SPRAWOZDANIE Z KONTROLI

Podobne dokumenty
SPRAWOZDANIE Z KONTROLI

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

NK.IV RCh Opole, dnia 13 maja 2016 r. WYSTĄPIENIE POKONTROLNE

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

WYSTĄPIENIE POKONTROLNE

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

Krzysztof Świtała WPiA UKSW

SPRAWOZDANIE Z KONTROLI

PRELEGENT Przemek Frańczak Członek SIODO

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Szkolenie otwarte 2016 r.

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Pan Krzysztof Fedorczyk Starosta Węgrowski ul. Przemysłowa Węgrów

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

SPRAWOZDANIE Z KONTROLI

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

WYSTĄPIENIE POKONTROLNE

Marcin Soczko. Agenda

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Pani Wiesława Kwiatkowska Burmistrz Miasta Milanówka ul. Kościuszki Milanówek

Promotor: dr inż. Krzysztof Różanowski

Warszawa, dnia 7 października 2013 r. Poz ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 24 września 2013 r.

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

PNK-IV Łódź, 3 marca 2014 r.

ŁÓDZKI URZĄD WOJEWÓDZKI W ŁODZI

Olsztyn, 9 listopada 2018 r. SO-III Pani Alicja Kołakowska Wójt Gminy Świętajno ul. Grunwaldzka Świętajno

W Y S T Ą P I E N I E P O K O N T R O L N E

LPO /2012 P/12/017 WYSTĄPIENIE POKONTROLNE

SPRAWOZDANIE Z KONTROLI

Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII

Pan Janusz Kotowski Prezydent Miasta Ostrołęka pl. gen. Józefa Bema Ostrołęka

WYSTĄPIENIE POKONTROLNE

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

WYSTĄPIENIE POKONTROLNE

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

WOJEWODA MAZOWIECKI Warszawa, r. WPS-V EB

Pani Jolanta Gonta Starosta Sochaczewski ul. Marsz. J. Piłsudskiego Sochaczew

WOJEWODA ŁÓDZKI Łódź, 4 grudnia 2018 r. FB-IV WYSTĄPIENIE POKONTROLNE

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

WOJEWODA ŁÓDZKI Łódź, 6 maja 2013 r.

Czy wszystko jest jasne??? Janusz Czauderna Tel

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zapytanie ofertowe nr OR

Warszawa, dn r. WPS-V

WYSTĄPIENIE POKONTROLNE

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

SO-III Łódź, dnia 15 czerwca 2015 r.

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Protokół kontroli problemowej przeprowadzonej w Urzędzie Gminy Łomża Ul. Skłodowskiej 1a, Łomża NIP , REGON

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

WOJEWODA MAZOWIECKI. Warszawa, dn r. WPS-V

REGULAMIN WEWNĘTRZNY BIURA INFORMATYKI I ROZWOJU SYSTEMÓW INFORMATYCZNYCH

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185 poz. 1092). 2

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Wystąpienie pokontrolne

Data utworzenia Numer aktu 1. Akt prawa miejscowego NIE

Pan Artur Michał Tusiński Burmistrz Miasta Podkowa Leśna ul. Akacjowa 39/ Podkowa Leśna

WYSTĄPIENIE POKONTROLNE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

WYSTĄPIENIE POKONTROLNE

WOJEWODA ŚWIĘTOKRZYSKI. Kielce, Znak: PNK-III Pan Józef Zuwała Wójt Gminy Bejsce

WYSTĄPIENIE POKONTROLNE

Wacław Bortnik Opolski Wojewódzki Lekarz Weterynarii

FBC.V ZG Opole, dnia 28 września 2016 r. WYSTĄPIENIE POKONTROLNE

Pan Leszek Iwaniuk Starosta Sokołowski ul. Wolności Sokołów Podlaski

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

WYSTĄPIENIE POKONTROLNE

Pani Elżbieta Frejowska Wójt Gminy Nagłowice

Zarządzenie Nr W ojewody Dolnośląskiego z dnia sierpnia 2016 r.

