Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej
Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz. 885, z późn. zm.). Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz. 108) Standardy audytu wewnętrznego dla jednostek sektora finansów publicznych - Komunikat Nr 4 Ministra Finansów z dnia 20 maja 2011 r. (Dz. Urz. MF Nr 5, poz. 23) obecnie Komunikat Nr 2 Ministra Finansów z dnia 17 czerwca 2013 r. (Dz. Urz. MF poz. 15).
Art. 273. uofp 1. Minister Finansów określi, w formie komunikatu, i ogłosił w Dzienniku Urzędowym Ministra Finansów standardy audytu wewnętrznego dla jednostek sektora finansów publicznych, zgodne z powszechnie uznawanymi standardami audytu wewnętrznego. 2. Audytor wewnętrzny, prowadząc audyt wewnętrzny, kieruje się wskazówkami zawartymi w standardach audytu wewnętrznego, o których mowa w ust. 1 uofp.
Uregulowania prawne Art. 68 uofp 1. Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.
Uregulowania prawne Art. 272 uofp Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. Ocena ta dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej. Zatem w powiązaniu z przepisem art. 68 uofp ocena audytu wewnętrznego kontroli zarządczej w jednostkach sektora finansów publicznych ma pokazać, czy ogół działań podejmowanych dla zapewnienia realizacji celów i zadań realizowany jest w sposób zgodny z prawem (ww. adekwatność), efektywny, oszczędny i terminowy (ww. skuteczność?).
Należy wdrożyć skuteczną kontrolę zarządczą zgodną z międzynarodowymi standardami w tym zakresie, jak np. COSO, INTOSAI, Komisja Europejska. Można się posłużyć metodyką COBIT wykazując jednocześnie racjonalny stosunek do ryzyka i rzeczywiście zamierzając uporządkować środowisko IT w danej instytucji publicznej. Kontrolę zarządczą można wzmocnić poprzez audyt wewnętrzny - niezależny i obiektywny, który ma na celu wspieranie ministra kierującego działem administracji lub kierownika jednostki w realizacji celów i zadań poprzez systematyczną ocenę kontroli zarządczej i doradztwo.
COBIT - metodyką kontroli zarządczej uzupełniającą inne standardy takiej kontroli o uporządkowany zbiór wskazówek dotyczących informatyki. Główną jej zasada zakłada, że jednostka chcąc sobie zapewnić informacje potrzebne jej do osiągnięcia celów nie powinna, ale musi inwestować w zasoby IT, którymi należy zarządzać i je kontrolować za pomocą usystematyzowanego zbioru procesów. Uwzględniając ogólne wymagania dotyczące jakości, powiernictwa i bezpieczeństwa zdefiniowano siedem kryteriów, które muszą spełniać informacje: efektywność (effectiveness), wydajność (efficiency), poufność (confidentiality), integralność (integrity) dostępność (availability), zgodność (compliance), rzetelność (reliability).
Uregulowania prawne Ustawa z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne ( t.j. Dz. U. z 2013r. poz.235 z póź. zm.). Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności oraz minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz dla systemów teleinformatycznych (Dz. U. z 2012 r. poz.526). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych (Dz. U. z 2010r., Nr 177, poz.1195). Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz. U. z 2002r., Nr 101.poz.926 z późn. zm.). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004r., Nr 100, poz.1024). Uregulowania wewnętrzne. Norma - PN - ISO/IEC 27001, PN ISO/IEC 17799, PN ISO/IEC 20000, PN ISO/IEC 27005, PN ISO/IEC 24762.
Dostępność Właściwość określająca, że zasób systemu teleinformatycznego jest dostępny i użyteczny. Integralność Właściwość polegająca na zapewnieniu ze zasób systemu nie został zmodyfikowany w sposób nieuprawniony.
Poufność Właściwość zapewniająca, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom fizycznym.
Rozliczalność Właściwość pozwalająca przypisać określone działanie (związane z informacją) do osoby fizycznej lub procesu oraz umiejscowić je w czasie.
15. 1. Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk. 2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury. 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm: PN- ISO/IEC 20000-1 i PN-ISO/IEC 20000-2.
Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 1. ( ) ( ) 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PNISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
W polskim systemie prawnym w sektorze publicznym za datę graniczną należy (...) przyjąć 31 maj 2012 r., kiedy to weszło w życie Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie KRI, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r., poz. 526). Ww. rozporządzenie zostało wydane na podstawie delegacji zawartej w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne (Ustawa z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizujących zadania publiczne, Dz.U. Nr 64, poz. 565 z późn. zm.)
