dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych Warszawa, dnia (j listopada 2015 r.

Transkrypt

1 główny główny kierownik członek Upoważnienie Upoważnienie Warszawa, dnia (j listopada 2015 r. MiNISTER ADMiNISTRACJI I CYFRYZACJI DKSiW-WKiN Egz. Nr. Minister Środowiska WYSTĄPIENIE POKONTROLNE Zgodnie z art. 47 w związku z art. 46 tist. 1 i 3 ustawy z dnia 15 lipca r. o kontroli W administracji rządowej uprzejmie przekazuję Panu Ministrowi Wystąpienie pokontrolne. Na podstawie art. 25 ust. 1 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne2, w Ministerstwie Środowiska (dalej : MŚ) została przeprowadzona kontrola dotycząca działania systemów teleinformatycznych, używanych do realizacji zadań publicznych oraz realizacji obowiązków wynikających z art. 13 ust. 2 ustawy o informatyzacji podmiotów realizijqcych zadania publiczne, pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych i wymiany informacji w postaci elektronicznej. Kontrolę przeprowadzono w trybie zwykłym, określonym ustawą z dnia 15 lipca r. Czynności kontrolne prowadzone były w dniach sierpnia 2015 r. przez zespół kontrolny w składzie: 1. Marcin Kaczorek Skarg i Wniosków MAC 18 sierpnia20l5 r., specjalista w Wydziale Kontroli i Nadzoru Departamentu Kontroli, zespołu kontrolnego nr 48/201 5 z dnia 2. Bogdan Kowalczyk specjalista w Wydziale Kontroli i Nadzoru Departamentu Kontroli, Skarg i Wniosków MAC z dnia 18 sierpnia 2015 r. zespołu kontrolnego nr 49/2015 Celem kontroli było dokonanie oceny działania systemów teleinformatycznych pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub rejestrów publicznych oraz przestrzegania wymagań odnoszących się do Krajowych Ram Interoperacyjności. 1 Dz. U. Nr 185, poz Dz.U.z2014r.,poz Strona 1 Z 21

2 bezpieczeństwo Centrum pozytywnie Kontrolą objęto okres od dnia 1 lipca r. do dnia 30 czerwca r. Zespół kontrolny poddał analizie funkcjonujący w MŚ System Zarządzania Bezpieczeństwem Informacj I oraz 2 z 1 8 systemów teleinformatycznych MŚ:. Strona internetowa O Rejestr mikroorganizmów i organizmów genetycznie zmodyfikowanych - UMO. OCENA Na podstawie analizy dokumentacji źródłowej oraz otrzymanych pisemnych wyjaśnień zespół kontrolny sformułował następującą ocenę kontrolowanych obszarów: 1. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną oraz dostosowanie systemów informatycznych do standardu WCAG 2.0 z uchybieniami; 2. Wdrożenie systemu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych pozytywnie z uchybieniami. Podsumowując całościowo wyniki analizy dokumentacji źródłowej dotyczącej kontrolowanych zagadnień oraz otrzymanych pisemnych wyjaśnień pozytywnie z uchybieniami oceniono działanie systemów teleinformatycznych w MŚ pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub rejestrów publicznych oraz przestrzegania wymagań odnoszących się do Krajowych Ram Interoperacyjności: 1. Kontrola wykazała, że MŚ spelnia wymagania dotyczące dostosowania posiadanych systemów informatycznych do wymiany informacji w postaci elektronicznej, w tym współpracy z innymi systemami/rejestrami informatycznymi oraz wspomagania świadczenia usług drogą elektroniczną w sposób prawidłowy, zgodnie z wymaganiami rozporządzenia. Stwierdzone uchybienie dotyczy niepełnego dostosowania systemów informatycznych do standardu WCAG W MŚ został skutecznie wdrożony system zarządzania bezpieczeństwem informacji w systemach teleinformatycznych. System działa prawidłowo, zgodnie z wymaganiami rozporządzenia. Stwierdzone uchybienia dotyczyły sporządzonej analizy ryzyka, okresu przechowywania logów systemowych oraz braku cyklicznych szkoleń pracowników zaangażowanych w proces przetwarzania informacji. I. SZCZEGÓŁOWE USTALENIA KONTROLI Słownik: BW BI CPI Biuletyn Informacji Publicznej informacji Projektów Informatycznych Strona 2 Z 21

3 Ministerstwo Repozytorium dokument elektroniczna Krajowe format Ministerstwo (eltensible Elektroniczna centralne właściwość zapewnienie zdolność rozporządzenie ustawa tekstowy część CRWDE epuap repozytorium wzorów dokumentów elektronicznych Platforma Usług Administracj I Publicznej. System teleinformatyczny udostępniający usługi elektroniczne administracji publicznej dla obywateli i podmiotów prowadzony przez ministra właściwego do spraw informatyzacji ESP KRI skrzynka podawcza Ramy Interoperacyjności stanowią zbiór zasad i sposobów postępowania podmiotów w celu zapewnienia systemom informatycznym interoperacyjności działania, rozumianej jako zdolność tych systemów oraz wspieranych przez nie procesów do wymiany danych oraz do dzielenia się informacjami i wiedzą MAC MŚ lu Administracji i Cyfryzacj i Środowiska Interoperacyjności informacj i służących osiąganiu interoperacyjności rozporządzenie epuap zasobów epuap przeznaczona do udostępniania Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. W sprawie zakresu i warunków korzystania z elektronicznejplatforrny usług administracji publicznej3 rozporządzenie KRI rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych4 ustawa o informatyzacji realizujących zadania publiczne XML Markzip Language) z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów format służący do opisywania informacji (danych) w sposób strukturalny; jest to format, przy pomocy którego nadaje się znaczenie poszczególnym fragmentom informacji PDF plików służący do prezentacji, przenoszenia i drukowania treści tekstowo-graficznych, stworzony i promowany przez firmę Adobe Systems; format PDF powstał jako format wynikowy, mający zachować pełny wygląd dokumentu po wydrukowaniu doc dostępność w postaci sformatowanego tekstu, wewnętrzny standard Microsoft Corp. bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot integralność interoperacyjność teleinformatycznych i dokładności i kompletności informacj i oraz metod jej przetwarzania różnych podmiotów oraz używanych przez nie systemów rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów, z uwzględnieniem współdzielenia informacji i wiedzy przez wspierane przez nie procesy biznesowe realizowane za pomocą wymiany danych za pośrednictwem wykorzystywanych przez te podmioty systemów teleinformatycznych; osiąganie interoperacyjności następuje poprzez ciągłe doskonalenie jednostki w zakresie zarządzania systemami informatycznymi 3 Dz. U. z 2014 r., poz Dz. U. z 2012 r., poz z późn. zm. Strona3 z21

