WYSTĄPIENIE POKONTROLNE

Transkrypt

1 Warszawa, 30 listopada 2017 r. WOJEWODA MAZOWIECKI WK-I Pani Aurelia Michałowska Mazowiecki Kurator Oświaty Al. Jerozolimskie Warszawa WYSTĄPIENIE POKONTROLNE Na podstawie art. 28 ust. 1 pkt 1 ustawy o wojewodzie i administracji rządowej w województwie 1 pracownicy Mazowieckiego Urzędu Wojewódzkiego w Warszawie: Kamil Chmielewski starszy inspektor wojewódzki i Paweł Kwarciany inspektor wojewódzki w Wydziale Kontroli oraz Łukasz Plaskot starszy inspektor wojewódzki w Biurze Informatyki i Rozwoju Systemów Informatycznych, przeprowadzili w dniach od 29 maja do 20 czerwca 2017 r. kontrolę w Kuratorium Oświaty w Warszawie, z siedzibą przy Al. Jerozolimskich 32. Przedmiot kontroli obejmował działanie systemów teleinformatycznych używanych do realizacji zadań publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (dalej ustawa o informatyzacji) 2 pod względem zgodności z minimalnymi wymogami dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych i wymiany informacji w postaci elektronicznej. Kontrolą objęto okres od 1 stycznia 2016 r. do 8 maja 2017 r. Ocenie poddano trzy główne obszary kontroli, tj. wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami informatycznymi oraz wspomaganie usług drogą elektroniczną, zarządzanie bezpieczeństwem informacji w systemach teleinformatycznych oraz zapewnienie dostępności informacji zawartych na stronach internetowych urzędu dla osób niepełnosprawnych. Nawiązując do projektu wystąpienia pokontrolnego z dnia 25 października 2017 r. do którego nie wniesiono zastrzeżeń, przekazuję pani Kurator wystąpienie pokontrolne. 1 Ustawa z dnia 23 stycznia 2009 r. o wojewodzie i administracji rządowej w województwie (Dz. U. z 2015 r. poz. 525, z późn. zm.). 2 Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570). 1

2 Zgodnie z przedstawioną w toku kontroli informacją w Kuratorium Oświaty w Warszawie (dalej Kuratorium) wykorzystywane były dwa systemy teleinformatyczne używane do realizacji zadań publicznych, tj. system teleinformatyczny.. 3 oraz system...). W jednostce nie prowadzono rejestrów publicznych, o których mowa w art. 14 ustawy o informatyzacji. I. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami teleinformatycznymi oraz wspomaganie usług drogą elektroniczną Kuratorium udostępniło, zgodnie z wymogiem art. 16 ust. 1a ustawy o informatyzacji, na stronie internetowej Biuletynu Informacji Publicznej Kuratorium (dalej BIP) Elektroniczną Skrzynkę Podawczą znajdującą się na elektronicznej Platformie Usług Administracji Publicznej (dalej epuap), umożliwiającą doręczanie pism w formie dokumentów elektronicznych. Zgodnie z 3 ust. 1 rozporządzenia w sprawie sporządzania i doręczania dokumentów elektronicznych oraz udostępnia formularzy, wzorów i kopii dokumentów elektronicznych 4 na stronie internetowej BIP poinformowano o warunkach organizacyjno-technicznych doręczania dokumentów elektronicznych. Kuratorium umożliwiło przyjmowanie dokumentów elektronicznych służących do załatwiania spraw w formatach danych określonych w załączniku nr 2 i 3 do rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej rozporządzenie w sprawie KRI) 5. W ramach realizacji projektu Elektronicznej Platformy Wymiany i Obiegu Dokumentów Województwa Mazowieckiego w Kuratorium wdrożono na platformie epuap 3 e-usługi 6. Informacja o świadczonych e-usługach została zamieszczona na stronie BIP Kuratorium w zakładce E-usługi, a ich wzory przekazano do Centralnego Repozytorium Wzorów Wniosków Elektronicznych, zgodnie z art. 19b ust. 3 ustawy o informatyzacji. W ww. zakładce znajdowały się linki do usług, przekierowujące użytkownika bezpośrednio na platformę epuap, gdzie znajdował się opis świadczonych usług, co umożliwia skuteczne zapoznanie się z informacją o sposobie dostępu oraz zakresie użytkowym serwisów dla usług realizowanych przez Kuratorium, 3 System teleinformatyczny oznacza całość zasobów informatycznych:.., Rozporządzenie Prezesa Rady Ministrów z dnia 14 września 2011 r. w sprawie sporządzania i doręczania dokumentów elektronicznych oraz udostępnia formularzy, worów i kopii dokumentów elektronicznych (Dz. U. z 2015 r. poz. 971, z późń. zm.). 5 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113, z późn. zm.). 6 Dotyczy e-usług: wydawanie zaświadczeń o zatrudnieniu i wynagrodzeniu (Rp-7), udzielenie patronatu lub rekomendacji Mazowieckiego Kuratora Oświaty oraz wydawanie wykazów godzin ze szkoły medycznej, zaświadczeń z okresu nauki oraz kserokopii arkusza ocen. 2

