dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych Warszawa, dnia (j listopada 2015 r.
|
|
- Józef Fabian Szewczyk
- 7 lat temu
- Przeglądów:
Transkrypt
1 główny główny kierownik członek Upoważnienie Upoważnienie Warszawa, dnia (j listopada 2015 r. MiNISTER ADMiNISTRACJI I CYFRYZACJI DKSiW-WKiN Egz. Nr. Minister Środowiska WYSTĄPIENIE POKONTROLNE Zgodnie z art. 47 w związku z art. 46 tist. 1 i 3 ustawy z dnia 15 lipca r. o kontroli W administracji rządowej uprzejmie przekazuję Panu Ministrowi Wystąpienie pokontrolne. Na podstawie art. 25 ust. 1 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne2, w Ministerstwie Środowiska (dalej : MŚ) została przeprowadzona kontrola dotycząca działania systemów teleinformatycznych, używanych do realizacji zadań publicznych oraz realizacji obowiązków wynikających z art. 13 ust. 2 ustawy o informatyzacji podmiotów realizijqcych zadania publiczne, pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych i wymiany informacji w postaci elektronicznej. Kontrolę przeprowadzono w trybie zwykłym, określonym ustawą z dnia 15 lipca r. Czynności kontrolne prowadzone były w dniach sierpnia 2015 r. przez zespół kontrolny w składzie: 1. Marcin Kaczorek Skarg i Wniosków MAC 18 sierpnia20l5 r., specjalista w Wydziale Kontroli i Nadzoru Departamentu Kontroli, zespołu kontrolnego nr 48/201 5 z dnia 2. Bogdan Kowalczyk specjalista w Wydziale Kontroli i Nadzoru Departamentu Kontroli, Skarg i Wniosków MAC z dnia 18 sierpnia 2015 r. zespołu kontrolnego nr 49/2015 Celem kontroli było dokonanie oceny działania systemów teleinformatycznych pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub rejestrów publicznych oraz przestrzegania wymagań odnoszących się do Krajowych Ram Interoperacyjności. 1 Dz. U. Nr 185, poz Dz.U.z2014r.,poz Strona 1 Z 21
2 bezpieczeństwo Centrum pozytywnie Kontrolą objęto okres od dnia 1 lipca r. do dnia 30 czerwca r. Zespół kontrolny poddał analizie funkcjonujący w MŚ System Zarządzania Bezpieczeństwem Informacj I oraz 2 z 1 8 systemów teleinformatycznych MŚ:. Strona internetowa O Rejestr mikroorganizmów i organizmów genetycznie zmodyfikowanych - UMO. OCENA Na podstawie analizy dokumentacji źródłowej oraz otrzymanych pisemnych wyjaśnień zespół kontrolny sformułował następującą ocenę kontrolowanych obszarów: 1. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną oraz dostosowanie systemów informatycznych do standardu WCAG 2.0 z uchybieniami; 2. Wdrożenie systemu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych pozytywnie z uchybieniami. Podsumowując całościowo wyniki analizy dokumentacji źródłowej dotyczącej kontrolowanych zagadnień oraz otrzymanych pisemnych wyjaśnień pozytywnie z uchybieniami oceniono działanie systemów teleinformatycznych w MŚ pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub rejestrów publicznych oraz przestrzegania wymagań odnoszących się do Krajowych Ram Interoperacyjności: 1. Kontrola wykazała, że MŚ spelnia wymagania dotyczące dostosowania posiadanych systemów informatycznych do wymiany informacji w postaci elektronicznej, w tym współpracy z innymi systemami/rejestrami informatycznymi oraz wspomagania świadczenia usług drogą elektroniczną w sposób prawidłowy, zgodnie z wymaganiami rozporządzenia. Stwierdzone uchybienie dotyczy niepełnego dostosowania systemów informatycznych do standardu WCAG W MŚ został skutecznie wdrożony system zarządzania bezpieczeństwem informacji w systemach teleinformatycznych. System działa prawidłowo, zgodnie z wymaganiami rozporządzenia. Stwierdzone uchybienia dotyczyły sporządzonej analizy ryzyka, okresu przechowywania logów systemowych oraz braku cyklicznych szkoleń pracowników zaangażowanych w proces przetwarzania informacji. I. SZCZEGÓŁOWE USTALENIA KONTROLI Słownik: BW BI CPI Biuletyn Informacji Publicznej informacji Projektów Informatycznych Strona 2 Z 21
3 Ministerstwo Repozytorium dokument elektroniczna Krajowe format Ministerstwo (eltensible Elektroniczna centralne właściwość zapewnienie zdolność rozporządzenie ustawa tekstowy część CRWDE epuap repozytorium wzorów dokumentów elektronicznych Platforma Usług Administracj I Publicznej. System teleinformatyczny udostępniający usługi elektroniczne administracji publicznej dla obywateli i podmiotów prowadzony przez ministra właściwego do spraw informatyzacji ESP KRI skrzynka podawcza Ramy Interoperacyjności stanowią zbiór zasad i sposobów postępowania podmiotów w celu zapewnienia systemom informatycznym interoperacyjności działania, rozumianej jako zdolność tych systemów oraz wspieranych przez nie procesów do wymiany danych oraz do dzielenia się informacjami i wiedzą MAC MŚ lu Administracji i Cyfryzacj i Środowiska Interoperacyjności informacj i służących osiąganiu interoperacyjności rozporządzenie epuap zasobów epuap przeznaczona do udostępniania Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. W sprawie zakresu i warunków korzystania z elektronicznejplatforrny usług administracji publicznej3 rozporządzenie KRI rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych4 ustawa o informatyzacji realizujących zadania publiczne XML Markzip Language) z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów format służący do opisywania informacji (danych) w sposób strukturalny; jest to format, przy pomocy którego nadaje się znaczenie poszczególnym fragmentom informacji PDF plików służący do prezentacji, przenoszenia i drukowania treści tekstowo-graficznych, stworzony i promowany przez firmę Adobe Systems; format PDF powstał jako format wynikowy, mający zachować pełny wygląd dokumentu po wydrukowaniu doc dostępność w postaci sformatowanego tekstu, wewnętrzny standard Microsoft Corp. bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot integralność interoperacyjność teleinformatycznych i dokładności i kompletności informacj i oraz metod jej przetwarzania różnych podmiotów oraz używanych przez nie systemów rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów, z uwzględnieniem współdzielenia informacji i wiedzy przez wspierane przez nie procesy biznesowe realizowane za pomocą wymiany danych za pośrednictwem wykorzystywanych przez te podmioty systemów teleinformatycznych; osiąganie interoperacyjności następuje poprzez ciągłe doskonalenie jednostki w zakresie zarządzania systemami informatycznymi 3 Dz. U. z 2014 r., poz Dz. U. z 2012 r., poz z późn. zm. Strona3 z21
4 zapewnienie, w zestaw model usługowy model architektury systemu informatycznego, w którym dla użytkowników (klientów/odbiorców) zdefiniowano stanowiące odrębną całość funkcje systemu teleinformatycznego (usługi sieciowe) oraz opisano sposób korzystania z tych funkcji polityka bezpieczeństwa informacji, polityka BI praw, reguł i praktycznych doświadczeń, regulujących sposób zarządzania, ochrony i dystrybucji informacji wewnątrz określonej organizacji poufność usługa elektroniczna że informacja jest dostępna tylko dla osób do tego upoważnionych myśl art. 2 pkt 4 ustawy z dnia 1 8 lipca 2002 r. o świadczeniu usług drogą elektroniczną5, jest to usługa świadczona bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania współdzielenie informacji wspólne użytkowanie tych samych zasobów przez różne osoby i/lub podmioty, np. zasobów takichjak: pliki, bazy danych, dokumenty itp. 1. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usiug drogą elektroniczną oraz dostosowanie systemów informatycznych do standardu WCAG 2.0 Przepisy dotyczące interoperacyjności mają na celu stworzenie warunków do współdziałania ze sobą systemów informatycznych jednostek realizujących zadania publiczne w celu zapewnienia szybkiej wymiany informacji zarówno wewnątrz urzędu, jak i z innymi urzędami administracji publicznej. Wdrożenie tych przepisów powinno przyczynić się do usprawnienia realizacji zadań urzędów, w tym załatwiania spraw obywateli i przedsiębiorców, na odległość i w krótszym czasie, bez żądania informacji będących już w posiadaniu urzędów. Jednocześnie, powinny zostać stworzone warunki korzystania z serwisów internetowych urzędu przez osoby niepełnosprawne Usługi elektroniczne Jednym z podstawowych celów działania urzędu jest realizacja usług wobec obywateli i innych podmiotów w sposób szybki i sprawny oraz maksymalnie przyjazny dla obywatela. Realizację praktyczną ww. postulatów można uzyskać poprzez udostępnienie wszelkich możliwych ushig na platformie elektronicznej dostępnej przez sieć Internet. Tak realizowane usługi pozwolą na załatwianie spraw w urzędzie z domu lub z dowolnego innego miej sca, w którym obywatel/podmiot ma dostęp do sieci. Usługi powinny być świadczone wg jednolitych, standardowych procedur, jasno komunikowanych obywatelowi/podmiotowi. Celem stosowania usług elektronicznych jest ułatwienie w dostępie do usług poprzez wyeliminowanie korespondencji papierowej obywatela/podmiotu z urzędem, zastąpienie druków i formularzy papierowych ich odpowiednikami elektronicznymi dostępnymi do wypełnienia na platformie usług elektronicznych 5 Dz. U. z 2013 r., poz Strona 4 Z 21