4 zapewnienie, w zestaw model usługowy model architektury systemu informatycznego, w którym dla użytkowników (klientów/odbiorców) zdefiniowano stanowiące odrębną całość funkcje systemu teleinformatycznego (usługi sieciowe) oraz opisano sposób korzystania z tych funkcji polityka bezpieczeństwa informacji, polityka BI praw, reguł i praktycznych doświadczeń, regulujących sposób zarządzania, ochrony i dystrybucji informacji wewnątrz określonej organizacji poufność usługa elektroniczna że informacja jest dostępna tylko dla osób do tego upoważnionych myśl art. 2 pkt 4 ustawy z dnia 1 8 lipca 2002 r. o świadczeniu usług drogą elektroniczną5, jest to usługa świadczona bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania współdzielenie informacji wspólne użytkowanie tych samych zasobów przez różne osoby i/lub podmioty, np. zasobów takichjak: pliki, bazy danych, dokumenty itp. 1. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usiug drogą elektroniczną oraz dostosowanie systemów informatycznych do standardu WCAG 2.0 Przepisy dotyczące interoperacyjności mają na celu stworzenie warunków do współdziałania ze sobą systemów informatycznych jednostek realizujących zadania publiczne w celu zapewnienia szybkiej wymiany informacji zarówno wewnątrz urzędu, jak i z innymi urzędami administracji publicznej. Wdrożenie tych przepisów powinno przyczynić się do usprawnienia realizacji zadań urzędów, w tym załatwiania spraw obywateli i przedsiębiorców, na odległość i w krótszym czasie, bez żądania informacji będących już w posiadaniu urzędów. Jednocześnie, powinny zostać stworzone warunki korzystania z serwisów internetowych urzędu przez osoby niepełnosprawne Usługi elektroniczne Jednym z podstawowych celów działania urzędu jest realizacja usług wobec obywateli i innych podmiotów w sposób szybki i sprawny oraz maksymalnie przyjazny dla obywatela. Realizację praktyczną ww. postulatów można uzyskać poprzez udostępnienie wszelkich możliwych ushig na platformie elektronicznej dostępnej przez sieć Internet. Tak realizowane usługi pozwolą na załatwianie spraw w urzędzie z domu lub z dowolnego innego miej sca, w którym obywatel/podmiot ma dostęp do sieci. Usługi powinny być świadczone wg jednolitych, standardowych procedur, jasno komunikowanych obywatelowi/podmiotowi. Celem stosowania usług elektronicznych jest ułatwienie w dostępie do usług poprzez wyeliminowanie korespondencji papierowej obywatela/podmiotu z urzędem, zastąpienie druków i formularzy papierowych ich odpowiednikami elektronicznymi dostępnymi do wypełnienia na platformie usług elektronicznych 5 Dz. U. z 2013 r., poz Strona 4 Z 21

5 urzędu, a także wyeliminowanie papierowych dokumentów kierowanych do obywatela/podmiotu i zastąpienie ich odpowiednikami elektronicznymi przesyłanymi np. pocztą elektroniczną. MŚ świadczy6 7 usług w formie elektronicznej z wykorzystaniem ESP udostępnionej na platformie epuap:. Pismo ogólne do urzędu; S Skargi, wnioski, zapytania do urzędu;. Udostępnianie informacji publicznej na wniosek;. Udostępnienie informacji o środowisku ijego ochronie;. Składanie informacji o opłatach z Prawa geologicznego i górniczego;. Sprawozdawczość budżetowa jednostek sektora finansów publicznych;. Sprawozdawczość w zakresie operacj i finansowych. Jak wynika z przedłożonych wyjaśnień7, MŚ jest w trakcie przygotowywania 12 kolejnych e-usług. MŚ zamieściło na głównej stronie internetowej, będącej jednocześnie stroną BlP MŚ, odesłania do opisów usług, które zawierają wymagane informacje dotyczące m.in. aktualnej podstawy prawnej świadczonych usług, nazwy usług, miej sca świadczenia usług (złożenia dokumentów), terminu składania i załatwiania spraw oraz nazwy komórek odpowiedzialnych za załatwienie spraw, zgodnie z 5 ust. 2 pkt 1 i 4 rozporządzenia KRI. (Dowód: akta kontroli str , , ) 1.2. Centralne repozytorium wzorów dokumentów elektronicznych W celu ujednolicenia w skali kraju procedur usług świadczonych przez urzędy drogą elektroniczną, w tym ujednolicenia wzorów dokumentów elektronicznych w CRWDE przechowywane są wzory opracowanych i używanych dokumentów. W przypadku uruchamiania przez dany urząd usługi elektronicznej, która już funkcjonuje, dany urząd powinien skorzystać z procedury obsługi tej usługi oraz zastosować wzory dokumentów elektronicznych znajdujących się w CRWDE. W przypadku uruchamiania usługi, dla której nie ma wzorów dokumentów w CRWDE, urząd jest zobowiązany opracować i przekazać do CRWDE wzory dokumentów elektronicznych z nią związanych. Obecnie MŚ udostępnia 7 wzorów dokumentów elektronicznych, z czego w okresie objętym kontrolą, zgodnie z art. 19b ust. 3 ustawy o informatyzacji, na stronie BlP MŚ umieszczono linki do wzorów oraz zamieszczono w CRWDE wzory 5 dokumentów elektronicznych: S Wzór informacji dotyczącej opłaty za składowanie dwutlenku węgla w podziemnych składowiskach;. Wzór rocznego sprawozdania wójta, burmistrza lub prezydenta miasta z realizacji zadań z zakresu gospodarowania odpadami komunalnymi;. Wzór informacji dotyczącej opłaty za podziemne składowanie odpadów;. Wzór informacji dotyczącej opłaty za bezzbiornikowe magazynowanie substancji w górotworze; 6 Zgodnie z art. 16 ust. 1 a ustawy o informatyzacji. 7 Opracowany przez Zastępcę Dyrektora Biura Dyrektora Generalnego Pana Andrzeja Smolińskiego Kwestionarittsz dotyczący działania systemów teleinformatycznych używanych do realizacji zadań publicznych. Strona 5 Z 21