Co możemy sprawdzić bez specjalistycznej wiedzy Procedury wewnętrzne/zgodność Umowy/Licencje Inwentaryzacja/Sprzęt Konta w systemach
Powołanie rzeczoznawcy Aktualizacje oprogramowania na stacjach roboczych i na serwerach Testy penetracyjne sieci/ustawienia parametrów Przegląd logów systemowych /Konta administratorskie Procesy usługowe i interaktywne Struktura (topologia), wydajność sieci Ustawienia dostępów z zewnątrz
I etap przygotowanie do audytu 1. Sporządzenie rocznego planu audytu wewnętrznego. 2. Powołanie rzeczoznawcy do audytu wewnętrznego. II etap Przeprowadzanie audytu wewnętrznego 1. Podsumowanie wstępne 2. Program zadania audytowego 3. Arkusze ustaleń 4. Sprawozdanie z audytu 5. Uzgodnione działania III etap Omówienie wyników audytu z Prezydentem Miasta
Program zadania audytowego analiza ryzyka przykładowe załączniki Zał. nr 1 i 2
Na co zwrócić uwagę Ochronę informacji, czy dostosowana do wymagań rozporządzenia Krajowych Ram Interoperacyjności, Sprawną i bezpieczną wymianę informacji w postaci elektronicznej pomiędzy podmiotami publicznymi w zakresie niezbędnym do efektywnego świadczenia usług publicznych poprzez zapewnienie interoperacyjności sieci wewnętrznych Jednostki oraz sieci publicznej, zgodnie z minimalnymi wymaganiami dla systemów teleinformatycznych w zakresie sposobu zapewnienia bezpieczeństwa przy wymianie informacji, System zarządzania bezpieczeństwem informacji - zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność,
Na co zwrócić uwagę Przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz na podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy, Proces bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób. Współpraca z Wydziałem Informatyki w zakresie aktualizacji serwera autoryzacji użytkowników, Podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość, W umowach serwisowych podpisanych ze stronami trzecimi sprawdzić zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji,
Na co zwrócić uwagę Zasady zapewniajcie minimalizację wystąpienia ryzyka kradzieży urządzeń mobilnych jak i informacji w nich zawartych, Procedury dot. minimalnych wymagań bezpieczeństwa jakie musi spełnić komputer podłączany do sieci wewnętrznej Jednostki, Procedury kontroli instalacji oprogramowania w eksploatowanych systemach. Zasada pracy na kontach o ograniczonych uprawnieniach dostępu na wszystkich komputerach pracujących w sieci wewnętrznej Jednostki. Zasada prowadzenia rejestru odstępstw wraz z uzasadnieniem oraz wdrożyć dodatkowe zabezpieczenia, Kontrolę zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych.
Na co zwrócić uwagę Ochrony informacji niejawnych Wyznaczenie inspektora bezpieczeństwa teleinformatycznego. Zgodnie z ustawą z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych inspektor bezpieczeństwa teleinformatycznego powinien być pracownikiem pionu ochrony.
Na co zwrócić uwagę Pion informatyczny Informacje na temat prowadzonej inwentaryzacji sprzętu komputerowego i oprogramowania z jego rodzajem i konfiguracją, System monitorowania dostępu do informacji. W oparciu o wdrożony system regularnie prowadzić działania zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, Umowy serwisowe podpisane ze stronami trzecimi zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji, Aktualizacja oprogramowania.
Podsumowanie: W opinii Ministerstwa Finansów audyt w zakresie bezpieczeństwa informacji powinien być prowadzony w formie zadań zapewniających. W przypadku, gdy zespół audytu wewnętrznego nie będzie posiadał kompetencji do objęcia badaniem ww. obszaru, należy rozważyć skorzystanie z pomocy ekspertów z wewnątrz lub z zewnątrz jednostki.
Podsumowanie: I. Zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji Przepis 20 rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zwanego dalej rozporządzeniem, określa ciążące na kierownictwie podmiotu publicznego obowiązki związane z systemem zarządzania bezpieczeństwem informacji. Jednym z nich jest wskazany w 20 ust. 2 pkt 14 rozporządzenia obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Podsumowanie: 1. W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione. W takich podmiotach ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm, związanych z tą normą. 2. Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, zgodnie z normami wskazanymi w 20 ust. 3 rozporządzenia, są zobowiązane, zgodnie z 20 ust. 2 pkt 14 rozporządzenia, do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.
Podsumowanie:,,Kontrolę realizacji projektów informatycznych o publicznym zastosowaniu należy przeprowadzać dopiero wówczas, gdy jest się wyposażonym w zbiór najlepszych praktyk ITIL, najnowszą wersję Cobit 4.1, normy ISO/IEC 20000 (jedyna oficjalna norma w obszarze zarządzania usługami informatycznymi) i 27001 (norma międzynarodowa określająca wymogi dotyczące systemów zarządzania bezpieczeństwem informacji) i np. w metodykę zarządzania projektami PRINCE2 ze względu na jej światowy rodowód w sektorze publicznym. Można również zamówić audyt IT jako usługę zewnętrzną u profesjonalnego audytora IT posiadającego doświadczenie zawodowe poparte certyfikatami (CISA, CISM, CGEIT, CRISC) oraz potrafiącego zarządzać ryzykiem w projektach informatycznych. Są to fundamentalne podstawy dla dobrze wydatkowanych pieniędzy na audyt IT. Audyt informatyczny powinien pełnić skuteczną i wiarygodną rolę diagnostyczną a także usprawniającą i doradczą dla kontrolowanej jednostki. Dzięki niezależnej i profesjonalnej formie takiego badania, przeprowadzonego zgodnie z najlepszymi praktykami można bowiem potwierdzić skuteczność, efektywność i wiarygodność funkcjonowania obszaru IT kontrolowanego podmiotu. op. cit. dr Anna KACZOROWSKA, Katedra Informatyki, Wydział Zarządzania,, AUDYT I KONTROLE SYSTEMÓW TELEINFORMATYCZNYCH ORAZ PROJEKTÓW IT W SEKTORZE ADMINISTRACJI PUBLICZNEJ
Podsumowanie: Decyzja co do tego, kto ma prowadzić audyt wewnętrzny bezpieczeństwa informacji, spoczywa na kierowniku jednostki.
Dąbrowa Górnicza www.idabrowa.pl Dziękuję za uwagę Elżbieta Paliga - Urząd Miejski w Dąbrowie Górniczej epaliga@dabrowa-gornicza.pl