5 urzędu, a także wyeliminowanie papierowych dokumentów kierowanych do obywatela/podmiotu i zastąpienie ich odpowiednikami elektronicznymi przesyłanymi np. pocztą elektroniczną. MŚ świadczy6 7 usług w formie elektronicznej z wykorzystaniem ESP udostępnionej na platformie epuap:. Pismo ogólne do urzędu; S Skargi, wnioski, zapytania do urzędu;. Udostępnianie informacji publicznej na wniosek;. Udostępnienie informacji o środowisku ijego ochronie;. Składanie informacji o opłatach z Prawa geologicznego i górniczego;. Sprawozdawczość budżetowa jednostek sektora finansów publicznych;. Sprawozdawczość w zakresie operacj i finansowych. Jak wynika z przedłożonych wyjaśnień7, MŚ jest w trakcie przygotowywania 12 kolejnych e-usług. MŚ zamieściło na głównej stronie internetowej, będącej jednocześnie stroną BlP MŚ, odesłania do opisów usług, które zawierają wymagane informacje dotyczące m.in. aktualnej podstawy prawnej świadczonych usług, nazwy usług, miej sca świadczenia usług (złożenia dokumentów), terminu składania i załatwiania spraw oraz nazwy komórek odpowiedzialnych za załatwienie spraw, zgodnie z 5 ust. 2 pkt 1 i 4 rozporządzenia KRI. (Dowód: akta kontroli str , , ) 1.2. Centralne repozytorium wzorów dokumentów elektronicznych W celu ujednolicenia w skali kraju procedur usług świadczonych przez urzędy drogą elektroniczną, w tym ujednolicenia wzorów dokumentów elektronicznych w CRWDE przechowywane są wzory opracowanych i używanych dokumentów. W przypadku uruchamiania przez dany urząd usługi elektronicznej, która już funkcjonuje, dany urząd powinien skorzystać z procedury obsługi tej usługi oraz zastosować wzory dokumentów elektronicznych znajdujących się w CRWDE. W przypadku uruchamiania usługi, dla której nie ma wzorów dokumentów w CRWDE, urząd jest zobowiązany opracować i przekazać do CRWDE wzory dokumentów elektronicznych z nią związanych. Obecnie MŚ udostępnia 7 wzorów dokumentów elektronicznych, z czego w okresie objętym kontrolą, zgodnie z art. 19b ust. 3 ustawy o informatyzacji, na stronie BlP MŚ umieszczono linki do wzorów oraz zamieszczono w CRWDE wzory 5 dokumentów elektronicznych: S Wzór informacji dotyczącej opłaty za składowanie dwutlenku węgla w podziemnych składowiskach;. Wzór rocznego sprawozdania wójta, burmistrza lub prezydenta miasta z realizacji zadań z zakresu gospodarowania odpadami komunalnymi;. Wzór informacji dotyczącej opłaty za podziemne składowanie odpadów;. Wzór informacji dotyczącej opłaty za bezzbiornikowe magazynowanie substancji w górotworze; 6 Zgodnie z art. 16 ust. 1 a ustawy o informatyzacji. 7 Opracowany przez Zastępcę Dyrektora Biura Dyrektora Generalnego Pana Andrzeja Smolińskiego Kwestionarittsz dotyczący działania systemów teleinformatycznych używanych do realizacji zadań publicznych. Strona 5 Z 21
6 . Wzór informacji dotyczącej opłaty za wydobytą kopalinę, przy czym 3 ostatnie wzory uaktualniały wzory zamieszczone w CRWDE w dniu 2 lipca 2012 r. (Dowód: akta kontroli str. 366) 1.3. Model usługowy Model usługowy został zdefiniowany w 2 pkt 8 rozporządzenia KRI. To model, w którym dla użytkowników zdefiniowano stanowiące odrębną całość funkcje systemu teleinformatycznego (usługi sieciowe) oraz opisano sposób korzystania z tych funkcji (inaczej: system zorientowany na usługi). Zarządzanie usługami elektronicznymi w oparciu o model usługowy wymaga posiadania i stosowania wewnętrznych procedur obsługi usługi oraz dostarczania ich na zadeklarowanym poziomie ( 1 5 ust. 2 rozporządzenia KRI). Dokumentem regulującym ten zakres jest Notatka z dnia r. nt. ustalenia i monitorowania wskaźników z zakresu bezpieczeństwa systemów i usług IT, zaakceptowana i przekazana do realizacj i przez Dyrektora Generalnego MŚ. MŚ realizuje model usługowy w procesie świadczenia usług elektronicznych. W badanych systemach stwierdzono, że zarządzanie usługami odbywa się w oparciu o ustalone procedury. Opracowano wskaźniki dostępności usług oraz określono ich wymagany poziom. Stwierdzono, że poziom dostępności usług (dla badanych systemów) jest na bieżąco monitorowany oraz porównywany z zadeklarowanym oraz że deklarowany poziom usług był dochowany w okresie objętym kontrolą dla usług oferowanych przez systemy objęte kontrolą. Poziom dostępności usług jest wyliczany automatycznie przy wykorzystaniu specjalistycznego oprogramowania Quest Foglight, którego zadaniem jest ciągłe zbieranie informacji o dostępności serwisów internetowych MŚ, informowanie administratorów technicznych o ewentualnych przerwach W ich dostępności, a także gromadzenie uzyskanych informacji w celu prezentacji statystyk w miesięcznych raportach dostępności. Dla e-usług MŚ, udostępnionych za pośrednictwem niezależnej od MŚ platformie epuap (zarządzanej przez Centrum Projektów Informatycznych), nie określono poziomu ich dostępności, gdyż nie ma możliwości technicznej ingerencji w funkcjonowanie zewnętrznego środowiska informatycznego (epuap). (Dowód: akta kontroli str. 248, , ) 1.4. Współpraca badanych systemów informatycznych z innymi systemami Wiele rejestrów w urzędach administracji publicznej przechowuje i przetwarza identyczne informacje np. o obywatelu/podmiocie (PESEL, REGON, NIP, dane adresowe). Ułatwieniem w załatwieniu spraw dla obywatela/podmiotu będzie sytuacja, gdy urząd nie będzie żądał od obywatela/podmiotu informacji będących już w posiadaniu urzędów. Realizacja tego postulatu wymaga, aby system informatyczny, w którym prowadzony jest rejestr odwoływał się bezpośrednio do danych gromadzonych w innych rejestrach publicznych uznanych za referencyjne w zakresie niezbędnym do realizacji zadań. Strona 6 Z 21
7 Rejestry GMO zgodnie z ustawą z dnia 22 czerwca 2001 r. o mikroorganizmach i organizmach genetycznie zmodyjucowanych8 są prowadzone w postaci elektronicznej, umieszcza się w nich dane zawarte we wnioskach, zgłoszeniach, zezwoleniach, decyzjach oraz zgodach. Systemy objęte badaniem nie wchodzą w bezpośrednią interakcję z innymi systemami informatycznymi, gdyż pełnią rolę informacyjną. W związku z powyższym nie są wyposażone w sprzęt i programy pozwalające na wymianę informacji z innymi systemami telekomunikacyjnymi za pomocą protokołów komunikacyjnych ( 16 ust. 1 rozporządzenia KRI). Objęte badaniem systemy pozwalają administratorowi merytorycznemu (pracownikowi MŚ) na zaimportowanie ręczne dokumentów w formacie PDF oraz na ręczne wygenerowanie wydruków i zestawień tabelarycznych, np. raporty z rejestrów UMO. System rejestrów UMO przechowuje dane dotyczące podmiotu i jego lokalizacji, jednakże nie odwołuje się do rejestrów referencyjnych ( 5 ust. 3 pkt 3 rozporządzenia KRI). (Dowód; akta kontroli str , ) 1.5. Obieg dokumentów Stosowanie systemu elektronicznego obiegu dokumentów wpływa na uporządkowanie i usprawnienie ich obiegu, znacząco usprawnia ich archiwizację oraz