6 . Wzór informacji dotyczącej opłaty za wydobytą kopalinę, przy czym 3 ostatnie wzory uaktualniały wzory zamieszczone w CRWDE w dniu 2 lipca 2012 r. (Dowód: akta kontroli str. 366) 1.3. Model usługowy Model usługowy został zdefiniowany w 2 pkt 8 rozporządzenia KRI. To model, w którym dla użytkowników zdefiniowano stanowiące odrębną całość funkcje systemu teleinformatycznego (usługi sieciowe) oraz opisano sposób korzystania z tych funkcji (inaczej: system zorientowany na usługi). Zarządzanie usługami elektronicznymi w oparciu o model usługowy wymaga posiadania i stosowania wewnętrznych procedur obsługi usługi oraz dostarczania ich na zadeklarowanym poziomie ( 1 5 ust. 2 rozporządzenia KRI). Dokumentem regulującym ten zakres jest Notatka z dnia r. nt. ustalenia i monitorowania wskaźników z zakresu bezpieczeństwa systemów i usług IT, zaakceptowana i przekazana do realizacj i przez Dyrektora Generalnego MŚ. MŚ realizuje model usługowy w procesie świadczenia usług elektronicznych. W badanych systemach stwierdzono, że zarządzanie usługami odbywa się w oparciu o ustalone procedury. Opracowano wskaźniki dostępności usług oraz określono ich wymagany poziom. Stwierdzono, że poziom dostępności usług (dla badanych systemów) jest na bieżąco monitorowany oraz porównywany z zadeklarowanym oraz że deklarowany poziom usług był dochowany w okresie objętym kontrolą dla usług oferowanych przez systemy objęte kontrolą. Poziom dostępności usług jest wyliczany automatycznie przy wykorzystaniu specjalistycznego oprogramowania Quest Foglight, którego zadaniem jest ciągłe zbieranie informacji o dostępności serwisów internetowych MŚ, informowanie administratorów technicznych o ewentualnych przerwach W ich dostępności, a także gromadzenie uzyskanych informacji w celu prezentacji statystyk w miesięcznych raportach dostępności. Dla e-usług MŚ, udostępnionych za pośrednictwem niezależnej od MŚ platformie epuap (zarządzanej przez Centrum Projektów Informatycznych), nie określono poziomu ich dostępności, gdyż nie ma możliwości technicznej ingerencji w funkcjonowanie zewnętrznego środowiska informatycznego (epuap). (Dowód: akta kontroli str. 248, , ) 1.4. Współpraca badanych systemów informatycznych z innymi systemami Wiele rejestrów w urzędach administracji publicznej przechowuje i przetwarza identyczne informacje np. o obywatelu/podmiocie (PESEL, REGON, NIP, dane adresowe). Ułatwieniem w załatwieniu spraw dla obywatela/podmiotu będzie sytuacja, gdy urząd nie będzie żądał od obywatela/podmiotu informacji będących już w posiadaniu urzędów. Realizacja tego postulatu wymaga, aby system informatyczny, w którym prowadzony jest rejestr odwoływał się bezpośrednio do danych gromadzonych w innych rejestrach publicznych uznanych za referencyjne w zakresie niezbędnym do realizacji zadań. Strona 6 Z 21

7 Rejestry GMO zgodnie z ustawą z dnia 22 czerwca 2001 r. o mikroorganizmach i organizmach genetycznie zmodyjucowanych8 są prowadzone w postaci elektronicznej, umieszcza się w nich dane zawarte we wnioskach, zgłoszeniach, zezwoleniach, decyzjach oraz zgodach. Systemy objęte badaniem nie wchodzą w bezpośrednią interakcję z innymi systemami informatycznymi, gdyż pełnią rolę informacyjną. W związku z powyższym nie są wyposażone w sprzęt i programy pozwalające na wymianę informacji z innymi systemami telekomunikacyjnymi za pomocą protokołów komunikacyjnych ( 16 ust. 1 rozporządzenia KRI). Objęte badaniem systemy pozwalają administratorowi merytorycznemu (pracownikowi MŚ) na zaimportowanie ręczne dokumentów w formacie PDF oraz na ręczne wygenerowanie wydruków i zestawień tabelarycznych, np. raporty z rejestrów UMO. System rejestrów UMO przechowuje dane dotyczące podmiotu i jego lokalizacji, jednakże nie odwołuje się do rejestrów referencyjnych ( 5 ust. 3 pkt 3 rozporządzenia KRI). (Dowód; akta kontroli str , ) 1.5. Obieg dokumentów Stosowanie systemu elektronicznego obiegu dokumentów wpływa na uporządkowanie i usprawnienie ich obiegu, znacząco usprawnia ich archiwizację oraz zapewnia łatwy dostęp do dokumentów archiwalnych, co wpływa na przyspieszenie załatwianych spraw (realizowanych przez urzędy usług) oraz minimalizowanie nakładu pracy. Celem wdrożenia elektronicznego obiegu dokumentów jest wyeliminowanie z obiegu wewnętrznego urzędu dokumentów papierowych. W MŚ, zgodnie z porozumieniem z Podlaskim Urzędem Wojewódzkim z dnia 26 stycznia 2015 r., wdrażany jest system elektronicznego zarządzania obiegiem dokumentów Ełektroniczne Zarządzanie Dokumentacją. (Dowód: akta kontroli str , ) 1.6. Format danych udostępniany przez badane systemy informatyczne Istotą współdzielenia informacji w urzędach jest stworzenie możliwości wymiany danych pomiędzy różnymi systemami informatycznymi oraz umożliwienie odbiorcom swobodnego dostępu do informacji poprzez wygenerowanie danych w powszechnie znanych i dostępnych formatach plików. Dla badanych systemów MŚ kodowanie znaków w wysyłanych z systemów dokumentach odbywa się według standardu Unicode UTF-8, zgodnie z 17 ust. 1 rozporządzenia KRI. Systemy udostępniają zasoby informatyczne w jednym z formatów danych określonych w załączniku 2 do rozporządzenia tj. w doc i PDF, zgodnie z 1 8 ust. 1 rozporządzenia KRI. (Dowód; akta kontroli str , ) 1.7. Zapewnienie dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych W eksploatowanych systemach teleinformatycznych powinny zostać zastosowane rozwiązania techniczne umożliwiające osobom niedoslyszącym lub niedowidzącym zapoznanie się z treścią 8 Dz. U. z 2015 r., poz Strona 7 Z 21

8 w w informacji m.in. poprzez powiększenie czcionki, obrazu, zmianę kontrastu czy też odsłuchanie wyświetlanej treści - zgodnie ze standardem WCAG 2.0. Termin dostosowania systemów teleinformatycznych do prezentacji zasobów informacyjnych wg powyższego standardu upłynął 30 maja 2015 r. Strony internetowe badanych systemów MŚ nie zostały w pełni dostosowane do odbioru ich treści przez osoby niepełnosprawne. Zastosowane rozwiązania techniczne umożliwiające osobom niedowidzącym zapoznanie się z treścią informacji poprzez powiększenie czcionki dotyczyły głównie podstawowych informacji ogólnych umieszczonych na stronach. Pozostałe treści, w tym np. załączone dokumenty w formatach PDF i doc nie były dostosowane do potrzeb osób niedowidzących. Regulacja wewnętrzna pn. Procedura określania specyfikacji technicznych i wymagań odbioru systemów IT wskazuje na konieczność określania w specyfikacji technicznej dla nowych lub przebudowywanych systemów MŚ wymagań zgodności z 19 rozporządzenia KRI, a także wymaganie testowania odbieranego systemu pod tym kątem. W stosunku do obydwu badanych systemów planowane jest wdrożenie ich nowych wersji, a w umowach z wykonawcami tych systemów znajdą się wymagania określone w 19 rozporządzenia KRI. (Dowód; akta kontroli str , ) Ustalenia: 1. MŚ świadczy 7 usług w formie elektronicznej z wykorzystaniem Elektronicznej Skrzynki Podawczej udostępnionej na platformie epuap oraz jest w trakcie przygotowywania 12 kolejnych e-usług. 2. MŚ udostępnia 7 wzorów dokumentów elektronicznych. 3. Zarządzanie usługami elektronicznymi w MŚ odbywa się w oparciu o model usługowy zgodnie z 1 5 ust. 2 rozporządzenia KRI. 4. Dla kontrolowanych systemów kodowanie znaków w wysyłanych z systemów dokumentach odbywa się według standardu Unicode UTF-8, zgodnie z ł7 ust. 1 rozporządzenia KM. 5. Systemy objęte badaniem nie wchodzą w bezpośrednią interakcję z innymi systemami informatycznymi, gdyż pełnią rolę informacyjną. 6. System rejestrów GMO przechowuje dane dotyczące podmiotu ijego lokalizacji, jednakże nie odwołuje się do rejestrów referencyjnych. 7. Nie w pełni dostosowano systemy MŚ do wymogów prezentacji zasobów informacyjnych zgodnie ze standardem WCAG 2.0 określonych w 19 rozporządzenia KM. 2. Wdrożenie systemu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych Wraz z rozwojem elektronicznej formy komunikacji znaczenia nabiera zapewnienie dostępności, integralności i poufności danych posiadanych i przetwarzanych przez urzędy. Dlatego też, szczególnie 9 Rejestry GMO trakcie kontroli opracowano projekt umowy na wykonanie elektronicznych rejestrów, zakładając ok. 2 miesięcy na realizację systemu. Strona trakcie kontroli prowadzono postępowanie o tidzielenie zamówienia publicznego. W dniu 25 sierpnia 2015 r. upływał termin zlożenia ofert. Strona 8 Z 21

