Audytu Bezpieczeństwa Informacji (KRI), a CYBERBEZPIECZNY SAMORZĄD
Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia bezpieczeństwa informacji poprzez wdrożenie SZBI oraz przeprowadzenia okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Rozporządzenie zawiera wytyczne w zakresie bezpieczeństwa informacji w jednostce samorządowej, zaś wymagany co roczny audyt ma być weryfikacją wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo danych. Audyt powinien zawierać zalecenia poaudytowe, mające zapewnić właściwy poziom cyberbezpieczeństwa. Obecnie audyt po wdrożonym SZBI oraz audyty KRI dla podmiotu i podległych jednostek można sfinasować w ramach konkursu CYBERBEZPIECZNY SAMORZĄD.
Kogo dotyczy Rozporządzenie KRI ?
Rozporządzenie KRI dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Do Rozporządzenia powinny dostosować się:
- Urzędy Miast i Gmin
- Starostwa Powiatowe, PUP
- jednostki organizacyjne, np. szkoły, przedszkola, MOPS/GOPS, PCPR, biblioteki, ośrodki kultury, spółki miejskie
- podmioty publiczne, np. stowarzyszenia, kluby sportowe, organizacje rządowe, inne instytucje
Czy wymóg audytu KRI dotyczy każdego podmiotu publicznego ?
Kierownictwo podmiotu publicznego ma obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Z wymogu audytu KRI nie są zwolnione nawet małe podmioty publiczne - dostosowanie się do wymogów Rozporządzenia pozostaje w gestii kierownictwa podmiotu.
Jaki obowiązki nakłada Rozporządzenie w sprawie Krajowych Ram Interoperacyjności?
Podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do Rozporządzenia. Więcej obowiązków zawiera par.19 pkt.1, 2, 3 i 4.
Z czego wynika obowiązek przeprowadzenia audytu?
Rozporządzenie w par. 19 ust.2 pkt 14 mówi o obowiązku "zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok". Ponadto regulamin konkursu grantowego CYBERBEZPIECZNY SAMORZĄD, nakłada obowiązek przeprowadzenia audytu wdrożego SZBI w podmiocie.
Jak MEDIATOR przeprowadza audyt ?
Audyt bezpieczeństwa informacji obejmuje zakres wymagany Rozporządzeniem KRI w obszarach:
- Wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji
- Polityki bezpieczeństwa,
- Organizacji bezpieczeństwa informacji,
- Zarządzania aktywami,
- Bezpieczeństwa fizycznego, kontroli dostępu i zarządzenia incydentami,
- Zarządzania systemami i sieciami,
- Utrzymania systemów informatycznych,
- Ciągłości działania,
- Analizy ryzyka,
- Zgodności z KRI ( w tym analiza zaleceń poaudytowych poprzedniego audytu KRI).
Wynikiem przeprowadzonego audytu jest wskazanie braków i zaleceń, które pozwolą administratorowi na dostosowanie Podmiotu do wymagań Rozporządzenia KRI.
Nasze doświadczenie poparte jest referencjami: audyt KRI dla Pow.Puławy, audyt KRI dla GUNB, audyt KRI dla PUP Leszno, audyt KRI dla UG Janowiec .
Jakie są koszty przeprowadzenia audytu w podmiocie publicznym ?
Na koszt przeprowadzenia audytu ma wpływ kilka czynników. Zapraszamy do kontaktu i sprecyzowania warunków usługi.
Kto powinien przeprowadzić audyt bezpieczeństwa informacji ?
Audyt powinien być przeprowadzony przez audytora posiadającego certyfikat wskazany w Rozporządzeniu Ministerstwa Cyfryzacji z dnia 12.10.2018r w sprawie wykazów certyfikatów uprawniających do przeprowadzenia audytu. Zespół MEDIATORA przeprowadzający audyt KRI to audytorzy wiodący wg ISO27001
Dla pełnej oceny audyt KRI powinien być rozszerzony o audyt bezpieczeństwa danych osobowych - wymóg art.24 pkt.1 i art.32 pkt.1 RODO. Przeprowadzenie połączonych audytów KRI i RODO daje pełen obraz bezpieczeństwa danych, w tym bezpieczeństwa danych osobowych.
Kontrole NIK
W maju 2019r NIK przeprowadził szereg kontroli pod kątem bezpieczeństwa danych. Poddane zostały weryfikacji bezpieczeństwo danych w urzędach gmin, miast i starostwach. W opinii NIK, "nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych". Wnioski i wytyczne prezentuje NIK na swojej stronie internetowej.
Czy Państwa podmiot wypełnia co roku obowiązek przeprowadzenia audytu Bezpieczeństwa Informacji zgodnie z Rozporządzeniem KRI ? Zachęcamy do kontaktu. Wycena kosztów zlecenia jest u nas bezpłatna.
Analiza NASK Ustawy o krajowym systemie cyberbezpieczeństwa (KSC)
MEDIATOR. Konsultacje KRI: tel. 505 341 555