zapewnia łatwy dostęp do dokumentów archiwalnych, co wpływa na przyspieszenie załatwianych spraw (realizowanych przez urzędy usług) oraz minimalizowanie nakładu pracy. Celem wdrożenia elektronicznego obiegu dokumentów jest wyeliminowanie z obiegu wewnętrznego urzędu dokumentów papierowych. W MŚ, zgodnie z porozumieniem z Podlaskim Urzędem Wojewódzkim z dnia 26 stycznia 2015 r., wdrażany jest system elektronicznego zarządzania obiegiem dokumentów Ełektroniczne Zarządzanie Dokumentacją. (Dowód: akta kontroli str , ) 1.6. Format danych udostępniany przez badane systemy informatyczne Istotą współdzielenia informacji w urzędach jest stworzenie możliwości wymiany danych pomiędzy różnymi systemami informatycznymi oraz umożliwienie odbiorcom swobodnego dostępu do informacji poprzez wygenerowanie danych w powszechnie znanych i dostępnych formatach plików. Dla badanych systemów MŚ kodowanie znaków w wysyłanych z systemów dokumentach odbywa się według standardu Unicode UTF-8, zgodnie z 17 ust. 1 rozporządzenia KRI. Systemy udostępniają zasoby informatyczne w jednym z formatów danych określonych w załączniku 2 do rozporządzenia tj. w doc i PDF, zgodnie z 1 8 ust. 1 rozporządzenia KRI. (Dowód; akta kontroli str , ) 1.7. Zapewnienie dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych W eksploatowanych systemach teleinformatycznych powinny zostać zastosowane rozwiązania techniczne umożliwiające osobom niedoslyszącym lub niedowidzącym zapoznanie się z treścią 8 Dz. U. z 2015 r., poz Strona 7 Z 21
8 w w informacji m.in. poprzez powiększenie czcionki, obrazu, zmianę kontrastu czy też odsłuchanie wyświetlanej treści - zgodnie ze standardem WCAG 2.0. Termin dostosowania systemów teleinformatycznych do prezentacji zasobów informacyjnych wg powyższego standardu upłynął 30 maja 2015 r. Strony internetowe badanych systemów MŚ nie zostały w pełni dostosowane do odbioru ich treści przez osoby niepełnosprawne. Zastosowane rozwiązania techniczne umożliwiające osobom niedowidzącym zapoznanie się z treścią informacji poprzez powiększenie czcionki dotyczyły głównie podstawowych informacji ogólnych umieszczonych na stronach. Pozostałe treści, w tym np. załączone dokumenty w formatach PDF i doc nie były dostosowane do potrzeb osób niedowidzących. Regulacja wewnętrzna pn. Procedura określania specyfikacji technicznych i wymagań odbioru systemów IT wskazuje na konieczność określania w specyfikacji technicznej dla nowych lub przebudowywanych systemów MŚ wymagań zgodności z 19 rozporządzenia KRI, a także wymaganie testowania odbieranego systemu pod tym kątem. W stosunku do obydwu badanych systemów planowane jest wdrożenie ich nowych wersji, a w umowach z wykonawcami tych systemów znajdą się wymagania określone w 19 rozporządzenia KRI. (Dowód; akta kontroli str , ) Ustalenia: 1. MŚ świadczy 7 usług w formie elektronicznej z wykorzystaniem Elektronicznej Skrzynki Podawczej udostępnionej na platformie epuap oraz jest w trakcie przygotowywania 12 kolejnych e-usług. 2. MŚ udostępnia 7 wzorów dokumentów elektronicznych. 3. Zarządzanie usługami elektronicznymi w MŚ odbywa się w oparciu o model usługowy zgodnie z 1 5 ust. 2 rozporządzenia KRI. 4. Dla kontrolowanych systemów kodowanie znaków w wysyłanych z systemów dokumentach odbywa się według standardu Unicode UTF-8, zgodnie z ł7 ust. 1 rozporządzenia KM. 5. Systemy objęte badaniem nie wchodzą w bezpośrednią interakcję z innymi systemami informatycznymi, gdyż pełnią rolę informacyjną. 6. System rejestrów GMO przechowuje dane dotyczące podmiotu ijego lokalizacji, jednakże nie odwołuje się do rejestrów referencyjnych. 7. Nie w pełni dostosowano systemy MŚ do wymogów prezentacji zasobów informacyjnych zgodnie ze standardem WCAG 2.0 określonych w 19 rozporządzenia KM. 2. Wdrożenie systemu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych Wraz z rozwojem elektronicznej formy komunikacji znaczenia nabiera zapewnienie dostępności, integralności i poufności danych posiadanych i przetwarzanych przez urzędy. Dlatego też, szczególnie 9 Rejestry GMO trakcie kontroli opracowano projekt umowy na wykonanie elektronicznych rejestrów, zakładając ok. 2 miesięcy na realizację systemu. Strona trakcie kontroli prowadzono postępowanie o tidzielenie zamówienia publicznego. W dniu 25 sierpnia 2015 r. upływał termin zlożenia ofert. Strona 8 Z 21
9 istotne jest zapewnienie bezpieczeństwa informacj i przetwarzanych w użytkowanych przez podmioty publiczne systemach informatycznych. W przeciwnym razie powstaje ryzyko tłtraty ww. właściwości gwarantujących bezpieczeństwo informacji, a w konsekwencji stabilności pracy urzędów. Podważyć to może zaufanie obywateli do organów administracji publicznej. Jednostka, aby zabezpieczyć swoje informacje powinna zastosować podejście systemowe, w ramach którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji Dokumenty z zakresu bezpieczeństwa informacji Zgodnie z 20 ust. 1 rozporządzenia KRI podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacj i zapewniający poufność, dostępność i integralność informacji. Wymaga to opracowania dokumentacji SZBI, w tym szeregu regulacji wewnętrznych oraz zapewnienia aktualizacji tych regulacji w zakresie dotyczącym zmieniającego się otoczenia ( 20 tist. 2 pkt 1 rozporządzenia KRI). Dokumentacja ta jest warunkiem niezbędnym możliwości skutecznego zarządzania bezpieczeństwem informacji. W MŚ opracowano, ustanowiono i wdrożono System Zarządzania Bezpieczeństwem Informacji. Zarządzenie Nr 1 1 Ministra Środowiska z dnia 3 lutego r. w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Środowiska ustanawia SZBI, który obejmuje strukturę organizacyjną, polityki, plany działania, zakresy odpowiedzialności, procesy i zasoby. Celem systemu jest zapewnienie poufności, dostępności oraz integralności informacji w komórkach organizacyjnych MŚ oraz w systemach informatycznych służących do przetwarzania informacj i w MŚ. Zarządzanie BI w MŚ odbywa się poprzez opracowaną i wdrożoną Politykę Bezpieczeństwa Informacji. Zarządzenie ustanawia Dyrektora Generalnego MŚ jako zarządzającego i nadzorującego funkcjonowanie SZBI. Zarządzeniem powołany został Zespół do spraw SZBI, który wspiera Dyrektora Generalnego w realizacji jego zadań poprzez praktyczne wdrażanie Polityki Bezpieczeństwa Informacji, jej monitorowanie i doskonalenie. Zespół zajmuje się między innymi szacowaniem ryzyk związanych z BI, analizą incydentów naruszenia BI, określeniem działań korygujących oraz doskonaleniem SZBI. Zarządzenie zobowiązuje dyrektorów komórek organizacyjnych MŚ do nadzorowania przestrzegania zasad BI w nadzorowanych komórkach organizacyjnych, a także do współpracy z Zespołem w zakresie szacowania ryzyka BI. SZBI został wdrożony zgodnie z harmonogramem opisanym w dokumencie Korekta harmonogramu opracowania i wdrożenia PBI w dniu r. Podstawowym dokumentem SZBI jest Polityka Bezpieczeństwa Informacji w Ministerstwie Środowiska zatwierdzona przez Dyrektora Generalnego MŚ w dniu 14 kwietnia 2014 r. PBI określa działania, które mają zapewnić odpowiedni poziom BI w MŚ, w tym opisuje organizację i ustala osoby odpowiedzialne oraz ich zakresy odpowiedzialności, wprowadza klasyfikację informacji, Strona 9 Z 21