9 istotne jest zapewnienie bezpieczeństwa informacj i przetwarzanych w użytkowanych przez podmioty publiczne systemach informatycznych. W przeciwnym razie powstaje ryzyko tłtraty ww. właściwości gwarantujących bezpieczeństwo informacji, a w konsekwencji stabilności pracy urzędów. Podważyć to może zaufanie obywateli do organów administracji publicznej. Jednostka, aby zabezpieczyć swoje informacje powinna zastosować podejście systemowe, w ramach którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji Dokumenty z zakresu bezpieczeństwa informacji Zgodnie z 20 ust. 1 rozporządzenia KRI podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacj i zapewniający poufność, dostępność i integralność informacji. Wymaga to opracowania dokumentacji SZBI, w tym szeregu regulacji wewnętrznych oraz zapewnienia aktualizacji tych regulacji w zakresie dotyczącym zmieniającego się otoczenia ( 20 tist. 2 pkt 1 rozporządzenia KRI). Dokumentacja ta jest warunkiem niezbędnym możliwości skutecznego zarządzania bezpieczeństwem informacji. W MŚ opracowano, ustanowiono i wdrożono System Zarządzania Bezpieczeństwem Informacji. Zarządzenie Nr 1 1 Ministra Środowiska z dnia 3 lutego r. w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Środowiska ustanawia SZBI, który obejmuje strukturę organizacyjną, polityki, plany działania, zakresy odpowiedzialności, procesy i zasoby. Celem systemu jest zapewnienie poufności, dostępności oraz integralności informacji w komórkach organizacyjnych MŚ oraz w systemach informatycznych służących do przetwarzania informacj i w MŚ. Zarządzanie BI w MŚ odbywa się poprzez opracowaną i wdrożoną Politykę Bezpieczeństwa Informacji. Zarządzenie ustanawia Dyrektora Generalnego MŚ jako zarządzającego i nadzorującego funkcjonowanie SZBI. Zarządzeniem powołany został Zespół do spraw SZBI, który wspiera Dyrektora Generalnego w realizacji jego zadań poprzez praktyczne wdrażanie Polityki Bezpieczeństwa Informacji, jej monitorowanie i doskonalenie. Zespół zajmuje się między innymi szacowaniem ryzyk związanych z BI, analizą incydentów naruszenia BI, określeniem działań korygujących oraz doskonaleniem SZBI. Zarządzenie zobowiązuje dyrektorów komórek organizacyjnych MŚ do nadzorowania przestrzegania zasad BI w nadzorowanych komórkach organizacyjnych, a także do współpracy z Zespołem w zakresie szacowania ryzyka BI. SZBI został wdrożony zgodnie z harmonogramem opisanym w dokumencie Korekta harmonogramu opracowania i wdrożenia PBI w dniu r. Podstawowym dokumentem SZBI jest Polityka Bezpieczeństwa Informacji w Ministerstwie Środowiska zatwierdzona przez Dyrektora Generalnego MŚ w dniu 14 kwietnia 2014 r. PBI określa działania, które mają zapewnić odpowiedni poziom BI w MŚ, w tym opisuje organizację i ustala osoby odpowiedzialne oraz ich zakresy odpowiedzialności, wprowadza klasyfikację informacji, Strona 9 Z 21

10 Baza sposób postępowania z poszczególnymi rodzajami informacji. PBI określa aktywa oraz ich właścicieli, sposób szacowania ryzyka oraz sposób postępowania z ryzykiem. Integralną część PBI stanowią, zatwierdzane odrębnie od PBI: S Polityka bezpieczeństwa teleinformatycznego w Ministerstwie Środowiska wraz z procedurami i instrukcjami bezpieczeństwa z dnia 27 maja 2014 r.;. Polityka bezpieczeństwa informacji w Ministerstwie Środowiska w zakresie bezpieczeństwa Jzycznego z dnia 28 maja 2014 r.;. Polityka bezpieczeństwa informacji w Ministerstwie Środowiska w zakresie bezpieczeństwa danych osobowych z dnia 23 maja 2014 r.;. Polityka bezpieczeństwa informacji w MŚ w zakresie bezpieczeństwa zasobów ludzkich dokument nie został opracowany zgodnie z rekomendacją Zespołu ds. $ZBI i decyzją Dyrektora Generalnego MŚ. Nie skutkowało to jednak zmianą treści 19 PBI poprzez wykreślenie ww. polityki. W ramach SZBI w MŚ funkcjonują także inne regulacje wewnętrzne stanowiące dokumenty wykonawcze PBI, w tym:. Zarządzenie Nr 2 Dyrektora Generalnego Ministerstwa Środowiska z dnia 22 kwietnia 2014 r. W sprawie ustalenia regulamirnc korzystania z zasobów informatycznych Ministerstwa Środowiska;. Notatka do Dyrektor Generalnej MŚ z dnia 30 października 2014 r. w sprawie ustalenia i monitorowania wskaźników z zakresu bezpieczeństwa systemów i usług IT. W skład Polityki bezpieczeństwa teleinformatycznego wchodzą następujące procedury: a) Polityka konfiguracji - konfiguracji CMDB wersja z dnia 05 marca 2014 r.; b) Procedura otwierania, modyfikowania oraz zamykania kont w systemach informatycznych MŚ wersja 4 z dnia 13 maja 2015 r.; c) Polityka monitorowania parametrów wersja z dnia 27 maja 2014 r.; d) Procedura utrzymania dzienników administratora systemu/bazy oraz administratora sieci ŁAN wersja z dnia 27 maja 2014 r.; e) Procedura bezpieczeństwa i utylizacji sprzętu elektronicznego wersja O.O. 1 z dnia 27 maja 2014 r. D Procedura zgłaszania zmiany i wykonywania testów wersja z dnia 27 maja 2014 r.; g) Procedura stosowania środków kryptograficznych wersja z dnia 27 maja 2014 r.; h) Procedura określania specyfikacji technicznych wymagań odbioru systemów IT wersja O. 1.3 z dnia 27 maja 2014 r.; i) Procedura zmiany hasła wersja $1 z dnia 14 marca 2012 r.; j) Procedura wydawania komputerów wersja $1 z dnia 12 marca 2012 r.; k) Procedura wydawania i aktywacji tokena VPN z dnia 05 września 2013 r. Strona 10 z 21