WOJEWODA DOLNOŚLĄSKI Wrocław, dnia 27 listopada 2012 r. Aleksander Marek Skorupa. Wystąpienie pokontrolne

WYSTĄPIENIE POKONTROLNE

WOJEWODA DOLNOŚLĄSKI Wrocław, dnia 14 kwietnia 2017 r. WYSTĄPIENIE POKONTROLNE

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

NK.IV Opole, dnia 24 kwietnia 2015 roku W Y S T Ą P I E N I E P O K O N T R O L N E

Pani Aneta Małkiewicz Kierownik Gminnego Ośrodka Pomocy Społecznej w Brudzeniu Dużym

WYSTĄPIENIE POKONTROLNE

WOJEWODA ŁÓDZKI. Pan Andrzej Werle Wójt Gminy Nieborów. Pan Tadeusz Kozioł Przewodniczący Rady Gminy w Nieborowie

LPO /2014 P/14/004 WYSTĄPIENIE POKONTROLNE

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

WYSTĄPIENIE POKONTROLNE

l i r! T

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zdrowe podejście do informacji

WYSTĄPIENIE POKONTROLNE

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

WYSTĄPIENIE POKONTROLNE

Transkrypt:

. WOJEWODA OPOLSKI PN.I.431.3.4.2018.RCh Opole, dnia 26 października 2018 r. Pan Dionizy Duszyński Wójt Gminy Popielów ul. Opolska 13 46-090 Popielów SPRAWOZDANIE Z KONTROLI I. Podstawowe informacje formalno-prawne dotyczące kontroli: 1) Nazwa i adres jednostki kontrolowanej: Urząd Gminy w Popielowie (dalej: UG w Popielowie; Urząd), ul. Opolska 13, 46-090 Popielów. 2) Podstawa prawna podjęcia kontroli: a) art. 25 ust. 1 pkt 3 lit. a i ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne 1, b) art. 6 ust. 4 pkt 3 ustawy z dnia 15 lipca 2011 r. o kontroli w administracji rządowej 2 dalej: ustawa o kontroli; 3) Zakres kontroli: a) Przedmiot kontroli: Działanie systemów teleinformatycznych i rejestrów publicznych używanych do realizacji zadań zleconych z zakresu administracji rządowej, b) Okres objęty kontrolą: od 1 stycznia 2017 r. do dnia rozpoczęcia kontroli (z uwzględnieniem okresu wcześniejszego i późniejszego w zakresie niezbędnym do realizacji celu kontroli). 4) Rodzaj kontroli: problemowa. 5) Tryb kontroli: uproszczony. 6) Termin kontroli: 8-12 października 2018 r. 7) Skład zespołu kontrolnego: a) Radosław Chodziński Starszy Inspektor Wojewódzki w Oddziale Organizacji, Kontroli i Skarg w Wydziale Prawnym i Nadzoru OUW (przewodniczący zespołu kontrolnego), b) Adam Szkudlarski Starszy Specjalista w Oddziale Informatyki i Rozwoju w Biurze Obsługi Urzędu OUW (członek zespołu kontrolnego). 8) Kierownik jednostki kontrolowanej: Funkcję Wójta Gminy Popielów pełni Pan Dionizy Duszyński, od dnia 7 czerwca 1990 r. [Dowód: akta kontroli, s. 2] 9) Kontrolę wpisano do książki kontroli prowadzonej w jednostce kontrolowanej, pod poz. nr: 8/2018. 1 Dz. U. z 2017 r. poz. 570. 2 Dz. U. Nr 185, poz. 1092. Strona 1 z 8