10 Baza sposób postępowania z poszczególnymi rodzajami informacji. PBI określa aktywa oraz ich właścicieli, sposób szacowania ryzyka oraz sposób postępowania z ryzykiem. Integralną część PBI stanowią, zatwierdzane odrębnie od PBI: S Polityka bezpieczeństwa teleinformatycznego w Ministerstwie Środowiska wraz z procedurami i instrukcjami bezpieczeństwa z dnia 27 maja 2014 r.;. Polityka bezpieczeństwa informacji w Ministerstwie Środowiska w zakresie bezpieczeństwa Jzycznego z dnia 28 maja 2014 r.;. Polityka bezpieczeństwa informacji w Ministerstwie Środowiska w zakresie bezpieczeństwa danych osobowych z dnia 23 maja 2014 r.;. Polityka bezpieczeństwa informacji w MŚ w zakresie bezpieczeństwa zasobów ludzkich dokument nie został opracowany zgodnie z rekomendacją Zespołu ds. $ZBI i decyzją Dyrektora Generalnego MŚ. Nie skutkowało to jednak zmianą treści 19 PBI poprzez wykreślenie ww. polityki. W ramach SZBI w MŚ funkcjonują także inne regulacje wewnętrzne stanowiące dokumenty wykonawcze PBI, w tym:. Zarządzenie Nr 2 Dyrektora Generalnego Ministerstwa Środowiska z dnia 22 kwietnia 2014 r. W sprawie ustalenia regulamirnc korzystania z zasobów informatycznych Ministerstwa Środowiska;. Notatka do Dyrektor Generalnej MŚ z dnia 30 października 2014 r. w sprawie ustalenia i monitorowania wskaźników z zakresu bezpieczeństwa systemów i usług IT. W skład Polityki bezpieczeństwa teleinformatycznego wchodzą następujące procedury: a) Polityka konfiguracji - konfiguracji CMDB wersja z dnia 05 marca 2014 r.; b) Procedura otwierania, modyfikowania oraz zamykania kont w systemach informatycznych MŚ wersja 4 z dnia 13 maja 2015 r.; c) Polityka monitorowania parametrów wersja z dnia 27 maja 2014 r.; d) Procedura utrzymania dzienników administratora systemu/bazy oraz administratora sieci ŁAN wersja z dnia 27 maja 2014 r.; e) Procedura bezpieczeństwa i utylizacji sprzętu elektronicznego wersja O.O. 1 z dnia 27 maja 2014 r. D Procedura zgłaszania zmiany i wykonywania testów wersja z dnia 27 maja 2014 r.; g) Procedura stosowania środków kryptograficznych wersja z dnia 27 maja 2014 r.; h) Procedura określania specyfikacji technicznych wymagań odbioru systemów IT wersja O. 1.3 z dnia 27 maja 2014 r.; i) Procedura zmiany hasła wersja $1 z dnia 14 marca 2012 r.; j) Procedura wydawania komputerów wersja $1 z dnia 12 marca 2012 r.; k) Procedura wydawania i aktywacji tokena VPN z dnia 05 września 2013 r. Strona 10 z 21
11 SZBI jest monitorowany i poddawany przeglądom, w wyniku czego jest doskonalony zgodnie z 20 ust. 1 rozporządzenia KłU. Zespół do spraw SZBI, zgodnie z notatką służbową z dnia 23 grudnia 2014 r. dotyczącą funkcjonowania SZBI w MŚ w 2014 roku dokonał przeglądu: rejestru ryzyk, rejestru incydentów, wartości następujących wskaźników: poziomu bezpieczeństwa informacji, liczby pracowników zapoznanych z PBI, dostępności krytycznych systemów informatycznych (poziom usług) i przeglądu logów. Zespól wskazał na konieczne zmiany w PBI. Potwierdzono, że w MŚ stworzone są warunki aktualizacj i regulacji wewnętrznych dotyczących $ZBI w zakresie dotyczącym zmieniającego się otoczenia, zgodnie z 20 ust. 2 pkt 1 rozporządzenia KRI. (Dowód: akta kontroli str , ) 2.2. Dokonywanie analizy zagrożeń związanych z przetwarzaniem informacji Wymogiem skuteczności $ZBI jest przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji. Na analizę ryzyka składają się: identyfikacja, szacownie, a następnie określenie sposobu postępowania z ryzykiem oraz deklaracja stosowania zabezpieczeń będąca podstawą podejmowania wszelkich działań minimalizujących ryzyko, stosownie do przeprowadzonej analizy. Analiza ryzyka pozwala na proaktywne zarządzanie BI, w tym na przeciwdziałanie zagrożeniom oraz ograniczanie skutków zmaterializowanych ryzyk. Analiza ryzyka pozwala na racjonalne zarządzanie środkami finansowymi poprzez stosowanie zabezpieczeń adekwatnych do oszacowanego poziomu ryzyka. W MŚ w okresie objętym kontrolą przeprowadzano okresowe analizy ryzyka utraty integralności, poufności lub dostępności informacji, zgodnie z 20 ust. 2 pkt 3 rozporządzenia KRI. Regulacją wewnętrzną opisującą sposób zarządzania ryzykiem jest rozdział 6 PBI ( 14-16). W MŚ prowadzony jest rejestr ryzyk, zawierający informacje o zidentyfikowanych ryzykach, ich poziomie oraz sposobie postępowania z ryzykami. Dyrektor Generalny MŚ otrzymuje informacje o ryzykach uznanych za nieakceptowalne. Sporządzono m.in. notatkę służbową z dnia 23 czerwca 2014 r. o sygnaturze BDG-I /25 181/2014/AS nt. postępowania z ryzykami na poziomie dużym, zidentyfikowanym W aktywach IT skierowaną, i akceptowaną przez Dyrektora Generalnego MŚ. Wobec powyższych ryzyk podjęto działania wpływające na zmniejszenie ich poziomu do poziomu akceptowalnego decyzja o zakupie dodatkowego urządzenia zabezpieczającego na styku sieci MŚ z siecią Internet oraz wniosek o skierowanie na szkolenia informatyczne pracowników pionu IT. Badany rejestr ryzyk nie w pełni odpowiada potrzebom PBI, gdyż zawiera głównie ryzyka dotyczące zadań planowanych na potrzeby kontroli zarządczej. Rejestr nie uwzględnia szeregu istotnych ryzyk informatycznych związanych z ochroną BI, np. ryzyka pożaru serwerowni, ryzyka włamania do systemu informatycznego. Rejestr ryzyk jest prowadzony z wykorzystaniem oprogramowania SDPK e-risk, gdzie ryzyka są rejestrowane i opisywane w bazie danych. (Dowód; akta kontroli str , , , ) 2.3. Inwentaryzacja sprzętu i oprogramowania informatycznego Zarządzanie infrastrukturą informatyczną wymaga utrzymywania aktualności inwentaryzacj i sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację. Baza Stronail z21
12 inwentaryzacyjna powinna zawierać wszystkie zidentyfikowane aktywa informatyczne, przez co możliwe będzie ich odtworzenie. Baza inwentaryzacyjnajest niezbędna przy wprowadzaniu wszelkich zmian w środowisku teleinformatycznym urzędu ograniczając możliwość zaistnienia zakłóceń W pracy, które wynikałyby z błędnych decyzji i podejmowanych działań, wynikających z braku aktualnej i kompleksowej wiedzy o stanie infrastruktury teleinformatycznej. W MŚ prowadzony jest rejestr zasobów informatycznych w postaci informatycznej bazy danych, co jest zgodne z 20 ust. 2 pkt 2 rozporządzenia KRI. Rejestr zawiera szczegółowe dane O urządzeniach technicznych i oprogramowaniu w tym ich rodzaju, parametrach, aktualnej konfiguracji i użytkowniku. Sposób zarządzania sprzętem informatycznym i oprogramowaniem zawarty jest w 4 ust. 1 Regulaminu korzystania z zasobów informatycznych MŚ, a sposób prowadzenia rejestru zasobów informatycznych w procedurze Baza konfiguracji CMDB. Rejestr zasobów informatycznych uwzględnia pełny okres eksploatacji sprzętu, tj. od momentu jego zakupu do momentu wycofania z eksploatacji (np. złomowanie). Rejestr jest prowadzony z wykorzystaniem oprogramowania OTRS ITSM. Rejestr jest prowadzony przez pion IT MŚ niezależnie od księgi inwentarzowej dla potrzeb rachunkowości i jest aktualizowany co najmniej raz w miesiącu. Oprogramowanie OTRS wspomaga także rejestrację i obsługę zgłoszeń serwisowych. (Dowód: akta kontroli str , , , 340, ) 2.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych Istotnym elementem polityki BI jest zarządzanie dostępem do systemów teleinformatycznych przetwarzających informacje. Zarządzanie dostępem ma zapewnić, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków, a w przypadku zmiany zadań następuje również zmiana ich uprawnień. Zgodnie z 20 ust. 2 pkt 4 rozporządzenia KRI w MŚ opracowano pisemne procedury zarządzania uprawnieniami użytkowników do pracy w systemach informatycznych. Na regulacje w tym zakresie składają się: Regulamin korzystania z zasobów informatycznych w MŚ, Procedura otwierania, modyfikowania oraz zamykania kont w systemach informatycznych MŚ, Procedura zmiany hasła Pracownicy MŚ uzyskują dostęp do zasobów informatycznych po podaniu unikalnego łoginu i hasła. Zarządzanie uprawnieniami do pracy w systemach informatycznych odbywa się z wykorzystaniem oprogramowania Quest ActiyeRoles, gdzie na bieżąco odnotowywane są wszelkie zmiany uprawnień. Zakres uprawnień użytkowników badanych systemów uniemożliwiał wykonywanie działań zastrzeżonych dla administratorów systemów (pracownika służb informatycznych). W MŚ na bieżąco odbywa się monitorowanie dostępu do zasobów informatycznych. Regulacja wewnętrzna dotycząca procedur kontrolnych objęta jest klauzulą zastrzeżone. Konta byłych pracowników w systemach informatycznych MŚ byly w okresie objętym badaniem sukcesywnie blokowane, zgodnie z 20 ust. 2 pkt 5 rozporządzenia KRI. Dodatkowa regulacja Strona 12 z 21