11 SZBI jest monitorowany i poddawany przeglądom, w wyniku czego jest doskonalony zgodnie z 20 ust. 1 rozporządzenia KłU. Zespół do spraw SZBI, zgodnie z notatką służbową z dnia 23 grudnia 2014 r. dotyczącą funkcjonowania SZBI w MŚ w 2014 roku dokonał przeglądu: rejestru ryzyk, rejestru incydentów, wartości następujących wskaźników: poziomu bezpieczeństwa informacji, liczby pracowników zapoznanych z PBI, dostępności krytycznych systemów informatycznych (poziom usług) i przeglądu logów. Zespól wskazał na konieczne zmiany w PBI. Potwierdzono, że w MŚ stworzone są warunki aktualizacj i regulacji wewnętrznych dotyczących $ZBI w zakresie dotyczącym zmieniającego się otoczenia, zgodnie z 20 ust. 2 pkt 1 rozporządzenia KRI. (Dowód: akta kontroli str , ) 2.2. Dokonywanie analizy zagrożeń związanych z przetwarzaniem informacji Wymogiem skuteczności $ZBI jest przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji. Na analizę ryzyka składają się: identyfikacja, szacownie, a następnie określenie sposobu postępowania z ryzykiem oraz deklaracja stosowania zabezpieczeń będąca podstawą podejmowania wszelkich działań minimalizujących ryzyko, stosownie do przeprowadzonej analizy. Analiza ryzyka pozwala na proaktywne zarządzanie BI, w tym na przeciwdziałanie zagrożeniom oraz ograniczanie skutków zmaterializowanych ryzyk. Analiza ryzyka pozwala na racjonalne zarządzanie środkami finansowymi poprzez stosowanie zabezpieczeń adekwatnych do oszacowanego poziomu ryzyka. W MŚ w okresie objętym kontrolą przeprowadzano okresowe analizy ryzyka utraty integralności, poufności lub dostępności informacji, zgodnie z 20 ust. 2 pkt 3 rozporządzenia KRI. Regulacją wewnętrzną opisującą sposób zarządzania ryzykiem jest rozdział 6 PBI ( 14-16). W MŚ prowadzony jest rejestr ryzyk, zawierający informacje o zidentyfikowanych ryzykach, ich poziomie oraz sposobie postępowania z ryzykami. Dyrektor Generalny MŚ otrzymuje informacje o ryzykach uznanych za nieakceptowalne. Sporządzono m.in. notatkę służbową z dnia 23 czerwca 2014 r. o sygnaturze BDG-I /25 181/2014/AS nt. postępowania z ryzykami na poziomie dużym, zidentyfikowanym W aktywach IT skierowaną, i akceptowaną przez Dyrektora Generalnego MŚ. Wobec powyższych ryzyk podjęto działania wpływające na zmniejszenie ich poziomu do poziomu akceptowalnego decyzja o zakupie dodatkowego urządzenia zabezpieczającego na styku sieci MŚ z siecią Internet oraz wniosek o skierowanie na szkolenia informatyczne pracowników pionu IT. Badany rejestr ryzyk nie w pełni odpowiada potrzebom PBI, gdyż zawiera głównie ryzyka dotyczące zadań planowanych na potrzeby kontroli zarządczej. Rejestr nie uwzględnia szeregu istotnych ryzyk informatycznych związanych z ochroną BI, np. ryzyka pożaru serwerowni, ryzyka włamania do systemu informatycznego. Rejestr ryzyk jest prowadzony z wykorzystaniem oprogramowania SDPK e-risk, gdzie ryzyka są rejestrowane i opisywane w bazie danych. (Dowód; akta kontroli str , , , ) 2.3. Inwentaryzacja sprzętu i oprogramowania informatycznego Zarządzanie infrastrukturą informatyczną wymaga utrzymywania aktualności inwentaryzacj i sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację. Baza Stronail z21

12 inwentaryzacyjna powinna zawierać wszystkie zidentyfikowane aktywa informatyczne, przez co możliwe będzie ich odtworzenie. Baza inwentaryzacyjnajest niezbędna przy wprowadzaniu wszelkich zmian w środowisku teleinformatycznym urzędu ograniczając możliwość zaistnienia zakłóceń W pracy, które wynikałyby z błędnych decyzji i podejmowanych działań, wynikających z braku aktualnej i kompleksowej wiedzy o stanie infrastruktury teleinformatycznej. W MŚ prowadzony jest rejestr zasobów informatycznych w postaci informatycznej bazy danych, co jest zgodne z 20 ust. 2 pkt 2 rozporządzenia KRI. Rejestr zawiera szczegółowe dane O urządzeniach technicznych i oprogramowaniu w tym ich rodzaju, parametrach, aktualnej konfiguracji i użytkowniku. Sposób zarządzania sprzętem informatycznym i oprogramowaniem zawarty jest w 4 ust. 1 Regulaminu korzystania z zasobów informatycznych MŚ, a sposób prowadzenia rejestru zasobów informatycznych w procedurze Baza konfiguracji CMDB. Rejestr zasobów informatycznych uwzględnia pełny okres eksploatacji sprzętu, tj. od momentu jego zakupu do momentu wycofania z eksploatacji (np. złomowanie). Rejestr jest prowadzony z wykorzystaniem oprogramowania OTRS ITSM. Rejestr jest prowadzony przez pion IT MŚ niezależnie od księgi inwentarzowej dla potrzeb rachunkowości i jest aktualizowany co najmniej raz w miesiącu. Oprogramowanie OTRS wspomaga także rejestrację i obsługę zgłoszeń serwisowych. (Dowód: akta kontroli str , , , 340, ) 2.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych Istotnym elementem polityki BI jest zarządzanie dostępem do systemów teleinformatycznych przetwarzających informacje. Zarządzanie dostępem ma zapewnić, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków, a w przypadku zmiany zadań następuje również zmiana ich uprawnień. Zgodnie z 20 ust. 2 pkt 4 rozporządzenia KRI w MŚ opracowano pisemne procedury zarządzania uprawnieniami użytkowników do pracy w systemach informatycznych. Na regulacje w tym zakresie składają się: Regulamin korzystania z zasobów informatycznych w MŚ, Procedura otwierania, modyfikowania oraz zamykania kont w systemach informatycznych MŚ, Procedura zmiany hasła Pracownicy MŚ uzyskują dostęp do zasobów informatycznych po podaniu unikalnego łoginu i hasła. Zarządzanie uprawnieniami do pracy w systemach informatycznych odbywa się z wykorzystaniem oprogramowania Quest ActiyeRoles, gdzie na bieżąco odnotowywane są wszelkie zmiany uprawnień. Zakres uprawnień użytkowników badanych systemów uniemożliwiał wykonywanie działań zastrzeżonych dla administratorów systemów (pracownika służb informatycznych). W MŚ na bieżąco odbywa się monitorowanie dostępu do zasobów informatycznych. Regulacja wewnętrzna dotycząca procedur kontrolnych objęta jest klauzulą zastrzeżone. Konta byłych pracowników w systemach informatycznych MŚ byly w okresie objętym badaniem sukcesywnie blokowane, zgodnie z 20 ust. 2 pkt 5 rozporządzenia KRI. Dodatkowa regulacja Strona 12 z 21