II. Ocena działalności jednostki kontrolowanej, ze wskazaniem ustaleń, na których została oparta: Funkcjonowanie UG w Popielowie w kontrolowanym zakresie oceniono pozytywnie z nieprawidłowościami 3. Powyższa ogólna ocena wynika z ocen cząstkowych poszczególnych obszarów objętych kontrolą. Ustalenia kontroli: 1) Obszar obejmujący: wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami / rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną pomimo stwierdzonej nieprawidłowości oceniono pozytywnie. UG w Popielowie wykorzystuje 6 systemów teleinformatycznych do realizacji zadań zleconych z zakresu administracji rządowej, w tym 3 o zasięgu krajowym (Źródło, KDR i CEIDG 4 ) oraz 3 o zasięgu lokalnym (stosowane do prowadzenia ewidencji mieszkańców Gminy, prowadzenia archiwalnego rejestru aktów stanu cywilnego i do zwrotu podatku akcyzowego zawartego w cenie oleju napędowego wykorzystywanego do produkcji rolnej). Na systemach tych pracuje łącznie 10 użytkowników (pracowników) z 4 komórek organizacyjnych Urzędu. [Dowód: akta kontroli, s. 44-49 i 58] Z przedłożonej kontrolującym ankiety wynika, że każdy z ww. systemów (dokonując oceny pod względem krytyczności) jest bardzo ważny dla Urzędu. [Dowód: akta kontroli, s. 44-49] UG w Popielowie ma wdrożone elektroniczne skrzynki podawcze: EBOI 5 oraz epuap 6, a także usługę EBO 365 7 zintegrowaną z epuap-em. [Dowód: akta kontroli, s. 61 i 62-71] Zgodnie z wyjaśnieniami Sekretarza Gminy, Pani I. Lenart: wdrożenie dwóch systemów: EBOI i EBO 365 było związane z realizacją projektów dofinansowanych ze środków unijnych, w ramach których w UG w Popielowie zakupiono elektroniczny obieg dokumentów, sprzęt komputerowy i oprogramowanie, zbudowano sieć komputerową, wyposażono serwerownię, przeprowadzono szkolenia dla pracowników. [Dowód: akta kontroli, s. 61] Wspomnieć w tym miejscu należy, że w dniu 3 października 2018 r. (etap przedkontrolny), w katalogu usług EBOI (https://popielow.eboi.pl), w usłudze zatytułowanej: Wydanie dowodu osobistego, stwierdzono nieaktualne podstawy (akty) prawne, a mianowicie, nieobowiązującą od 1 marca 2015 r. ustawę z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych 8, oraz również nieobowiązujące od 1 marca 2015 r. rozporządzenie Rady Ministrów z dnia 6 lutego 2009 r. w sprawie wzoru dowodu osobistego oraz trybu postępowania w sprawach wydawania dowodów osobistych, ich unieważniania, wymiany, zwrotu lub utraty 9. [Dowód: akta kontroli, s. 67] 3 Służby kontrolne Wojewody Opolskiego stosują czterostopniową skalę ocen: pozytywna, pozytywna z uchybieniami, pozytywna z nieprawidłowościami i negatywna. 4 Rejestr publiczny. 5 Elektroniczne Biuro Obsługi Interesanta. 6 Elektroniczna Platforma Usług Administracji Publicznej. 7 Elektroniczne Biuro Obywatela. 8 Dz.U. z 2006 r. Nr 139, poz. 993. 9 Dz. U. Nr 47, poz. 384. Strona 2 z 8

Błąd ten kwalifikuje się jako nieprawidłowość. Może on świadczyć o niewystarczającym (dotychczas) nadzorze nad aktualizacją zapisów występujących w katalogu usług. Tym niemniej w trakcie kontroli w dniu 10 października 2018 r. stwierdzono wyeliminowanie powyższej nieprawidłowości. [Dowód: akta kontroli, s. 67] UG w Popielowie nie przekazywał własnych wzorów dokumentów do centralnego repozytorium wzorów dokumentów elektronicznych. [Dowód: akta kontroli, s. 50] Wiodącym (podstawowym) systemem pracy na dokumentach w Urzędzie jest system tradycyjny (papierowy), wspomagany przez elektroniczny system obiegu dokumentów. [Dowód: akta kontroli, s. 51 i 13] Kontrolujący nie stwierdzili niezgodności formatów danych (zasobów informacyjnych) udostępnianych przez systemy teleinformatyczne wykorzystywane w UG w Popielowie z dyspozycją 18 ust. 1 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych 10, dalej: rozporządzenie KRI. 2) Obszar obejmujący: system zarządzania bezpieczeństwem informacji w systemach teleinformatycznych oceniono pozytywnie z nieprawidłowościami. Zgodnie z 20 ust. 1-2 rozporządzenia KRI, podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali System Zarządzania Bezpieczeństwem Informacji (dalej: SZBI) zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie enumeratywnie wymienionych działań, celem zapewnienia bezpieczeństwa informacji. W UG w Popielowie obowiązuje zarządzenie nr 120.68.2018 Wójta Gminy Popielów z dnia 31 sierpnia 2018 r. w sprawie wprowadzenia SZBI (...) 11. Stosownie do 1 niniejszego zarządzenia, SZBI (określony w załączniku nr 1) stanowią: Polityka Bezpieczeństwa Informacji; Zasady Użytkowania Systemów Informatycznych Instrukcja zarządzania systemami informatycznymi; Zasady dotyczące odpowiedzialności i uprawnień w ramach SZBI oraz Zasady akceptowalnego użycia. [Dowód: akta kontroli, s. 72-99] Ponadto zarządzeniem nr 120.69.2018 z dnia 31 sierpnia 2018 r., Wójt Gminy Popielów wyznaczył na Koordynatora ds. Bezpieczeństwa Informacji w UG w Popielowie Sekretarza Gminy Popielów 12. [Dowód: akta kontroli, s. 100] 10 Dz.U. z 2017 r. poz. 2247. 11 Zarządzenie weszło w życie w dniu 31 sierpnia 2018 r. 12 Zarządzenie weszło w życie w dniu 1 września 2018 r. Strona 3 z 8