13 wewnętrzna dotycząca blokowania kont byłych administratorów sieci i systemów IT w MŚ objęta jest klauzulą zastrzeżone. Dokumenty zastrzeżone zostały udostępnione kontrolerom w kancelarii tajnej zgodnie z obowiązującymi procedurami dotyczącymi bezpieczeństwa informacji niejawnych. Centralne zarządzanie uprawnieniami użytkowników do pracy w systemach informatycznych wspomagane jest przez oprogramowanie Quest InTrust. Ponadto, oprogramowanie odnotowje w bazie danych wszystkie działania użytkowników i administratorów dotyczące systemów MŚ (logi systemowe). (Dowód: akta kontroli str , , 231, , , ) 2.5. Szkolenia pracowników zaangażowanych w proces przetwarzania informacji Świadomość wśród pracowników urzędu zagrożeń i konsekwencji zaistnienia incydentów związanych z naruszeniem BI jest istotnym elementem SZBI. Szkolenia z zakresu BI powinny obejmować wszystkie osoby uczestniczące w procesie przetwarzania informacji oraz dostarczać aktualnej wiedzy O nowych zagrożeniach, adekwatnych zabezpieczeniach oraz skutkach ewentualnych incydentów związanych z BI. W MŚ zorganizowano szkolenia osób zaangażowanych w proces przetwarzania informacji z zakresu bezpieczeństwa informacji, zgodnie z 20 ust. 2 pkt 6 rozporządzenia KRI. Tematyka szkoleń dotyczyła postępowania z informacją w MŚ w tym ochrony danych osobowych, bezpieczeństwa teleinformatycznego, obowiązujących procedur ustanowionych w PBI, komunikacji w sieci komputerowej, oraz bezpieczeństwa fizycznego. Szkolenia odbyły się z zastosowaniem systemu e-learningowego (poprzez dostęp elektroniczny do opracowanych w MŚ materiałów szkoleniowych). Potwierdzeniem odbycia szkolenia jest oświadczenie pracownika przechowywane w dziale kadr. W MŚ ustanowiony został wskaźnik liczby pracowników zapoznanych z PBI. W notatce służbowej z przeglądu SZBI w roku 2014 r. wykazano, że 91% pracowników MŚ przeszło szkolenie z PBI i uznano tę wartość za akceptowalną. Nie stwierdzono cykliczności szkoleń (dotychczas każdy pracownik uczestniczył w nim tylko 1 raz). (Dowód; akta kontroli str , , ) 2.6. Praca na odległość i mobilne przetwarzanie danych Wobec możliwości technicznych związanych z telepracą (pracą poza siedzibą urzędu) z wykorzystaniem urządzeń mobilnych takich jak laptopy, tablety, smartfony pojawiają się nowe zagrożenia BI. Konieczne jest opisanie zasad określających sposoby zabezpieczenia urządzeń mobilnych i danych w nich zawartych przed kradzieżą i nieuprawnionym dostępem poza siedzibą jednostki, a także zasady korzystania z ogólnodostępnych sieci. W MŚ określono zasady bezpiecznej pracy użytkowników przy wykorzystaniu urządzeń przenośnych i pracy na odległość zgodne z wymogami określonymi w 20 ust. 2 pkt 8 rozporządzenia KRI. Sposób bezpiecznej pracy został opisany w 3 ust. 4 Regułaminu korzystania z zasobów informatycznych MŚ. Dostęp zdalny chronionyjest m.in. poprzez wykorzystanie sprzętowego tokena Stronał3 z21
14 VPN wspomagającego szyfrowanie transmisji do urządzeń mobilnych. Opis wydawania i stosowania tokena VPN zawiera Procedura wydawania i aktywacji tokena ypn. (Dowód: aktakontroli str , , , ) 2.7. Serwis sprzętu informatycznego i oprogramowania W przypadku systemów informatycznych o znaczeniu krytycznym dla urzędu niezbędne jest objęcie tych systemów (w zakresie oprogramowania użytkowego, systemowego, sprzętu i rozwiązań telekomunikacyjnych) stosownymi umowami serwisowymi, gwarantującymi odpowiednio szybkie uruchomienie pracy systemu w przypadku awarii. Umowy powinny posiadać klauzule prawne zabezpieczające BI w przypadku wejścia w ich posiadania przez firmy serwisujące. Systemy informatyczne MŚ będące przedmiotem badania nie posiadaly czynnych umów serwisowych10, w związku z powyższym nie występuje zagrożenie BI wynikające z istnienia takich umów ( 20 ust. 2 pkt 10 rozporządzenia KM). Z uzyskanych wyjaśnień 1 wynika, że serwis dla tych systemów jest wykonywany siłami własnymi pionu informatyki MŚ. W stosunku do obydwu badanych systemów planowane jest wdrożenie ich nowych wersji, co spowoduje objęcie systemów serwisem pogwarancyjnym wykonawców. (Dowód: akta kontroli str , , ) 2.8. Procedury zgłaszania incydentów naruszenia bezpieczeństwa informacji Pomimo stosowania zabezpieczeń (wynikających z analizy ryzyka) pozwalających na ograniczanie ryzyka związanego z przetwarzaniem informacji w urzędzie istnieje ryzyko szczątkowe świadomie akceptowane przez kierownictwo. W ramach ryzyka szczątkowego, a także ryzyka nieobjętego analizą ryzyka mogą pojawić się incydenty naruszenia BI. Incydenty te powinny być bezzwłoczne zgłaszane w określony i z góry ustalony sposób, a także powinien być opisany sposób reakcji na te incydenty przez wyznaczone osoby w celu szybkiego podjęcia działań korygujących. Zgodnie z 20 ust. 2 pkt 13 rozporządzenia KRI w MŚ opracowano i wdrożono procedury regulujące zasady postępowania w przypadku wystąpienia incydentów naruszenia bezpieczeństwa informacji. Procedura postępowania w przypadku wystąpienia incydentów naruszenia bezpieczeństwa informacji zawarta jest w 17 PBI. Incydenty zobowiązany jest zgłosić każdy pracownik MŚ na adres incydentmos.goy.pl. Odpowiedni członek Zespołu do spraw SZBI zarządza działaniami mającymi na celu minimalizacje skutków incydentu. Incydent jest rejestrowany w rejestrze incydentów a Zespół ds. SZBI poddaje incydent analizie i określa działania naprawcze. W MŚ ustanowiono wskaźnik poziomu bezpieczeństw informacji, dla którego liczbę incydentów powyżej 10 na rok uznano za nieakceptowalną, wymagającą działań korygujących. W Notatce z przeglądu SZBI w 2014 roku przedstawiono rejestr incydentów naruszenia bezpieczeństwa informacji zawierający 3 incydenty. W okresie objętym kontrolą zarejestrowano 4 incydenty. (Dowód: akta kontroli str , , , 305, ) 10 6 spośród 1 8 systemów teleinformatycznych MŚ posiada umowy serwisowe. 11 Pismo Zastępcy Dyrektora Biura Dyrektora Generalnego MŚ Pana Andrzeja Smolińskiego z dnia 2 lipca 2015 r., sygn. BDG-wrsi-091-1/24643/15/PT. Strona 14 z 21
15 2.9. Audyt wewnętrzny z zakresu bezpieczeństwa informacji Wymogiem SZBI jest regularne (nie rzadziej niż raz na rok) przeprowadzanie audytów wewnętrznych w zakresie BI w systemach informatycznych, co pozwoli na ewentualne ujawnienie słabości $ZBI i jego doskonalenie. W okresie objętym kontrolą audyt w zakresie BI w systemach informatycznych przeprowadzono w grudniu 2014 roku, co było zgodne z 20 ust. 2 pkt 14 rozporządzenia KRI. Wyniki audytu zawarte są w Sprawozdaniu z zadania audytowego: Ocena realizacji działań prowadzonych w zakresie bezpieczeństwa informacji - styczeń 2015 o sygnaturze ZAW 8/2014. Audyt potwierdził prawidłowe funkcjonowanie SZBI w MŚ. W opinii audytorów, wyłączając treści zastrzeżeń, została zapewniona adekwatność, skuteczność i efektywność systemu zarządzania i kontroli w badanym obszarze. (Dowód: akta kontroli str , , ) Kopie zapasowe Jednym z kluczowych sposobów zapobiegania utracie informacji w wyniku awarii jest wykonywanie kopii zapasowych. Kopie powinny być właściwie tworzone, przechowywane i testowane. Celem tworzenia kopii zapasowych danych jest możliwość ich odzyskania, tj. przywrócenia do pracy użytkowej systemu teleinformatycznego wraz z informacjami przechowywanymi przez ten system np. w bazie danych. Wymóg ten można osiągnąć robiąc regularnie kopie całego środowiska pracy danego systemu teleinformatycznego, tj. systemu operacyjnego, jego konfiguracji (w tym konfiguracji zabezpieczeń), systemu informatycznego i informacji w nim przechowywanych oraz regularne odtwarzanie systemu z kopii na niezależnym środowisku sprzętowym oraz testowaniu pracy użytkowej systemu. Kopie zapasowe danych i systemów MŚ są tworzone, przechowywane oraz testowane zgodnie z pisemnymi procedurami, co wypełnia zapis 20 ust. 2 pkt 12 lit. b rozporządzenia KRI. Regulacja wewnętrzna dotycząca wykonywania i testowania kopii zapasowych objęta jest klauzulą zastrzeżone. Regulacja ta została udostępniona kontrolerom w kancelarii tajnej zgodnie z obowiązującymi procedurami dotyczącymi bezpieczeństwa informacji niejawnych. Proces wykonywania kopii zapasowych wspomagany jest przez oprogramowanie Veeam Backup Enterprise pozwalające na wykonywanie kopii zapasowych automatycznie oraz późniejsze ich testowanie wg wcześniej opracowanych procedur. (Dowód: akta kontroli str , , ) Projektowanie. wdrażanie i eksploatacja systemów telekomunikacyjnych Bezpieczeństwo systemu teleinformatycznego w dużym stopniu zależy od jego budowy. Stąd wymagania aby system teleinformatyczny został zaprojektowany i zbudowany zgodnie z zasadami BI opisanymi w obowiązujących normach i standardach przemysłowych. Procedury odbioru danego systemu teleinformatycznego muszą zagwarantować kompleksowe przetestowanie wbudowanych zabezpieczeń pod względem uzyskania założonego poziomu BI. Podczas użytkowania systemu Strona 15 z 21