3 zgodnie z 5 ust. 2 pkt 1 rozporządzenia w sprawie KRI. Opis procedur obowiązujących przy załatwianiu spraw drogą elektroniczną został opublikowany w BIP, zgodnie z wymogiem 5 ust. 2 pkt 4 rozporządzenia w sprawie KRI i zawierał dane dotyczące: właściciela usługi (komórka organizacyjna Kuratorium), podstawy prawnej, wymaganych dokumentów, wysokości opłaty, terminu i sposobu realizacji, trybu odwoławczego oraz dodatkowych informacji i uwag. Usługi udostępniane w Kuratorium realizowane są na deklarowanym poziomie dostępności w oparciu o udokumentowane procedury, zgodnie z 15 ust. 2 rozporządzenia w sprawie KRI poprzez wskazanie właściciela merytorycznego usługi, ustalenie osób odpowiedzialnych za utrzymanie usługi, monitorowanie poziomu świadczenia usług. Zasoby informacyjne udostępniane są z wykorzystaniem formatu html/css z możliwością pobrania/dostarczenia niektórych informacji w innych formatach ujętych w załączniku nr 2 do rozporządzenia w sprawie KRI. Stwierdzono, że system teleinformatyczny powiązany jest z platformą epuap, komunikacja pomiędzy systemami jest automatyczna, a do zabezpieczeń wykorzystywany jest certyfikat zapewniany przez podmiot odpowiedzialny za działanie platformy epuap. Współpraca pomiędzy systemami jest możliwa dzięki wyposażaniu Kuratorium w odpowiednie składniki sprzętowe oraz oprogramowanie umożliwiające wymianę danych między systemami, zgodnie z 16 ust. 1 rozporządzenia w sprawie KRI. Kodowanie znaków w wysyłanych z systemów lub odbieranych przez te systemy dokumentach odbywa się według standardu Unicode UTF-8. Kuratorium nie udostępniło w systemach teleinformatycznych usług sieciowych, o których mowa w 8 rozporządzenia w sprawie KRI, natomiast system korzysta z udostępnionych przez epuap usług sieciowych do wzajemnej wymiany danych. Zgodnie z zarządzeniem nr 37 Mazowieckiego Kuratora Oświaty z dnia 30 czerwca 2015 r. w sprawie systemów wykonywania czynności kancelaryjnych w Kuratorium podstawowym sposobem dokumentowania przebiegu załatwiania i rozstrzygania spraw oraz wykonywania czynności kancelaryjnych jest system tradycyjny ( papierowy ). Jednocześnie w celu wspomagania procesu obiegu dokumentacji wprowadzono system.. System elektroniczny obiegu dokumentacji poprzez zastosowane zabezpieczenia uniemożliwia osobom nieuprawnionym ujawnienie informacji, ich modyfikację, usunięcie lub zniszczenie. Przedstawiając powyższe informuję, że realizację zadań dotyczących wymiany informacji w postaci elektronicznej, w tym współpracy z innymi systemami oraz wspomaganie usług drogą elektroniczną ocenia się pozytywnie. Wskazana ocena wynika z faktu, że w Kuratorium udostępniono elektroniczną skrzynkę podawczą zintegrowaną z systemem oraz zapewniono jej obsługę, używanym systemom 3

