Audyty KRI
Oferta Audytu Bezpieczeństwa informacji
( wymóg Rozporządzenia w sprawie Krajowych Ram Interoperacyjności )
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. - Krajowe Ramy Interoperacyjności (KRI) nakłada obowiązek zapewnienia okresowej weryfikacji sposobów wymiany danych pomiędzy systemami informatycznymi stosowanymi w instytucji publicznej. Proces weryfikacji jest formą audytu przeprowadzanego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Audyt bezpieczeństwa informacji to wymóg każdego podmiotu publicznego.
Jakie obowiązki spoczywają na podmiocie publicznym w ramach KRI ?
(§ 20. 1) Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
Kogo dotyczy Rozporządzenie KRI ?
- podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej, tj:
- Urzędy Miast,
- Urzędy Gmin,
- Starostwa Powiatowe,
- jednostki organizacyjne publiczne jak szkoły, MOPS/GOPS, przedszkola, itd.
Czy wymóg audytu dotyczy każdego podmiotu publicznego ?
- kierownictwo podmiotu publicznego ma obowiązek zapewnienia okresowego audytu
wewnętrznego w zakresie bezpieczeństwa informacji ; z tego obowiązku jest zwolniony podmiot publiczny, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą - § 20 ust.2 r.k.r.i.) ; Rozporządzenie nie zwalnia z tego obowiązku nawet małych podmiotów publicznych - ocena tego wymogu pozostaje w gestii kierownictwa podmiotu publicznego
Jaki obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?
- podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji
Z czego wynika obowiązek przeprowadzenia audytu?
- Rozporządzenie w par.20 ust.2 pkt 14 mówi o obowiązku "zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok"
Kto powinien przeprowadzić audyt bezpieczeństwa informacji ?
- audyt powinien być przeprowadzony przez podmiot zewnętrzny, aby nie doszło do sytuacji 'audytowania samego siebie'
Jak MEDIATOR przeprowadza audyt ?
- audyt przeprowadzany jest w 3 płaszczyznach:
- prawnej,
- organizacyjnej,
- technicznej (IT)
- nasz audyt, uwzględniając obecne ograniczenia kontaktów osobistych, jest przeprowadzany zdalnie, jako wywiad, uwzględniając przy tym wymogi Rozporządzenia. Zebrane informacje oraz własna ocena dają pełen obraz przepływu informacji.
W jakim zakresie jest przeprowadzany audyt ?
- nasz audyt jest przeprowadzany w obszarach:
• Polityki bezpieczeństwa i aspektów prawnych,
• Organizacji bezpieczeństwa informacji,
• Zarządzania aktywami,
• Bezpieczeństwa fizycznego, kontroli dostępu i zarządzenia incydentami,
• Zarządzania systemami i sieciami.
• Utrzymania systemów informatycznych,
• Ciągłości działania,
• Zgodności z KRI i RODO
Jakie są koszty przeprowadzenia audytu w podmiocie publicznym ?
- koszt przeprowadzenia audytu jest określony indywidualnie w zależności od warunków zapewnienia bezpieczeństwa informacji
Jakie są wytyczne dotyczące przeprowadzenia audytu ?
- aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania
Jak audyt widzi Ministerstwo Finansów ?
1. W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w § 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione
2. Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok. decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu.
Dostosowanie podmiotow publicznych do KRI - kontrola NIK z maja 2019r.
NIK przeprowadził w maju 2019r kontrolę piezpieczeństwa danych w urzędach gmin, miast i starostwach. W opinii NIK, "nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych". Wnioski i wytyczne prezentuje na swojej stronie internetowej.
Czy WASZ podmiot wypełnia co roku obowiązek przeprowadzenia Audytu Bezpieczeństwa Informacji zgodnie z Rozporządzeniem KRI ? Zleć nam analizę i wycenę kosztów jego przeprowadzenia. Jesteśmy gotowi na kontakt od PAŃSTWA.