16 teleinformatycznego konieczne jest monitorowanie jego pracy m.in. w celu dostrzeżenia wszelkich nieprawidłowości w jego pracy i podejmowania bezpośrednich działań korygujących. W MŚ zapewniono warunki dla uzyskania odpowiedniej funkcjonalności, niezawodności, używalności, wydajności, przenaszalności i pielęgnowalności systemów informatycznych w fazie ich projektowania, wdrażania i eksploatacji, co było zgodne z 15 ust. 1 rozporządzenia KRJ. W zakresie projektowania i wdrażania systemów informatycznych obowiązuje Procedura określania specyfikacji technicznych i wymagań odbioru systemów IT. Procedura określa wymagania wobec wdrażanego w MŚ systemu informatycznego takie jak: architekturę systemu i sposób licencjonowania i wykorzystania praw autorskich, zgodność z obowiązującym prawem m.in. ustawą Prawo telekomunikacyjne i ustawą o informatyzacji podmiotów realizujących zadania publiczne, sposób i poziom zabezpieczeń, zastosowanie norm i standardów przemysłowych, zastosowanie rozwiązań funkcjonalnych odpowiednich dla osiągnięcia założonych celów, prezentacji treści dla osób niepełnosprawnych, wydajności, poziomu niezawodności SLA, mechanizmów kontroli i audytu. Procedura określa wymagania dotyczące sposobu dostarczenia i instalacji systemu informatycznego oraz wymagania sprzętowe i środowiskowe dla systemu. Dla fazy wdrażania procedura określa sposób I zakres testów oraz dokumentacj i oraz warunki i kryteria odbioru. Wymagania na nowe systemy informatyczne lub modyfikacje istniejących formułowane są w MŚ w oparciu o zapisy powyższej procedury. W trakcie eksploatacji systemów informatycznych sposób przeprowadzania zmian opisany jest w dokumencie Procedura zgłaszania zmiany i wykonywania testów. Procedura formalizuje proces zmiany poprzez wprowadzenie formularza zmiany oraz opis procesu jego obsługi, w tym: analizy zmiany pod kątem wykonalności, kosztów, ryzyk, a także określenie sposobu wykonania i odbioru zmiany. W MŚ realizowany jest proces monitorowania systemów informatycznych i środowiska ich pracy pod kątem wydajności i pojemności, co pozwała na przewidywanie i zapobieganie ewentualnym problemom z tym związanym poprzez stosowanie działań zapobiegawczych 2. Proces monitorowania wspomagany jest przez oprogramowanie Quest Foglight. (Dowód; akta kontroli str , , , 341, ) Zabezpieczenia techniczno-organizacyjne dostępu do informacji W celu uzyskania odpowiedniego poziomu BI przy jednoczesnym zapewnieniu właściwego do nich dostępu przez uprawnionych użytkowników stosowanych jest szereg zabezpieczeń informatycznych. Celem zabezpieczeń jest uzyskanie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, a także np. kradzieżą środków przetwarzania informacji. Zastosowane zabezpieczenia powinny być adekwatne do poziomu ryzyka wynikającego z analizy ryzyka BI. 12 Projekt zwiększenia przepustowości łącz do MŚ z 40 do 100Mb/s w celu zwiększenia wydajności systemów internetowych. Strona 16 z 21
17 Zgodnie z 20 ust. 2 pkt 7 i 9 rozporządzenia KRI w MŚ zapewniono ochronę przetwarzanych informacj i przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami oraz ustalono zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje usunięcie lub zniszczenie poprzez: a) monitorowanie dostępu do informacji poprzez oprogramowanie Quest InTrust zarządzające centralnie logowaniem do systemów MŚ i odnotowujące w bazie danych wszystkie działania użytkowników i administratorów dotyczące systemów MŚ oraz monitorowanie ruchu osobowego wmś; b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji poprzez kontrolę logów systemów, kontrolę wejść i wyjść do pomieszczeń serwerowni, analizę rejestru zgłoszeń serwisowych, analizę rejestru incydentów naruszenia BI; c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych usług sieciowych i aplikacji poprzez stosowanie systemu kontroli dostępu do pomieszczeń serwerowni, systemu autoryzacji dostępu do systemów operacyjnych, sieci i aplikacji, stosowania zabezpieczeń kryptograficznych, stosowania systemów antywirusowych i antyspamowych, stosowanie zapór sieciowych typu firewall; d) zapewnienie utyłizacj i sprzętu informatycznego i nośników danych w sposób gwarantujący zachowanie BI. W MŚ ustalono zasady postępowania z informacjami zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych zgodne z 20 ust. 2 pkt 1 1. Zasady postępowania zawarto w Polityce BI w MŚ w zakresie bezpieczeństwa fizycznego. (Dowód: akta kontroli str , , ) Zabezpieczenia techniczno-organizacyjne systemów informatycznych Aby zapewnić bezpieczeństwo informacji przetwarzanych przez systemy teleinformatyczne niezbędne jest stosowanie szeregu zabezpieczeń techniczno-organizacyjnych dotyczących środowiska teleinformatycznego. Stosowanie zabezpieczeń powinno wynikać z analizy ryzyka i powstałej w jej wyniku deklaracji stosowania zabezpieczeń. Zgodnie z 20 ust. 2 pkt 12 rozporządzenia KM w MŚ zapewniono odpowiedni poziom bezpieczeństwa systemów teleinformatycznych poprzez: a) aktualizację oprogramowania oraz redukcji ryzyk wynikających z wykorzystywania opublikowanych podatności technicznych systemów teleinformatycznych (poprzez wdrażanie nowych wersji oprogramowania systemowego i użytkowego, poprawek i uzupełnień podnoszących ich bezpieczeństwo, aktualizację oprogramowania antywirusowego i antyspamowego, aktualizację oprogramowania zabezpieczającego ruch sieciowy); b) minimalizowanie ryzyka utraty informacji w wyniku awarii oraz ochronie przed błędami, utratą i nieuprawnioną modyfikacją a także zapewnienie bezpieczeństwa plików systemowych (poprzez Strona 17 z 21
18 zastosowanie redundantnych rozwiązań sprzętowych w tym: dwustronnego zasilania, redundancji klimatyzacji, zastosowanie klastra serwerów wysokiej dostępności, redundancji macierzy dyskowych i urządzeń sieciowych, równoważenie obciążenia (ang. bad balancing), monitorowanie parametrów środowiskowych w serwerowni (temperatura, wilgotność, zadymienie, wyciek wody), zastosowania systemu kopii awaryjnych, systemu kontroli dostępu do zasobów informatycznych, systemu monitorowania funkcjonowania systemów teleinformatycznych i sieci); c) zastosowanie mechanizmów kryptograficznych dla urządzeń mobilnych i poczty elektronicznej a także podpisów kwalifikowanych do autoryzacji dokumentów. (Dowód: akta kontroli str , , ) Rozliczałność działań w systemach informatycznych Przetwarzanie informacji w systemach teleinformatycznych wymaga dostępu do danych przez uprawnione osoby w ustalonym zakresie. Dokumentowaniu w postaci zapisów w dziennikach systemów (logi) podlegają wszelkie działania związane z przetwarzaniem informacji, a także działania administracyjne, co zapewnia rozliczalność tych operacji, tj. informację kto, kiedy i co wykonał W systemie teleinformatycznym. Świadomość użytkowników, że żadne ich działanie nie zostanie anonimowe podnosi poziom BI. Informacje zawarte w logach powinny być regularnie przeglądane w celu wykrycia działań niepożądanych i powinny być przechowywane w bezpieczny sposób co