13 wewnętrzna dotycząca blokowania kont byłych administratorów sieci i systemów IT w MŚ objęta jest klauzulą zastrzeżone. Dokumenty zastrzeżone zostały udostępnione kontrolerom w kancelarii tajnej zgodnie z obowiązującymi procedurami dotyczącymi bezpieczeństwa informacji niejawnych. Centralne zarządzanie uprawnieniami użytkowników do pracy w systemach informatycznych wspomagane jest przez oprogramowanie Quest InTrust. Ponadto, oprogramowanie odnotowje w bazie danych wszystkie działania użytkowników i administratorów dotyczące systemów MŚ (logi systemowe). (Dowód: akta kontroli str , , 231, , , ) 2.5. Szkolenia pracowników zaangażowanych w proces przetwarzania informacji Świadomość wśród pracowników urzędu zagrożeń i konsekwencji zaistnienia incydentów związanych z naruszeniem BI jest istotnym elementem SZBI. Szkolenia z zakresu BI powinny obejmować wszystkie osoby uczestniczące w procesie przetwarzania informacji oraz dostarczać aktualnej wiedzy O nowych zagrożeniach, adekwatnych zabezpieczeniach oraz skutkach ewentualnych incydentów związanych z BI. W MŚ zorganizowano szkolenia osób zaangażowanych w proces przetwarzania informacji z zakresu bezpieczeństwa informacji, zgodnie z 20 ust. 2 pkt 6 rozporządzenia KRI. Tematyka szkoleń dotyczyła postępowania z informacją w MŚ w tym ochrony danych osobowych, bezpieczeństwa teleinformatycznego, obowiązujących procedur ustanowionych w PBI, komunikacji w sieci komputerowej, oraz bezpieczeństwa fizycznego. Szkolenia odbyły się z zastosowaniem systemu e-learningowego (poprzez dostęp elektroniczny do opracowanych w MŚ materiałów szkoleniowych). Potwierdzeniem odbycia szkolenia jest oświadczenie pracownika przechowywane w dziale kadr. W MŚ ustanowiony został wskaźnik liczby pracowników zapoznanych z PBI. W notatce służbowej z przeglądu SZBI w roku 2014 r. wykazano, że 91% pracowników MŚ przeszło szkolenie z PBI i uznano tę wartość za akceptowalną. Nie stwierdzono cykliczności szkoleń (dotychczas każdy pracownik uczestniczył w nim tylko 1 raz). (Dowód; akta kontroli str , , ) 2.6. Praca na odległość i mobilne przetwarzanie danych Wobec możliwości technicznych związanych z telepracą (pracą poza siedzibą urzędu) z wykorzystaniem urządzeń mobilnych takich jak laptopy, tablety, smartfony pojawiają się nowe zagrożenia BI. Konieczne jest opisanie zasad określających sposoby zabezpieczenia urządzeń mobilnych i danych w nich zawartych przed kradzieżą i nieuprawnionym dostępem poza siedzibą jednostki, a także zasady korzystania z ogólnodostępnych sieci. W MŚ określono zasady bezpiecznej pracy użytkowników przy wykorzystaniu urządzeń przenośnych i pracy na odległość zgodne z wymogami określonymi w 20 ust. 2 pkt 8 rozporządzenia KRI. Sposób bezpiecznej pracy został opisany w 3 ust. 4 Regułaminu korzystania z zasobów informatycznych MŚ. Dostęp zdalny chronionyjest m.in. poprzez wykorzystanie sprzętowego tokena Stronał3 z21

14 VPN wspomagającego szyfrowanie transmisji do urządzeń mobilnych. Opis wydawania i stosowania tokena VPN zawiera Procedura wydawania i aktywacji tokena ypn. (Dowód: aktakontroli str , , , ) 2.7. Serwis sprzętu informatycznego i oprogramowania W przypadku systemów informatycznych o znaczeniu krytycznym dla urzędu niezbędne jest objęcie tych systemów (w zakresie oprogramowania użytkowego, systemowego, sprzętu i rozwiązań telekomunikacyjnych) stosownymi umowami serwisowymi, gwarantującymi odpowiednio szybkie uruchomienie pracy systemu w przypadku awarii. Umowy powinny posiadać klauzule prawne zabezpieczające BI w przypadku wejścia w ich posiadania przez firmy serwisujące. Systemy informatyczne MŚ będące przedmiotem badania nie posiadaly czynnych umów serwisowych10, w związku z powyższym nie występuje zagrożenie BI wynikające z istnienia takich umów ( 20 ust. 2 pkt 10 rozporządzenia KM). Z uzyskanych wyjaśnień 1 wynika, że serwis dla tych systemów jest wykonywany siłami własnymi pionu informatyki MŚ. W stosunku do obydwu badanych systemów planowane jest wdrożenie ich nowych wersji, co spowoduje objęcie systemów serwisem pogwarancyjnym wykonawców. (Dowód: akta kontroli str , , ) 2.8. Procedury zgłaszania incydentów naruszenia bezpieczeństwa informacji Pomimo stosowania zabezpieczeń (wynikających z analizy ryzyka) pozwalających na ograniczanie ryzyka związanego z przetwarzaniem informacji w urzędzie istnieje ryzyko szczątkowe świadomie akceptowane przez kierownictwo. W ramach ryzyka szczątkowego, a także ryzyka nieobjętego analizą ryzyka mogą pojawić się incydenty naruszenia BI. Incydenty te powinny być bezzwłoczne zgłaszane w określony i z góry ustalony sposób, a także powinien być opisany sposób reakcji na te incydenty przez wyznaczone osoby w celu szybkiego podjęcia działań korygujących. Zgodnie z 20 ust. 2 pkt 13 rozporządzenia KRI w MŚ opracowano i wdrożono procedury regulujące zasady postępowania w przypadku wystąpienia incydentów naruszenia bezpieczeństwa informacji. Procedura postępowania w przypadku wystąpienia incydentów naruszenia bezpieczeństwa informacji zawarta jest w 17 PBI. Incydenty zobowiązany jest zgłosić każdy pracownik MŚ na adres incydentmos.goy.pl. Odpowiedni członek Zespołu do spraw SZBI zarządza działaniami mającymi na celu minimalizacje skutków incydentu. Incydent jest rejestrowany w rejestrze incydentów a Zespół ds. SZBI poddaje incydent analizie i określa działania naprawcze. W MŚ ustanowiono wskaźnik poziomu bezpieczeństw informacji, dla którego liczbę incydentów powyżej 10 na rok uznano za nieakceptowalną, wymagającą działań korygujących. W Notatce z przeglądu SZBI w 2014 roku przedstawiono rejestr incydentów naruszenia bezpieczeństwa informacji zawierający 3 incydenty. W okresie objętym kontrolą zarejestrowano 4 incydenty. (Dowód: akta kontroli str , , , 305, ) 10 6 spośród 1 8 systemów teleinformatycznych MŚ posiada umowy serwisowe. 11 Pismo Zastępcy Dyrektora Biura Dyrektora Generalnego MŚ Pana Andrzeja Smolińskiego z dnia 2 lipca 2015 r., sygn. BDG-wrsi-091-1/24643/15/PT. Strona 14 z 21

