czas. Zgodnie z rozporządzeniem w sprawie krajowych ram interoperacyjności informacje w dziennikach systemów przechowywane są od dnia ich zapisu, przez okres wskazany w przepisach odrębnych, a w przypadku braku przepisów odrębnych przez dwa lata.” więcej >>>

Rozliczalność działań ...

cyt.: „Proszę przyjąć jeszcze dwie wskazówki, które mogą zwiększyć bezpieczeństwo informacji w kontekście zapewnienia rozliczalności: systemy powinny zapewniać pełną rozliczalność czynności w nich wykonywanych. Z tego względu ważne jest aby zapewnić tę rozliczalność w stosunku dla działań wszystkich użytkowników, szczególnie dla działań wymagających wyższych uprawnień / uprawnień administracyjnych. Przykładem właściwego rozwiązania w powyższym zakresie jest odnotowywanie działań administratora (w tym faktu usunięcia logów) w innym miejscu, gdzie administrator nie ma dostępu. wskazane jest założenie i prowadzenie rejestru użycia haseł awaryjnych. Odnotowywanie użycia haseł awaryjnych to zabezpieczenie w kierunku zapewnienia rozliczalności w systemie oraz prosty wskaźnik krytycznego zdarzenia / incydentu w eksploatacji systemu ” więcej >>>

Szkolenia ...

cyt.: „Jednym ze sposobów na zwiększenie świadomości wśród pracowników podmiotów jest prowadzenie szkoleń z zakresu bezpieczeństwa informacji, skutków jego naruszenia, w tym odpowiedzialności prawnej. ” więcej >>>

Dokumentacja systemu ...

cyt.: „Jednym z czynników ryzyka wpływających na bezpieczeństwo informacji w systemie teleinformatycznym jest dysponowanie przez podmioty kompletem dokumentacji danego systemu w zakresie: projektowym; wdrożeniowym; powdrożeniowym; eksploatacyjnym. Prawidłowe zarządzanie systemem teleinformatycznym jest możliwe m.in. dzięki posiadaniu odpowiednich informacji na temat systemu, w tym udokumentowanych procedur. ” więcej >>>

Cykliczna ocena ryzyka ...

cyt.: „Zarządzanie ryzykiem wymaga przeprowadzania cyklicznej analizy ryzyka i opracowania rejestru ryzyk. W analizie ryzyka należy uwzględnić aspekty wynikające z faktu bycia właścicielem systemu teleinformatycznego.” więcej >>>

Testy bezpieczeństwa ...

cyt.: „Należy też pamiętać o obowiązku wykonywania testów bezpieczeństwa systemu teleinformatycznego zintegrowanego z węzłem krajowym.” więcej >>>

RODO bezwzględnie ...

cyt.: „Istotnym obszarem jest również obszar ochrony danych osobowych. Każdy podmiot podłączany do węzła krajowego oświadcza12, że działa zgodnie z przepisami o ochronie danych osobowych” więcej >>>

Audyt KRI jako element SZBI ...

cyt.: „Należy zauważyć, że system zarządzania bezpieczeństwem informacji nie może być kompletny bez zapewnienia audytu wewnętrznego, zarówno według wymagań rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie krajowych ram interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych14 jak i wymagań normy PN-ISO/IEC 27001.” więcej >>>

Datacenter ...

cyt.: „Dla zwiększenia bezpieczeństwa przetwarzanych informacji zaleca się aby datacenter, gdzie znajduje się system teleinformatyczny spełniał określone wymagania, posiadał m.in.: minimum dwa źródła zasilania z dwóch oddzielnych stacji TRAFO; minimum dwa klimatyzatory; system gaszenia pożaru; system kontroli dostępu; backup zlokalizowany innym miejscu” więcej >>>

Wykrywanie nieautoryzowanego dostępu ...

cyt.: „Dla wykrywania nieuprawnionych prób dostępu należy wprowadzić mechanizmy pozwalające na wykrycie prób nieautoryzowanych działań związanych z przetwarzaniem informacji w systemie teleinformatycznym. System taki powinien wspomagać zapobieganie, wykrywanie i monitorowanie w zakresie działań związanych z próbami uzyskania nieuprawnionego dostępu. Nie może zatem opierać się np. tylko na doraźnym przeglądzie logów.” więcej >>>