najmniej 2 lata. W systemach MŚ będących przedmiotem kontroli rozliczalność działań użytkowników i administratorów podlega dokumentowaniu w postaci zapisów w dziennikach systemów (logach), w tym działania związane z konfiguracją zabezpieczeń, co jest zgodne z 21 ust. 1 i 2 rozporządzenia KRI. Regulacją wewnętrzną, w której określone są zasady prowadzenia logów systemowych jest Polityka monitorowania parametrów. W 3 określony został sposób monitorowania sieci i prowadzenia logów oraz wskazano 12-miesięczny okres retencji logów. Jest to niezgodne Z 21 ust. 4 rozporządzenia KRI, który określa 2-letni okres przechowywania logów. Zapisy dzienników systemowych są przechowywane w sposób zapewniający bezpieczeństwo informacji na zasobach dyskowych MŚ zgodnie z 21 ust. 5 rozporządzenia KM. Logi są regularnie przeglądane i poddawane analizie. W MŚ ustanowiony został wskaźnik przeglądu logów. W notatce służbowej z przeglądu SZBI w roku 2014 wskazano, że wartość tego wskaźnika dla badanego okresu wynosi powyżej 0,5, co zgodnie z przyjętą metodyką jest wartością akceptowalną. Prowadzenie zapisów w dziennikach systemów (logach) wspomagane jest przez oprogramowanie Quest Infrust zarządzające centralnie logowaniem do systemów MŚ i odnotowujące w bazie danych wszystkie działania użytkowników i administratorów dotyczące systemów MŚ. (Dowód: akta kontroli str , , ) Strona 18 z 21
Czy wszystko jest jasne??? Janusz Czauderna Tel
1 Czy wszystko jest jasne??? Janusz Czauderna Tel. 505 328 100 jczauderna@volvox.pl Jednostki finansów publicznych Kontrola Zarządcza Krajowe Ramy Interoperacyjności Jednostki finansów publicznych, niektóre
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoKwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Bardziej szczegółowoRealizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności
Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności II PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 15-16 października 2015, Zamek Dubiecko w Rzeszowie
Bardziej szczegółowoRealizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST
Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST III PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 20-21 października
Bardziej szczegółowoPRELEGENT Przemek Frańczak Członek SIODO
TEMAT WYSTĄPIENIA: Rozporządzenie ws. Krajowych Ram Interoperacyjności standaryzacja realizacji procesów audytu bezpieczeństwa informacji. Określenie zależności pomiędzy RODO a Rozporządzeniem KRI w aspekcie
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoMinisterstwo Cyfryzacji
Ministerstwo Cyfryzacji Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych Zatwierdzam: Warszawa, dnia15'grudnia 2015 r. Spis treści I. WSTĘP 3 1. Cel
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2
Warszawa, 15 lutego 2018 r. WOJEWODA MAZOWIECKI WK-I.431.12.2.2017 Pani Marzena Dębowska Mazowiecki Wojewódzki Inspektor Nadzoru Budowlanego Ul. Czereśniowa 98 02-456 Warszawa WYSTĄPIENIE POKONTROLNE Na
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoWYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH
Dr Artur Romaszewski Uniwersytet Jagielloński - Collegium Medicum Wydział Nauk o Zdrowiu Zakład Medycznych Systemów Informacyjnych Dr hab. med. Wojciech Trąbka Uniwersytet Jagielloński - Collegium Medicum
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
Warszawa, 30 listopada 2017 r. WOJEWODA MAZOWIECKI WK-I.431.12.1.2017 Pani Aurelia Michałowska Mazowiecki Kurator Oświaty Al. Jerozolimskie 32 00-024 Warszawa WYSTĄPIENIE POKONTROLNE Na podstawie art.
Bardziej szczegółowomgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji
mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoZarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.
Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r. w sprawie opisu stanowiska Administratora Bezpieczeństwa Informacji. Na podstawie 2 ust. 2 Regulaminu Organizacyjnego Urzędu
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoSamodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach
Samodzielny Publiczny Szpital Kliniczny Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach 41-800 Zabrze, ul. 3-go Maja 13-15 http://www.szpital.zabrze.pl ; mail: sekretariat@szpital.zabrze.pl
Bardziej szczegółowoBEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Magdalena Skrzypczak Magia Urody 42-215 Częstochowa, ul. Kisielewskiego 19 Maj 2018 r. Str. 1 z 9 Spis treści I. Postanowienia ogólne ---------------------------------------------------------------------------
Bardziej szczegółowoOpracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej
Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoPROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Urząd Gminy Kęty Dokument Systemu Zarządzania Bezpieczeństwem Informacji PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik
Bardziej szczegółowoPolityka ochrony danych osobowych. Rozdział I Postanowienia ogólne
Polityka ochrony danych osobowych Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych w ramach działalności gospodarczej prowadzonej przez DEIMIC SP. Z o.o. Liliowa 2 87-152
Bardziej szczegółowoPolityka Zarządzania Ryzykiem
Polityka Zarządzania Ryzykiem Spis treści 1. Wprowadzenie 3 2. Cel 3 3. Zakres wewnętrzny 3 4. Identyfikacja Ryzyka 4 5. Analiza ryzyka 4 6. Reakcja na ryzyko 4 7. Mechanizmy kontroli 4 8. Nadzór 5 9.
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.
1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna
Załącznik nr 2 do Zarządzenia Burmistrza Miasta Kościerzyna nr 0050.3/2016 z dnia 8 stycznia 2016 roku INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie
Bardziej szczegółowoZarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.
Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej. Na podstawie ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.
Bardziej szczegółowoZarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.
Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r. w sprawie opisu stanowiska Administratora Bezpieczeństwa Informacji. Na podstawie 2 ust.2 Regulaminu Organizacyjnego Urzędu
Bardziej szczegółowoDane osobowe: Co identyfikuje? Zgoda
Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoOpis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie
Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie Działając zgodnie z zapisami Rekomendacji H KNF, Bank Spółdzielczy w Mykanowie zwany dalej "Bankiem", przekazuje do informacji opis systemu
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.
Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA Administrator Danych Małgorzata Ziemianin Dnia 24.11.2015 roku w podmiocie o nazwie Publiczne Gimnazjum im. Henryka Brodatego w Nowogrodzie Bobrzańskim Zgodnie z ROZPORZĄDZENIEM
Bardziej szczegółowoPROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)
pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik
Bardziej szczegółowoZastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych
Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki
Bardziej szczegółowoPolityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach
Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach I. Wstęp Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoZARZĄDZENIE NR 1241/2012 PREZYDENTA MIASTA KRAKOWA Z DNIA
ZARZĄDZENIE NR 1241/2012 PREZYDENTA MIASTA KRAKOWA Z DNIA 2012-05-10 w sprawie podziału na wewnętrzne komórki organizacyjne oraz zakresu działania Wydziału Informatyki. Na podstawie art. 33 ust. 1 i 3
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoKRAJOWE RAMY INTEROPERACYJNOŚCI
KRAJOWE RAMY INTEROPERACYJNOŚCI Wprowadzenie do Krajowych Ram Interoperacyjności Aspekty wdrożenia, audytowania i kontroli realizacji wymagań Krajowych Ram Interoperacyjności Rozporządzenie Rady Ministrów
Bardziej szczegółowoZarządzenie Nr OR.0050.40. 2012.OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r.