Nadmienić w tym miejscu także wypada, że w jednostce kontrolowanej obowiązuje również zarządzenie nr 120.50.2013 Wójta Gminy Popielów z dnia 15 stycznia 2013 r. w sprawie wprowadzenia dokumentacji bezpieczeństwa przetwarzania danych osobowych oraz powołania Administratora Bezpieczeństwa Informacji i osoby go zastępującej w UG w Popielowie. Zarządzeniem powyższym wprowadzono: Politykę Bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Procedury powyższe nie były jednak dotychczas aktualizowane. [Dowód: akta kontroli, s. 103-224] W ocenie kontrolujących funkcjonowanie w Urzędzie dwóch zestawów dokumentów dotyczących bezpieczeństwa informacji (w tym danych osobowych), jest mało czytelne, co uzasadnia potrzebę podjęcia stosownych działań ujednolicających (porządkujących) w tym zakresie. [Dowód: akta kontroli, s. 73 i 105] Ponadto stwierdzić należy, że powyższa dokumentacja nie uwzględnia obowiązków wynikających dla jednostki samorządu terytorialnego z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa 13 (dalej: ustawa o krajowym systemie cyberbezpieczeństwa). W UG w Popielowie nie wyznaczono także osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. O obowiązku tym stanowi art. 21 ust. 1 ww. ustawy. Niniejsze zaniedbanie kwalifikuje się jako nieprawidłowość. [Dowód: akta kontroli, s. 101] Kontrolującym przedstawiono Ocenę i analizę zagrożeń i ryzyka przy przetwarzaniu danych osobowych w UG w Popielowie (stan na dzień 30 czerwca 2017 r.). Jak sama nazwa wskazuje jest to analiza zagrożeń i ryzyka dotycząca danych osobowych. Tymczasem pojęcie bezpieczeństwa informacji jest szersze od pojęcia bezpieczeństwa (ochrony) danych osobowych. Dane osobowe są bardzo ważnym, ale tylko jednym z rodzajów informacji podlegających ochronie. O okresowej analizie ryzyka utraty integralności, dostępności lub poufności informacji, stanowi 20 ust. 2 pkt 3 rozporządzenia KRI. [Dowód: akta kontroli, s. 226-238] W kwestii inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji, stosownie do wyjaśnień Wójta Gminy Popielów: począwszy od stycznia 2019 r. planowane jest wdrożenie narzędzia (systemu) informatycznego umożliwiającego sprawne zarządzanie zasobami IT. Podczas kontroli stwierdzono prowadzenie kart wyposażenia stanowisk pracy. [Dowód: akta kontroli, s. 381 i 52] Zgodnie z Instrukcją Zarządzania Systemem Informatycznym, w Urzędzie prowadzone są karty nadania / modyfikacji uprawnień do systemu informatycznego. [Dowód: akta kontroli, s. 195] Przedstawione informacje dotyczące zapewnienia szkoleń osób zaangażowanych w proces przetwarzania informacji, o których stanowi 20 ust. 2 pkt 6 rozporządzenia KRI, nie sprzeciwiają się przyjęciu, że prowadzone szkolenia wpisują się w realizację wymogu określonego ww. przepisem. [Dowód: akta kontroli, s. 381] 13 Dz.U. z 2018 r. poz. 1560. Ustawa ta weszła w życie w dniu 28 sierpnia 2018 r. Strona 4 z 8