4 teleinformatycznym zapewniono interoperacyjność, dostarczano usługi na deklarowanym poziomie dostępności oraz prawidłowo zarządzano obiegiem dokumentacji w jednostce. II. System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych W kontrolowanej jednostce opracowano dokumenty dotyczące zarządzania bezpieczeństwem informacji. Zgodnie z udzieloną w toku kontroli informacją w okresie poddanym badaniu w Kuratorium nie miały miejsca istotne zmiany otoczenia, które miałyby wpływ na aktualizację regulacji wewnętrznych w zakresie bezpieczeństwa informacji. Urząd posiadał aktualne informacje w zakresie posiadanego sprzętu informatycznego, jego konfiguracji i oprogramowania. Zebrane informacje zawierały dane odnośnie zawartości każdej ze stacji roboczych z wyszczególnieniem specyfikacji technicznej i użytkowanego oprogramowania, zgodnie z 20 ust. 2 pkt 2 rozporządzenia w sprawie KRI. Ustalenia kontroli wykazały, że zgodnie z 20 ust. 2 pkt 4 rozporządzenia w sprawie KRI pracownicy wykonujący zadania w systemach teleinformatycznych uczestniczyli w procesie przetwarzania informacji w stopniu adekwatnym do przypisanych obowiązków. W przypadku pracowników, którzy w okresie objętym kontrolą zakończyli pracę w Kuratorium stwierdzono, że nastąpiła blokada uprawnień do użytkowanych przez nich systemów teleinformatycznych, zgodnie z 20 ust. 2 pkt 5 rozporządzenia w sprawie KRI. W Kuratorium, stosownie do 20 ust. 2 pkt 6 rozporządzenia w sprawie KRI, zapewniono szkolenie osób zaangażowanych w proces przetwarzania informacji. Zakres tematyczny szkolenia obejmował m.in. zagadnienia związane z przetwarzaniem danych, obowiązujące w Kuratorium procedury i zasady przetwarzania danych osobowych. Zasady korzystania i zabezpieczania urządzeń mobilnych zostały uregulowane w zarządzeniu nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r., w którym wskazano podstawowe zasady wykorzystania przez pracowników komputerów przenośnych. Mobilny dostęp do systemu odbywał się wyłącznie z odpowiednio przygotowanych laptopów, które są własnością Kuratorium. Komunikacja z systemem była prowadzona za pośrednictwem.. W Kuratorium stosownie do zapisów 20 ust. 2 pkt 13 rozporządzenia w sprawie KRI wprowadzono procedurę zgłaszania incydentów naruszenia bezpieczeństwa informacji, którą opisano w rozdziale 7 zarządzenia nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r. W urzędzie obowiązywała procedura tworzenia i przechowywania kopii zapasowych. Zgodnie z obowiązującą procedurą kopie zapasowe danych sporządzane były codziennie. Test kopii zapasowych odbywał się poprzez sprawdzenie poprawności rozpakowania kopii. Kopie zapasowe 4

5 przechowywane były w.. oraz dodatkowo w innym pomieszczeniu na..., pełniącą również inne role związane z administrowaniem systemem informatycznym. Powyższy stan spełniał wymogi określone w 20 ust. 2 pkt 12 lit. b rozporządzenia w sprawie KRI w zakresie minimalizowania ryzyka utraty informacji w wyniku awarii. Poddane kontroli systemy teleinformatyczne eksploatowane były z uwzględnieniem wymogów funkcjonalności, używalności, niezawodności i wydajności, określonych w 15 ust. 1 rozporządzenia w sprawie KRI. Jednocześnie w okresie objętym kontrolą nie wystąpiły przypadki projektowania i wdrażania systemów teleinformatycznych oraz nie dokonywano istotnych zmian w działaniach systemów informatycznych używanych w Kuratorium. W jednostce określono zasady wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych, zgodnie z którymi przegląd i konserwacja sprzętu informatycznego oraz nośników informacji wbudowanych w sprzęt stacjonarny są realizowane przez pracowników wyznaczonych przez administratora systemów informatycznych. Zasady postępowania zapewniające ochronę informacji przed ich kradzieżą, nieuprawnionym dostępem lub zakłóceniami zawarto w załączniku nr 2 do zarządzenia nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r. W przedmiotowym zarządzeniu określono m. in.: zasady postępowania przy wykonywaniu przeglądów i konserwacji systemów oraz nośników informacji, sposób zabezpieczania systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, ogólne zasady postępowania z nośnikami informacji, w których wskazano, że w przypadku zmiany przeznaczenia sprzętu komputerowego dane osobowe na nim zapisane podlegają usunięciu, zaś w przypadku likwidacji sprzętu komputerowego, związane z nim nośniki danych, np. dysk twardy, podlegają fizycznemu zniszczeniu. Jednocześnie stwierdzono, że ochroną i monitoringiem siedziby Kuratorium zajmuje się wyspecjalizowana firma na podstawie zawartej umowy. W budynku znajduje się system alarmowy oraz kamery. Klucze do pomieszczeń służbowych przechowywane są w.... znajdującej się w. W przypadku pomieszczenia serwerowni klucze nie są ogólnodostępne dysponują nimi wyłącznie. W urzędzie stosuje się monitoring polegający na przeglądaniu dzienników systemowych i aplikacji. Ponadto okresowo następuje weryfikacja istniejących kont użytkowników pod kątem prawidłowego wycofania uprawnień. Powyższy stan spełniał wymogi w zakresie zabezpieczeń technicznoorganizacyjnych systemów, określone w 20 ust. 2 pkt 7, 9 oraz 11 rozporządzenia w sprawie KRI. 5