Zarządzenie Nr OR.0050.40. 2012.OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r. w sprawie organizacji i funkcjonowania kontroli zarządczej w Urzędzie Gminy i Miasta Lwówek Śląski. Na
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.
Strona 1 z 5 LexPolonica nr 44431. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
Bardziej szczegółowoSAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ
Załącznik Nr 3 Do Zarządzenia Nr 56/10 STAROSTY KOSZALIŃSKIEGO z dnia 1 października 2010 r. SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ W STAROSTWIE POWIATOWYM W KOSZALINIE Do sporządzenia samooceny wykorzystano
Bardziej szczegółowoNa czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?
dr Agata Lasota - Jądrzak ekspert ds. bezpieczeństwa informacji ZPP Wielkopolska Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej? Planowanie ochrony informacji niejawnych
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych
AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Bardziej szczegółowoadministratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE
Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta
Bardziej szczegółowoZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.
ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...
Bardziej szczegółowoZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Bardziej szczegółowoZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
Bardziej szczegółowoWarszawa, dnia 7 października 2013 r. Poz. 1181 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 24 września 2013 r.
DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 7 października 2013 r. Poz. 1181 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 24 września 2013 r. w sprawie Systemu Wspomagania Ratownictwa Medycznego
Bardziej szczegółowoRektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP
ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa stanowi
Bardziej szczegółowoZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.
ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie
Bardziej szczegółowoWarszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.
DZIENNIK URZĘDOWY MINISTRA SKARBU PAŃSTWA Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r. w sprawie ochrony danych osobowych w Ministerstwie
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach
Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i
Bardziej szczegółowoepuap Opis standardowych elementów epuap
epuap Opis standardowych elementów epuap Projekt współfinansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka SPIS TREŚCI SPIS TREŚCI...
Bardziej szczegółowoZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.
ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA z dnia 25 września 2012 r. w sprawie funkcjonowania kontroli zarządczej w jednostkach organizacyjnych Gminy Żnin Na podstawie art. 30 ust. 1 ustawy z dnia 8 marca
Bardziej szczegółowoPolityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl
Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.
Bardziej szczegółowoI. Postanowienia ogólne.
PROCEDURY KONTROLI ZARZĄDCZEJ Załącznik Nr 1 do zarządzenia nr 291/11 Prezydenta Miasta Wałbrzycha z dnia 15.03.2011 r. I. Postanowienia ogólne. 1 Procedura kontroli zarządczej została opracowana na podstawie
Bardziej szczegółowoZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej
ZARZĄDZENIE Nr 14 /2013 Starosty Staszowskiego z dnia 26 kwietnia 2013 r. w sprawie przeprowadzenia samooceny kontroli zarządczej w Starostwie Powiatowym w Staszowie 1 Działając na podstawie art.34.ust.1
Bardziej szczegółowoPLAN AUDYTU WEWNĘTRZNEGO NA ROK 2012 w Biurze Rzecznika Praw Obywatelskich
Biuro Rzecznika Praw Obywatelskich AUDYTOR WEWNĘTRZNY Tel. 55-17-957 Warszawa, dnia 11 stycznia 2012 roku Sygnatura akt: BRPO-AW-0930-19/11 PLAN AUDYTU WEWNĘTRZNEGO NA ROK 2012 w Biurze Rzecznika Praw
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ
Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ
Bardziej szczegółowoWarszawa, dnia 6 października 2016 r. Poz. 1626
Warszawa, dnia 6 października 2016 r. Poz. 1626 ROZPORZĄDZENIE MINISTRA CYFRYZACJI 1) z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji
Bardziej szczegółowoZdrowe podejście do informacji
Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony
Bardziej szczegółowoSystem kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku
System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku Kraśnik grudzień 2017 CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele systemu kontroli wewnętrznej 1. W Banku Spółdzielczym
Bardziej szczegółowoZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.
ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE w sprawie organizacji i zasad funkcjonowania oraz metod monitorowania systemu kontroli zarządczej w Urzędzie Miasta Kielce Na podstawie art. 69 ust. 1 pkt
Bardziej szczegółowoPolityka kontroli zarządczej w Bibliotece Publicznej im. Jana Pawła II w Dzielnicy Rembertów m.st. Warszawy
Załącznik do Zarządzenia nr 5/12/2017 z dnia 28 grudnia 2017 r. Dyrektora Biblioteki Publicznej im. Jana Pawła II w Dzielnicy Rembertów m.st. Warszawy Polityka kontroli zarządczej w Bibliotece Publicznej
Bardziej szczegółowoKontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.
ANKIETA / KWESTIONARIUSZ DLA JEDNOSTEK PODLEGŁYCH / NADZOROWANYCH PRZEZ MINISTRA NAUKI I SZKOLNICTWA WYŻSZEGO W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ Kontrola zarządcza stanowi ogół działań
Bardziej szczegółowoZasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach
Załącznik nr 3 do Regulaminu systemu kontroli wewnętrznej B S w Łubnianach Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Łubnianach Rozdział 1. Postanowienia ogólne 1 Zasady systemu kontroli
Bardziej szczegółowoINSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Załącznik nr 2 do Zarządzenia nr 6/2017 Dyrektora Szkoły Podstawowej im. Lotników Polskich w Płocicznie - Tartak z dnia 1 września 2017 roku INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Administrator
Bardziej szczegółowoZAŁACZNIK NR 1D KARTA USŁUGI Utrzymanie Systemu Poczty Elektronicznej (USPE)
Załącznik nr 1D do Umowy z dnia.2014r. ZAŁACZNIK NR 1D KARTA USŁUGI Utrzymanie Systemu Poczty Elektronicznej (USPE) 1. INFORMACJE DOTYCZĄCE USŁUGI 1.1. CEL USŁUGI: W ramach Usługi Usługodawca zobowiązany
Bardziej szczegółowo2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa
Bardziej szczegółowoProjekt dotyczy stworzenia zintegrowanego, modularnego systemu informatycznego wspomagającego zarządzanie pracownikami i projektami w firmie
Projekt dotyczy stworzenia zintegrowanego, modularnego systemu informatycznego wspomagającego zarządzanie pracownikami i projektami w firmie informatycznej. Zadaniem systemu jest rejestracja i przechowywanie
Bardziej szczegółowoKryteria oceny Systemu Kontroli Zarządczej
Załącznik nr 2 do Zasad kontroli zarządczej w gminnych jednostkach organizacyjnych oraz zobowiązania kierowników tych jednostek do ich stosowania Kryteria oceny Systemu Kontroli Zarządczej Ocena Środowisko
Bardziej szczegółowoZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.
36 ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ z dnia 9 maja 2011 r. w sprawie wdrożenia i eksploatacji systemu Wiza-Konsul w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoPOLITYKA E-BEZPIECZEŃSTWA
Definicja bezpieczeństwa. POLITYKA E-BEZPIECZEŃSTWA Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie: Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim). Integralności
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, 43-450 Ustroń Administrator Danych Osobowych: Wojciech Śliwka 1. PODSTAWA PRAWNA Niniejsza Polityka
Bardziej szczegółowoZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.
ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r. w sprawie wprowadzenia Regulaminu Audytu Wewnętrznego w Urzędzie Gminy Czernikowo. Na podstawie Standardu 2040 Międzynarodowych Standardów
Bardziej szczegółowoZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.
ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r. w sprawie ustalenia organizacji i funkcjonowania kontroli zarządczej w Urzędzie Miasta Zduńska Wola oraz w pozostałych jednostkach
Bardziej szczegółowoZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.
ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE w sprawie powołania i określenia zadań Administratora Bezpieczeństwa Informacji, Administratora Systemów Informatycznych oraz Lokalnych Administratorów
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoWarszawa, dnia 28 czerwca 2012 r. Poz. 93
Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych
Bardziej szczegółowoAmatorski Klub Sportowy Wybiegani Polkowice
Polityka Bezpieczeństwa Informacji w stowarzyszeniu Amatorski Klub Sportowy Wybiegani Polkowice (Polkowice, 2017) SPIS TREŚCI I. Wstęp... 3 II. Definicje... 5 III. Zakres stosowania... 7 IV. Miejsce w
Bardziej szczegółowoInstrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie
Instrukcja zarządzania RODO w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie 1 1. Wstęp...3 2. Zabezpieczenia fizyczne...3 3. Zabezpieczenia techniczne...3 4. Procedura nadawania uprawnień
Bardziej szczegółowoOpis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.
Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach
Bardziej szczegółowoZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach
ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych
Bardziej szczegółowoInstrukcja zarządzania systemem informatycznym STORK Szymon Małachowski
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w sklepie internetowym www.stork3d.pl prowadzonym przez firmę STORK Szymon Małachowski Właścicielem materialnych
Bardziej szczegółowo