W myśl przedłożonej przez Wójta Gminy Popielów informacji, w Urzędzie nie funkcjonuje praca na odległość. [Dowód: akta kontroli, s. 53] Analizując problem zagwarantowania w umowach 14 (o asystę techniczną / serwisowych) odpowiedniego poziomu bezpieczeństwa informacji stwierdzić należy, że: w umowach o asystę techniczną nr 2018-1609092-0102, nr 2018-1609092-0225 zawartych w dniu 28 grudnia 2017 r. z firmą TECHNIKA IT, uwagę zwraca przede wszystkim faktyczna wysokość kar umownych, za każdy dzień opóźnienia (w usunięciu w systemie błędów krytycznych i istotnych) w stosunku do terminów umownych ( 8 umów), w umowie serwisowej nr K 251/2018 z dnia 28 grudnia 2017 r., zawartej z firmą TENSOFT, uwagę zwraca czas realizacji zgłoszenia w przypadku wystąpienia tzw. błędu w systemie ( 2 ust. 6 w zw. z 2 ust. 3 lit. b umowy), oraz faktyczna wysokość kar umownych za każdy dzień zwłoki w jego usunięciu ( 5 lit. b w zw. z 3 umowy). Ze względu na określoną wysoką krytyczność (ważność) dla Urzędu systemów teleinformatycznych będących przedmiotem tych umów, postanowienia ww. przepisów mogą wpływać niekorzystnie na zapewnienie dostępności informacji w nich przetwarzanych. Wymagają więc powtórnego przeanalizowania, pod kątem możliwości lepszego zabezpieczenia interesu Urzędu. [Dowód: akta kontroli, s. 239-242, 243-247 i 248-251] W przedłożonym kontrolującym Rejestrze naruszeń bezpieczeństwa systemu informatycznego UG w Popielowie, odnotowano pięć naruszeń (z każdego naruszenia sporządzono raport 15 ). [Dowód: akta kontroli, s. 252-255] Jednostka kontrolowana przedłożyła raporty z przeprowadzonych audytów bezpieczeństwa informacji (datowane odpowiednio na dzień 27 grudnia 2016 r. i na dzień 30 grudnia 2017 r.). Podkreślić należy, że w 2017 r., audyt został przeprowadzony przez informatyka Urzędu, pełniącego funkcję Administratora Systemów Informatycznych. Skłania to do wniosku o niezapewnieniu w tym przypadku niezależności audytu (jako jego podstawowej cechy) 16. Audyt nie powinien być prowadzony przez osobę odpowiedzialną za działania będące przedmiotem audytu 17. [Dowód: akta kontroli, s. 256-324 i 325-378] Zgodnie z wyjaśnieniami Wójta Gminy Popielów, przeprowadzenie audytu w powyższym zakresie w bieżącym roku, planowane jest na grudzień. [Dowód: akta kontroli, s. 383] Stwierdzono tworzenie tzw. kopii zapasowej danych. Kopia ta wykonywana jest codziennie na sieciowy zasób dyskowy, zlokalizowany w innym pomieszczeniu niż serwerownia. [Dowód: akta kontroli, s. 390] 14 Dotyczących kontrolowanych lokalnych systemów teleinformatycznych. 15 Pierwszy datowany na dzień 19 listopada 2015 r., ostatni zaś na dzień 15 maja 2018 r. 16 Wg normy PN-ISO/IEC 27000 (Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Przegląd i terminologia), pkt 2.5. 17 Wg normy PN-EN ISO 19011 (Wytyczne dotyczące auditowania systemów zarządzania), pkt 3.1. Strona 5 z 8