6 W celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji w Kuratorium zarządzenie dystrybucją aktualizacji i poprawek systemów operacyjnych Windows odbywa się... W okresie miesięcznym administrator akceptuje i dystrybuuje aktualizacje i poprawki na stacje robocze. Również serwery z system operacyjnym Windows Server aktualizowane są. w terminie miesiąca. W Kuratorium funkcjonuje system antywirusowy. Aktualizacje sygnatur wykonują się automatycznie, co zostało potwierdzone na stacji roboczej. Zarządzanie systemem na stacjach roboczych odbywa się centralnie przy pomocy konsoli administracyjnej. System na bieżąco pobiera dostępne aktualizacje bazy sygnatur wirusów. W jednostce funkcjonuje urządzenie brzegowe typu firewall, które zapewnia jednocześnie ochronę antyspamową, antywirusową, IPS oraz filtrowanie URL. Urządzenie realizuje połączenia sieciowe z. oraz... Strona internetowa oraz strona BIP Kuratorium uruchomiona jest na serwerze umieszczonym w infrastrukturze lokalnej Kuratorium. System, na którym pracuje serwer aktualizowany jest systematycznie.. Powyższy stan zabezpieczeń funkcjonujących w Kuratorium spełnia wymogi określone w 20 ust. 2 pkt 12 rozporządzenia w sprawie KRI. W załączniku nr 2 do zarządzenia nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r. wskazano metody i środki uwierzytelniania w postaci dostępu do systemu informatycznego. Zapewnienie rozliczalności operacji w Kuratorium polegało na gromadzeniu informacji o wykonanych czynnościach w systemach teleinformatycznych. W stosunku do systemu przeglądu logów dokonują pracownicy... Logi w systemach Kuratorium są przeglądane systematycznie (serwisy www i BIP, logi serwisów) lub doraźnie w razie podejrzeń wystąpienia sytuacji nietypowych. Logi są zbierane od początku działania ww. stron (przez okres ponad 2 lat). Z zapisów logów można jednoznacznie zidentyfikować użytkownika wprowadzającego modyfikację, czas dokonania czynności oraz adres IP komputera, z którego dokonano czynności. W systemie logów ujawnione są również czynności administratora. Funkcjonujące w Kuratorium systemy zbierania logów poszczególnych systemów teleinformatycznych spełniały wymogi, o których mowa w 21 rozporządzenia w sprawie KRI. W wyniku kontroli stwierdzono następujące nieprawidłowości: 1. Nieprzeprowadzenie w okresie objętym kontrolą okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Zaniechaniem takim naruszono dyspozycję 20 ust. 2 pkt 14 rozporządzenia w sprawie KRI, zgodnie z którym kierownictwo podmiotu publicznego umożliwia realizację i egzekwowanie działań w zakresie cyt.: ( ) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok. Zgodnie z wyjaśnieniem Mazowieckiego Wicekuratora Oświaty z 5 czerwca 2017 r. 6

7 cyt.: ( ) nie przeprowadzono audytu wewnętrznego w zakresie bezpieczeństwa informacji. W Kuratorium nie ma pracownika o kwalifikacjach niezbędnych do przeprowadzenia audytu w ww. zakresie ( ). 2. Nieprzeprowadzenie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji 7. Zaniechaniem takim naruszono dyspozycję 20 ust. 2 pkt 3 rozporządzenia w sprawie KRI, zgodnie z którym kierownictwo podmiotu publicznego umożliwia realizację i egzekwowanie działań w zakresie cyt.: (...) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosowanie do wyników przeprowadzonej analizy. 3. Opracowanie Polityki Bezpieczeństwa Informacji jako elementu systemu zarządzania bezpieczeństwem informacji, która w niewystarczający sposób regulowała działanie systemów teleinformatycznych, tj. ww. dokument w szczególności sporządzony został w zawężeniu do ochrony danych osobowych 8. W Kuratorium obowiązywało Zarządzenie nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r. w sprawie ustalenia Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Kuratorium Oświaty w Warszawie, w którym określono środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń. W zarządzeniu nie uregulowano natomiast w wystarczającym zakresie bezpieczeństwa systemów teleinformatycznych jako odrębnego zagadnienia, niezależnego od charakteru przetwarzanych danych. Należy zwrócić uwagę, że system zarządzania bezpieczeństwem informacji odnosi się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Podmiot publiczny aby zapewnić bezpieczeństwo informacji działania systemów teleinformatycznych winien zastosować podejście systemowe, w ramach którego będzie zarządzał kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji. Kompleksowość podejścia oznacza objęcie systemem zarządzania bezpieczeństwem informacji całej organizacji wraz ze wszystkimi systemami teleinformatycznymi i procesami przetwarzania informacji w niej zachodzącymi 9. Powyższym naruszono regulacje 20 ust. 1 rozporządzenia w sprawie KRI zgodnie z którą cyt.: Podmiot realizujący zdania publiczne opracowuje i ustanawia, wdraża i eksploatuje, 7 W toku kontroli przedstawione zostało oświadczenie z 28 stycznia 2016 r. podpisane przez Mazowieckiego Kuratora Oświaty o dokonanej analizie ryzyka cyberprzestrzeni za rok 2015, w którym stwierdzono, że analiza ryzyka systemu teleinformatycznego na dzień 31 grudnia 2015 r. nie przekracza poziomu ryzyka szczątkowego. 8 W toku kontroli zarządzeniem nr 31 Mazowieckiego Kuratora Oświaty z dnia 25 maja 2017 r. powołano Zespół ds. wykonania opracowania projektu systemu zarządzania bezpieczeństwem w Kuratorium Oświaty w Warszawie. 9 Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych, opracowane przez Ministerstwo Cyfryzacji. Warszawa, 15 grudnia 2015 r. 7

8 monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 4. Niewskazanie w trzech umowach abonamentowych 10 dotyczących użytkowania i serwisu oprogramowania IT zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji. Działaniem takim naruszono wymóg 20 ust. 2 pkt 10 rozporządzenia w sprawie KRI, zgodnie z którym kierownictwo podmiotu publicznego umożliwia realizację i egzekwowanie działań w zakresie cyt.: ( ) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji. Ponadto w wyniku kontroli stwierdzono, że w przypadku dostępu z urządzeń przenośnych, wykorzystywane są certyfikaty użytkowników podpisane... Obecnie kryptograficzny algorytm podpisu.. uważany jest za niewystarczający i mogący w niedalekiej przyszłości powodować problemy oraz brak kompatybilności z nowymi systemami i rozwiązaniami teleinformatycznymi. Jednocześnie w trakcie przeprowadzonych oględzin ustalono, że serwery Kuratorium ustawione były na podłodze pomieszczenia obok instalacji centralnego ogrzewania, co zagrażało zalaniem serwerów w przypadku przecieku instalacji, a przez to mogło spowodować niedostępność lub utratę danych. Przedstawiając powyższe informuję, że realizację zadań w zakresie działania systemu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych ocenia się pozytywnie pomimo stwierdzonych nieprawidłowości. Ustalenia kontroli wykazały, że w Kuratorium zapewniono inwentaryzację sprzętu i oprogramowania służącego do przetwarzania informacji, a osoby zaangażowane w proces przetwarzania informacji były przeszkolone i posiadały stosowne uprawnienia. W Kuratorium wdrożono procedurę zgłaszania incydentów naruszenia bezpieczeństwa informacji, podejmowano działania związane z przechowywaniem i testowaniem kopii zapasowych, eksploatacja systemów teleinformatycznych odbywała się z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności. Ponadto systemy teleinformatyczne funkcjonujące w Kuratorium posiadały wymagane zabezpieczenia techniczno-organizacyjne oraz zapewniono ich rozliczność. 10 Dotyczy umów zawartych pomiędzy firmą.. a Kuratorium Oświaty w Warszawie z 30 maja 2016 r. (dot. oprogramowania ), 30 września 2016 r. (moduł.) oraz 13 lutego 2017 r. ( ). 8