15 2.9. Audyt wewnętrzny z zakresu bezpieczeństwa informacji Wymogiem SZBI jest regularne (nie rzadziej niż raz na rok) przeprowadzanie audytów wewnętrznych w zakresie BI w systemach informatycznych, co pozwoli na ewentualne ujawnienie słabości $ZBI i jego doskonalenie. W okresie objętym kontrolą audyt w zakresie BI w systemach informatycznych przeprowadzono w grudniu 2014 roku, co było zgodne z 20 ust. 2 pkt 14 rozporządzenia KRI. Wyniki audytu zawarte są w Sprawozdaniu z zadania audytowego: Ocena realizacji działań prowadzonych w zakresie bezpieczeństwa informacji - styczeń 2015 o sygnaturze ZAW 8/2014. Audyt potwierdził prawidłowe funkcjonowanie SZBI w MŚ. W opinii audytorów, wyłączając treści zastrzeżeń, została zapewniona adekwatność, skuteczność i efektywność systemu zarządzania i kontroli w badanym obszarze. (Dowód: akta kontroli str , , ) Kopie zapasowe Jednym z kluczowych sposobów zapobiegania utracie informacji w wyniku awarii jest wykonywanie kopii zapasowych. Kopie powinny być właściwie tworzone, przechowywane i testowane. Celem tworzenia kopii zapasowych danych jest możliwość ich odzyskania, tj. przywrócenia do pracy użytkowej systemu teleinformatycznego wraz z informacjami przechowywanymi przez ten system np. w bazie danych. Wymóg ten można osiągnąć robiąc regularnie kopie całego środowiska pracy danego systemu teleinformatycznego, tj. systemu operacyjnego, jego konfiguracji (w tym konfiguracji zabezpieczeń), systemu informatycznego i informacji w nim przechowywanych oraz regularne odtwarzanie systemu z kopii na niezależnym środowisku sprzętowym oraz testowaniu pracy użytkowej systemu. Kopie zapasowe danych i systemów MŚ są tworzone, przechowywane oraz testowane zgodnie z pisemnymi procedurami, co wypełnia zapis 20 ust. 2 pkt 12 lit. b rozporządzenia KRI. Regulacja wewnętrzna dotycząca wykonywania i testowania kopii zapasowych objęta jest klauzulą zastrzeżone. Regulacja ta została udostępniona kontrolerom w kancelarii tajnej zgodnie z obowiązującymi procedurami dotyczącymi bezpieczeństwa informacji niejawnych. Proces wykonywania kopii zapasowych wspomagany jest przez oprogramowanie Veeam Backup Enterprise pozwalające na wykonywanie kopii zapasowych automatycznie oraz późniejsze ich testowanie wg wcześniej opracowanych procedur. (Dowód: akta kontroli str , , ) Projektowanie. wdrażanie i eksploatacja systemów telekomunikacyjnych Bezpieczeństwo systemu teleinformatycznego w dużym stopniu zależy od jego budowy. Stąd wymagania aby system teleinformatyczny został zaprojektowany i zbudowany zgodnie z zasadami BI opisanymi w obowiązujących normach i standardach przemysłowych. Procedury odbioru danego systemu teleinformatycznego muszą zagwarantować kompleksowe przetestowanie wbudowanych zabezpieczeń pod względem uzyskania założonego poziomu BI. Podczas użytkowania systemu Strona 15 z 21

16 teleinformatycznego konieczne jest monitorowanie jego pracy m.in. w celu dostrzeżenia wszelkich nieprawidłowości w jego pracy i podejmowania bezpośrednich działań korygujących. W MŚ zapewniono warunki dla uzyskania odpowiedniej funkcjonalności, niezawodności, używalności, wydajności, przenaszalności i pielęgnowalności systemów informatycznych w fazie ich projektowania, wdrażania i eksploatacji, co było zgodne z 15 ust. 1 rozporządzenia KRJ. W zakresie projektowania i wdrażania systemów informatycznych obowiązuje Procedura określania specyfikacji technicznych i wymagań odbioru systemów IT. Procedura określa wymagania wobec wdrażanego w MŚ systemu informatycznego takie jak: architekturę systemu i sposób licencjonowania i wykorzystania praw autorskich, zgodność z obowiązującym prawem m.in. ustawą Prawo telekomunikacyjne i ustawą o informatyzacji podmiotów realizujących zadania publiczne, sposób i poziom zabezpieczeń, zastosowanie norm i standardów przemysłowych, zastosowanie rozwiązań funkcjonalnych odpowiednich dla osiągnięcia założonych celów, prezentacji treści dla osób niepełnosprawnych, wydajności, poziomu niezawodności SLA, mechanizmów kontroli i audytu. Procedura określa wymagania dotyczące sposobu dostarczenia i instalacji systemu informatycznego oraz wymagania sprzętowe i środowiskowe dla systemu. Dla fazy wdrażania procedura określa sposób I zakres testów oraz dokumentacj i oraz warunki i kryteria odbioru. Wymagania na nowe systemy informatyczne lub modyfikacje istniejących formułowane są w MŚ w oparciu o zapisy powyższej procedury. W trakcie eksploatacji systemów informatycznych sposób przeprowadzania zmian opisany jest w dokumencie Procedura zgłaszania zmiany i wykonywania testów. Procedura formalizuje proces zmiany poprzez wprowadzenie formularza zmiany oraz opis procesu jego obsługi, w tym: analizy zmiany pod kątem wykonalności, kosztów, ryzyk, a także określenie sposobu wykonania i odbioru zmiany. W MŚ realizowany jest proces monitorowania systemów informatycznych i środowiska ich pracy pod kątem wydajności i pojemności, co pozwała na przewidywanie i zapobieganie ewentualnym problemom z tym związanym poprzez stosowanie działań zapobiegawczych 2. Proces monitorowania wspomagany jest przez oprogramowanie Quest Foglight. (Dowód; akta kontroli str , , , 341, ) Zabezpieczenia techniczno-organizacyjne dostępu do informacji W celu uzyskania odpowiedniego poziomu BI przy jednoczesnym zapewnieniu właściwego do nich dostępu przez uprawnionych użytkowników stosowanych jest szereg zabezpieczeń informatycznych. Celem zabezpieczeń jest uzyskanie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, a także np. kradzieżą środków przetwarzania informacji. Zastosowane zabezpieczenia powinny być adekwatne do poziomu ryzyka wynikającego z analizy ryzyka BI. 12 Projekt zwiększenia przepustowości łącz do MŚ z 40 do 100Mb/s w celu zwiększenia wydajności systemów internetowych. Strona 16 z 21