W myśl wyjaśnień Sekretarza Gminy: (...) tworzone w Urzędzie kopie bezpieczeństwa systemów sprawdzane są pod względem poprawności zapisu pliku. Natomiast weryfikacja poprawności zawartych danych i przydatności kopii zapasowej nie jest wykonywana ze względu na brak warunków technicznych środowiska testowego. Stworzenie środowiska testowego wymaga zakupu dodatkowego serwera wraz z licencją na system i oprogramowanie bazodanowe. [Dowód: akta kontroli, s. 391] Kontrolujący pozytywnie oceniają tworzenie kopii zapasowej danych, natomiast dla pełnego bezpieczeństwa informacji, powinno zostać zapewnione testowe jej odtworzenie. W toku kontroli przeprowadzono oględziny (wybranych) trzech pokoi w UG w Popielowie, w których funkcjonują sprawdzane systemy teleinformatyczne. Podczas oględzin stwierdzono: zgodność numerów komputerów i zainstalowanych na nich systemów operacyjnych, z przedłożonymi w tym zakresie dokumentami; zainstalowane oprogramowanie antywirusowe (w jednym przypadku stwierdzono jednak komunikat programu antywirusowego o nieaktywnej zaporze osobistej); brak bieżących aktualizacji systemu operacyjnego komputera (w sześciu przypadkach); pracę na koncie administratora systemu operacyjnego komputera, zamiast wyłącznie użytkownika, co jest istotną nieprawidłowością 18 (w jednym przypadku). Wykonane czynności w zakresie obsługi (logowania się pracowników Urzędu do systemów), ustawienia monitorów, itp., nie wykazały nieprawidłowości w kontekście zagrożeń dla bezpieczeństwa informacji. Stwierdzony stan faktyczny udokumentowano w protokole oględzin. [Dowód: akta kontroli, s. 384-387] Zgodnie z oświadczeniem Administratora Systemów Informatycznych w Urzędzie, (złożonego w trzecim dniu po przeprowadzeniu powyższych oględzin): (...) systemy operacyjne komputerów, na których działają systemy (IT) do realizacji zadań zleconych z zakresu administracji rządowej (...) zostały zaktualizowane. Błąd programu antywirusowego (...) występujący na jednym komputerze został naprawiony i została włączona zapora osobista. [Dowód: akta kontroli, s. 388] Oględzinom poddano także serwerownię UG w Popielowie. W trakcie tej czynności uwagę kontrolujących zwróciło: nieuporządkowanie połączeń kablowych (w szafie sieciowej), co może skutkować ryzykiem dokonania błędnego połączenia sieciowego, niewyposażenie serwerowni w czujnik temperatury. Kontrolujący nie wnieśli innych uwag w powyższym zakresie. Ustalony stan faktyczny udokumentowano w protokole oględzin, a także w Materiale poglądowym. [Dowód: akta kontroli, s. 389-390; Materiał poglądowy, s. 1-3, fot. 1-6] W toku kontroli stwierdzono odnotowywanie działań użytkowników w dziennikach systemu. [Dowód: akta kontroli, s. 392-393] 18 Nieprawidłowość ta narusza 20 ust. 2 pkt 4 rozporządzenia KRI. Strona 6 z 8

3) Obszar obejmujący: zapewnienie dostępności informacji dla osób niepełnosprawnych pomimo stwierdzonych ostrzeżeń oceniono pozytywnie. W toku kontroli dokonano weryfikacji strony Urzędu (BIP i internetowej wersji dla słabowidzących) ze standardem WCAG 2,0 w zakresie możliwym do sprawdzenia narzędziem dostępnym na stronie internetowej https://validator.w3.org. W wyniku przeprowadzonego badania: a) strony http://slabowidzacy.bip.popielow.pl/ 19 (BIP Urzędu), stwierdzono siedem ostrzeżeń (brak błędów), b) strony http://slabowidzacy.popielow.pl/ 20 (strona internetowa Urzędu), stwierdzono sześć ostrzeżeń (brak błędów). [Dowód: akta kontroli, s. 394-395 i 396-397] Podczas osobistego przeglądu ww. stron, kontrolujący również nie stwierdzili błędów. III. Zakres, przyczyny i skutki stwierdzonych nieprawidłowości oraz osoby odpowiedzialne za nieprawidłowości: W wyniku kontroli stwierdzono nieprawidłowości dotyczące: niezapewnienia jednolitego (uporządkowanego) opracowania SZBI oraz nieuwzględnienia w nim obowiązków wynikających dla jednostki samorządu terytorialnego z ustawy o krajowym systemie cyberbezpieczeństwa, niewyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa; przypadku pracy użytkownika sprawdzanych systemów teleinformatycznych na koncie administratora systemu operacyjnego komputera, oraz przypadków braku bieżących aktualizacji systemu operacyjnego komputera, braku możliwości testowej weryfikacji poprawności zapisania danych na kopii zapasowej, niezapewnienia wystarczającego poziomu bezpieczeństwa informacji (pod względem jej dostępności) w umowach o asystę techniczną i w umowie serwisowej, zawężania analizy ryzyka do ochrony danych osobowych, niezapewnienia niezależności przeprowadzonego audytu w zakresie bezpieczeństwa informacji, innych kwestii związanych z kontrolowanymi obszarami (w szczególności nieaktualne podstawy (akty) prawne w usłudze opublikowanej na EBOI; nieaktualizowana dokumentacja bezpieczeństwa przetwarzania danych osobowych; nieuporządkowane połączenia kablowe w szafie sieciowej w serwerowni). Zebrany w trakcie kontroli materiał dowodowy, a nadto wieloaspektowość zagadnień poddanych badaniom kontrolnym, skłaniają do uznania, że przyczyną stwierdzonych nieprawidłowości był przede wszystkim niewystarczający nadzór sprawowany przez kierownika Urzędu (Wójta Gminy Popielów) oraz Sekretarza Gminy Popielów. Za stwierdzone odstępstwa od stanu pożądanego w zakresie obsługi teleinformatycznej Urzędu i pełnienia funkcji Administratora Systemów Informatycznych, odpowiedzialność ponosi również informatyk UG w Popielowie. [Dowód: akta kontroli, s. 5, 18, 19, 21-22, 35, 37-40, 41-43, 72, 100] 19 Dostęp: 10 października 2018 r. 20 Dostęp: 10 października 2018 r. Strona 7 z 8