9 Mając natomiast na uwadze, że w jednostce: - nie przeprowadzono audytu wewnętrznego w zakresie bezpieczeństwa informacji oraz okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji, - opracowana dokumentacja dotycząca polityki bezpieczeństwa w niewystarczający sposób regulowała działanie systemów teleinformatycznych, - niewskazano w umowach serwisowych zapisów gwarantujących odpowiedni poziom bezpieczeństwa, a także inne opisane powyżej uchybienia, uzasadnione jest sformułowanie oceny pozytywnej pomimo stwierdzonych nieprawidłowości. III. Zapewnienie dostępności informacji zawartych na stronach internetowych jednostki dla osób niepełnosprawnych Strony internetowe Kuratorium działające pod adresem oraz zostały dostosowane do potrzeb osób niedowidzących poprzez możliwość zmiany kontrastu oraz zmiany wielkości tekstu (potrójne A). Strony internetowe działające w Kuratorium poddano weryfikacji zgodności ze standardem WCAG 2.0 za pomocą walidatora oraz W wyniku weryfikacji ww. stron internetowych ustalono w przypadku pierwszego walidatora obecność 16 i 2 ostrzeżeń, natomiast w przypadku drugiego - 2 błędy i 240 ostrzeżeń. 11 Stwierdzono, że powyższy stan spełniał wymogi określone w 19 rozporządzenia w sprawie KRI. Ustalenia kontroli wykazały, że w Kuratorium zapewniono dostępność informacji zawartych na stronach internetowych urzędu dla osób niepełnosprawnych, w związku z czym uzasadnione jest sformułowanie oceny pozytywnej. Przedstawiając powyższe ustalenia zobowiązuję Panią Kurator do podjęcia działań w celu wyeliminowania ustalonych nieprawidłowości, a w szczególności do: 1. Przeprowadzania okresowych audytów wewnętrznych w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok, zgodnie z dyspozycją 20 ust. 2 pkt 14 rozporządzenia w sprawie KRI. 11 Zgodnie z wyjaśnieniem Mazowieckiego Wicekuratora Oświaty z 23 czerwca 2017 r. Podstawowy walidator sprawdza zgodność strony z wymaganiami dotyczącymi osób niepełnosprawnych (WCAG 2.0). Drugi walidator, ma charakter pomocniczy - stosujemy go do sprawdzania zgodności używanych stylów ze standardem css. Po weryfikacji stron drugim walidatorem i ich analizie usunęliśmy większość błędów. Pozostały jednak dwa, które wynikają z pewnych odstępstw od standardu css. Związane z nimi mechanizmy strony www są zarazem bardzo ważne dla jej działania, między innymi dla zapewnienia poprawnego wyświetlania w różnych przeglądarkach internetowych. Błędy te uznajemy za akceptowalne ponieważ nie mają one wpływu na dostępność stron dla osób niepełnosprawnych (WCAG) weryfikowaną walidatorem podstawowym. 9

10 2. Przeprowadzenia okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, zgodnie z dyspozycją 20 ust. 2 pkt 3 rozporządzenia w sprawie KRI. 3. Opracowania kompleksowej Polityki Bezpieczeństwa Informacji obejmującej system zarządzania bezpieczeństwem informacji całej organizacji wraz ze wszystkimi systemami teleinformatycznymi i procesami przetwarzania informacji w niej zachodzącymi, w myśl 20 ust. 1 rozporządzenia w sprawie KRI. 4. Zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji, zgodnie z wymogami 20 ust. 2 pkt 10 rozporządzenia w sprawie KRI. Jednoczenie wskazuję na zasadność przeprowadzenia migracji certyfikatów podpisanych algorytmem na poprzez wymianę na nowe (dotyczy dostępu z urządzeń przenośnych), a także umieszczenia serwerów Kuratorium w sposób uniemożliwiający ich uszkodzenie w przypadku przecieku instalacji grzewczej. Przedstawiając powyższe informuję, że zgodnie z art. 48 ustawy o kontroli w administracji rządowej 12 od wystąpienia pokontrolnego nie przysługują środki odwoławcze oraz zobowiązuję Panią Kurator na podstawie art. 49 ww. ustawy do przekazania, w terminie 14 dni od daty otrzymania niniejszego wystąpienia pokontrolnego, pisemnej informacji o sposobie wykonania zaleceń, wykorzystaniu wniosków lub przyczynach ich niewykorzystania albo o innym sposobie usunięcia stwierdzonych nieprawidłowości. Z up. Wojewody Mazowieckiego Bogusław Krupa Zastępca Dyrektora Wydziału Kontroli 12 Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 10