17 Zgodnie z 20 ust. 2 pkt 7 i 9 rozporządzenia KRI w MŚ zapewniono ochronę przetwarzanych informacj i przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami oraz ustalono zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje usunięcie lub zniszczenie poprzez: a) monitorowanie dostępu do informacji poprzez oprogramowanie Quest InTrust zarządzające centralnie logowaniem do systemów MŚ i odnotowujące w bazie danych wszystkie działania użytkowników i administratorów dotyczące systemów MŚ oraz monitorowanie ruchu osobowego wmś; b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji poprzez kontrolę logów systemów, kontrolę wejść i wyjść do pomieszczeń serwerowni, analizę rejestru zgłoszeń serwisowych, analizę rejestru incydentów naruszenia BI; c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych usług sieciowych i aplikacji poprzez stosowanie systemu kontroli dostępu do pomieszczeń serwerowni, systemu autoryzacji dostępu do systemów operacyjnych, sieci i aplikacji, stosowania zabezpieczeń kryptograficznych, stosowania systemów antywirusowych i antyspamowych, stosowanie zapór sieciowych typu firewall; d) zapewnienie utyłizacj i sprzętu informatycznego i nośników danych w sposób gwarantujący zachowanie BI. W MŚ ustalono zasady postępowania z informacjami zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych zgodne z 20 ust. 2 pkt 1 1. Zasady postępowania zawarto w Polityce BI w MŚ w zakresie bezpieczeństwa fizycznego. (Dowód: akta kontroli str , , ) Zabezpieczenia techniczno-organizacyjne systemów informatycznych Aby zapewnić bezpieczeństwo informacji przetwarzanych przez systemy teleinformatyczne niezbędne jest stosowanie szeregu zabezpieczeń techniczno-organizacyjnych dotyczących środowiska teleinformatycznego. Stosowanie zabezpieczeń powinno wynikać z analizy ryzyka i powstałej w jej wyniku deklaracji stosowania zabezpieczeń. Zgodnie z 20 ust. 2 pkt 12 rozporządzenia KM w MŚ zapewniono odpowiedni poziom bezpieczeństwa systemów teleinformatycznych poprzez: a) aktualizację oprogramowania oraz redukcji ryzyk wynikających z wykorzystywania opublikowanych podatności technicznych systemów teleinformatycznych (poprzez wdrażanie nowych wersji oprogramowania systemowego i użytkowego, poprawek i uzupełnień podnoszących ich bezpieczeństwo, aktualizację oprogramowania antywirusowego i antyspamowego, aktualizację oprogramowania zabezpieczającego ruch sieciowy); b) minimalizowanie ryzyka utraty informacji w wyniku awarii oraz ochronie przed błędami, utratą i nieuprawnioną modyfikacją a także zapewnienie bezpieczeństwa plików systemowych (poprzez Strona 17 z 21

18 zastosowanie redundantnych rozwiązań sprzętowych w tym: dwustronnego zasilania, redundancji klimatyzacji, zastosowanie klastra serwerów wysokiej dostępności, redundancji macierzy dyskowych i urządzeń sieciowych, równoważenie obciążenia (ang. bad balancing), monitorowanie parametrów środowiskowych w serwerowni (temperatura, wilgotność, zadymienie, wyciek wody), zastosowania systemu kopii awaryjnych, systemu kontroli dostępu do zasobów informatycznych, systemu monitorowania funkcjonowania systemów teleinformatycznych i sieci); c) zastosowanie mechanizmów kryptograficznych dla urządzeń mobilnych i poczty elektronicznej a także podpisów kwalifikowanych do autoryzacji dokumentów. (Dowód: akta kontroli str , , ) Rozliczałność działań w systemach informatycznych Przetwarzanie informacji w systemach teleinformatycznych wymaga dostępu do danych przez uprawnione osoby w ustalonym zakresie. Dokumentowaniu w postaci zapisów w dziennikach systemów (logi) podlegają wszelkie działania związane z przetwarzaniem informacji, a także działania administracyjne, co zapewnia rozliczalność tych operacji, tj. informację kto, kiedy i co wykonał W systemie teleinformatycznym. Świadomość użytkowników, że żadne ich działanie nie zostanie anonimowe podnosi poziom BI. Informacje zawarte w logach powinny być regularnie przeglądane w celu wykrycia działań niepożądanych i powinny być przechowywane w bezpieczny sposób co najmniej 2 lata. W systemach MŚ będących przedmiotem kontroli rozliczalność działań użytkowników i administratorów podlega dokumentowaniu w postaci zapisów w dziennikach systemów (logach), w tym działania związane z konfiguracją zabezpieczeń, co jest zgodne z 21 ust. 1 i 2 rozporządzenia KRI. Regulacją wewnętrzną, w której określone są zasady prowadzenia logów systemowych jest Polityka monitorowania parametrów. W 3 określony został sposób monitorowania sieci i prowadzenia logów oraz wskazano 12-miesięczny okres retencji logów. Jest to niezgodne Z 21 ust. 4 rozporządzenia KRI, który określa 2-letni okres przechowywania logów. Zapisy dzienników systemowych są przechowywane w sposób zapewniający bezpieczeństwo informacji na zasobach dyskowych MŚ zgodnie z 21 ust. 5 rozporządzenia KM. Logi są regularnie przeglądane i poddawane analizie. W MŚ ustanowiony został wskaźnik przeglądu logów. W notatce służbowej z przeglądu SZBI w roku 2014 wskazano, że wartość tego wskaźnika dla badanego okresu wynosi powyżej 0,5, co zgodnie z przyjętą metodyką jest wartością akceptowalną. Prowadzenie zapisów w dziennikach systemów (logach) wspomagane jest przez oprogramowanie Quest Infrust zarządzające centralnie logowaniem do systemów MŚ i odnotowujące w bazie danych wszystkie działania użytkowników i administratorów dotyczące systemów MŚ. (Dowód: akta kontroli str , , ) Strona 18 z 21