Stwierdzone nieprawidłowości w kontrolowanym zakresie skutkują przede wszystkim obniżeniem poziomu bezpieczeństwa informacji przetwarzanych w Urzędzie, jak również możliwą materializacją ryzyka, polegającego na utrudnieniu załatwiania spraw urzędowych przez obywateli w UG w Popielowie. IV. Zalecenia lub wnioski dotyczące usunięcia nieprawidłowości (uchybień) lub usprawnienia funkcjonowania jednostki kontrolowanej: W związku z ustaleniami kontroli, zalecam: 1) Wzmocnić nadzór nad funkcjonowaniem (w Urzędzie) obszarów poddanych niniejszej kontroli; 2) Ujednolicić (uporządkować) oraz zaktualizować dokumentację SZBI (ze szczególnym uwzględnieniem w niej obowiązków wynikających dla jednostki samorządu terytorialnego z ustawy o krajowym systemie cyberbezpieczeństwa); 3) Wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz przekazać dane tej osoby do CSIRT NASK 21 ; 4) Wyeliminować stwierdzony w trakcie kontroli przypadek pracy użytkownika na koncie administratora systemu operacyjnego komputera; 5) Zapewnić bieżące aktualizowanie systemu operacyjnego każdego funkcjonującego w Urzędzie komputera; 6) Podjąć stosowne działania celem zapewnienia testowej weryfikacji poprawności zapisania danych na kopii zapasowej; 7) Zawierać umowy serwisowe (i umowy o asystę techniczną) dla systemów teleinformatycznych, zapewniające szybkie usunięcie błędu w systemie; 8) Przeprowadzać okresowe analizy ryzyka (utraty integralności, dostępności lub poufności) informacji; 9) Zapewnić niezależność prowadzonych audytów w zakresie bezpieczeństwa informacji; 10) Wyeliminować pozostałe odstępstwa od stanu pożądanego, przedstawione w niniejszym dokumencie. V. Na podstawie art. 49 w związku z art. 52 ust. 1 ustawy o kontroli, proszę o przekazanie pisemnej informacji o sposobie wykonania zaleceń, wykorzystaniu wniosków lub przyczynach ich niewykorzystania, albo o innym sposobie usunięcia stwierdzonych nieprawidłowości (uchybień), w terminie 30 dni od dnia otrzymania niniejszego dokumentu. VI. Zgodnie z art. 52 ust. 5 ustawy o kontroli, kierownik jednostki kontrolowanej w terminie 3 dni roboczych od dnia otrzymania sprawozdania ma prawo przedstawić do niego stanowisko. Przedstawienie stanowiska nie wstrzymuje realizacji ustaleń kontroli. Z up. Wojewody Opolskiego Beata Adamus Dyrektor Wydziału Prawnego i Nadzoru 21 W myśl art. 22 ust. 1 pkt 5 ustawy o krajowym systemie cyberbezpieczeństwa. CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową Państwowy Instytut Badawczy (art. 2 pkt 3 ww. ustawy). Strona 8 z 8

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres