Oferta Audytu Bezpieczeństwa Informacji (KRI)
Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia bezpieczeństwa informacji oraz okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Rozporządzenie zawiera wytyczne w zakresie bezpieczeństwa informacji w jednostce samorządowej, zaś wymagany co roczny audyt ma być weryfikacją wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo danych. Audyt powinien zawierać zalecenia i wytyczne zmian oraz modyfikacji infrastruktury, mające zapewnić właściwy poziom bezpieczeństwa danych. Dla pełnej oceny powinien być rozszerzony o audyt cyberbezpieczeństwa, obejmujący testy penetracyjne wewnętrzne i zewnętrzne infrastruktury IT oraz cechy audytu ISO27001.
Uzupełnieniem audytu KRI może być audyt bezpieczeństwa danych osobowych - wymóg art.24 pkt.1 i art.32 pkt.1 RODO. Zlecenie przeprowadzenia obydwu audytów jest uzasadnione gdyż bezpieczeństwo danych osobowych to także audyt bezpieczeństwa danych.
Kogo dotyczy Rozporządzenie KRI ?
Rozporzadzenie dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Powinni się dostosowć do niego:
- Urzędy Miast i Gmin
- Starostwa Powiatowe
- jednostki organizacyjne, np. szkoły, przedszkola, MOPS/GOPS, PCPR, biblioteki, ośrodki kultury, spółki miejskie
- podmioty publiczne, np. stowarzyszenia, kluby sportowe, organizacje rządowe
Czy wymóg audytu dotyczy każdego podmiotu publicznego ?
- kierownictwo podmiotu publicznego ma obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji ; z tego obowiązku jest zwolniony podmiot publiczny, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001 ; wymóg audytu i zapewnienie bezpieczeństwa informacji nie zwalnia nawet małych podmiotów publicznych - dostosowanie się do wymogów rozporządzenia pozostaje w gestii kierownictwa podmiotu.
Jaki obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?
- podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do Rozporządzenia.
Z czego wynika obowiązek przeprowadzenia audytu?
- Rozporządzenie w par. 20 ust.2 pkt 14 mówi o obowiązku "zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok".
Kto powinien przeprowadzić audyt bezpieczeństwa informacji ?
- audyt powinien być przeprowadzony przez podmiot zewnętrzny, aby nie doszło do sytuacji naruszenia niezależności ; przeprowadzona kontrola NIK w UM Oleśnicy z dnia 21.10.2020r wskazała, że: "..w Urzędzie przeprowadzono audyty wewnętrzne w zakresie bezpieczeństwa informacji, niemniej jednak były wykonane przez Informatyków Urzędu, a więc osoby bezpośrednio zaangażowane w realizację zadań z zakresu bezpieczeństwa informacji. Tym samym naruszono niezależność i obiektywizm działań audytorskich..."
Jak MEDIATOR przeprowadza audyt ?
- w oparciu o Zarządzanie Bezpieczeństwem Informacji wg ISO 27001 oraz Rozporządzenie RODO, w 3 płaszczyznach:
- prawnej,
- organizacyjnej,
- technicznej (IT).
Co obejmuje przeprowadzany przez nas audyt ?
- audyt jest przeprowadzany w obszarach (zakres podstawowy wymagany Rozporządzeniem):
- Polityki bezpieczeństwa i aspektów prawnych,
- Organizacji bezpieczeństwa informacji,
- Zarządzania aktywami,
- Bezpieczeństwa fizycznego, kontroli dostępu i zarządzenia incydentami,
- Zarządzania systemami i sieciami.
- Utrzymania systemów informatycznych,
- Ciągłości działania,
- Analizy ryzyka,
- Zgodności z KRI i RODO
- dla pełnej oceny bezpieczeństwa danych audyt może być rozszerzony o testy penetracyjne wewnętrzne i zewnętrzne infrastruktury (zakres rozszerzony) ; w ramach testów przeprowadzamy kontrolowany atak hakerski i oceniamy jakość bezpieczeństwa infrastruktury IT pod kątem luk w zabezpieczeniach i podatności na cyberzagrożenia.
Jakie są koszty przeprowadzenia audytu w podmiocie publicznym ?
- koszt przeprowadzenia audytu jest określony indywidualnie w zależności od warunków zapewnienia bezpieczeństwa informacji i wielkości podmiotu.
Nasz audyt w zakresie podstawowym jest przeprowadzony zdalnie. Dzięki temu oraz współpracy z podmiotem przy zbieraniu danych audytowych, koszty zostały znacząco zmniejszone, a wymóg wskazany w Rozporządzeniu - spełniony.
Zakres rozszerzony o testy penetracyjne w zakresie zewnętrznej infrastruktury także przeprowadzany jest zdalnie.
Jakie są wytyczne dotyczące przeprowadzenia audytu ?
- aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania.
Jak audyt widzi Ministerstwo Finansów ?
1. W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w § 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione
2. Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok. decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu.
Kontrole NIK
W maju 2019r NIK przeprowadził szereg kontroli pod kątem bezpieczeństwa danych. Poddane zostały weryfikacji bezpieczeństwo danych w urzędach gmin, miast i starostwach. W opinii NIK, "nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych". Wnioski i wytyczne prezentuje NIK na swojej stronie internetowej.
W 2019r i 2020r NIK przeprowadził w szereg kontroli pod kątem ePUAP. Bezpieczeństwo informacji w oparciu o rozporządzenie KRI oraz wymóg audytu w ocenie NIK był kluczowy.
Wyniki kontroli:
UM Grajewo, z dnia 18.08.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Hajnówka, z dnia 18.08.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Augustów, z dnia 31.07.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Knurów, z dnia 6.11.2020r. - dokument pokontrolny
UM Łomża, z dnia 31.07.2020r. - dokument pokontrolny
UM Myszków, z dnia 6.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UMiG Pszczyna, z dnia 12.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UMiG Czechowice-Dziedzice, z dnia 6.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UMiG Swarzędz, z dnia 24.07.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Oborniki, z dnia 13.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Śrem, z dnia 2.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Wolsztyn, z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Białogard z dnia 2.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Gryfino z dnia 2.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Wałcz z dnia z 3.09.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Police z dnia z 4.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Aleksandrów Łódzki z dnia z 19.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Opoczno z dnia 12.10.2020r. - dokument pokontrolny
UM Długołęka z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Oleśnica z dnia 21.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Zgorzelec z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Oława z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
Czy PAŃSTWA podmiot wypełnia co roku obowiązek przeprowadzenia audytu Bezpieczeństwa Informacji zgodnie z Rozporządzeniem KRI ? Zachęcamy do kontaktu. Wycena kosztów zlecenia jest u nas bezpłatna.
MEDIATOR. Konsultacje KRI: tel. 501 470 633