Ministerstwo Cyfryzacji Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych Zatwierdzam: Warszawa, dnia15'grudnia 2015 r.
Spis treści I. WSTĘP 3 1. Cel dokumentu 3 2. Podstawa prawna kontroli 3 II. SŁOWNIK TERMINÓW UŻYTYCH W DOKUMENCIE III. ZASADY PROWADZENIA KONTROLI 1. Cel kontroli 9 2. Tryb kontroli 9 3. Zespół kontrolny 9 4. Obszary kontroli 9 5. Przygotowanie kontroli 6. Techniki kontroli 7. Kryteria kontroli oraz mierniki oceny 8. Znaczenie Polskich Norm 12 IV. TEMATYKA I OBSZARY KONTROLI 1. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną 1.1. U sługi elektroniczne 14 1.2. Centralne repozytorium wzorów dokumentów elektronicznych 15 1.3. Model usługowy 16 1.4. Współpraca systemów teleinformatycznych z innymi systemami 16 1.5. Obieg dokumentów w podmiocie publicznym 17 1.6. Formaty danych udostępniane przez systemy teleinformatyczne 18 2. System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych 18 2.1. Dokumenty z zakresu bezpieczeństwa informacji 19 2.2. Analiza zagrożeń związanych z przetwarzaniem informacji 21 2.3. Inwentaryzacja sprzętu i oprogramowania informatycznego 22 2.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych 22 2.5. Szkolenia pracowników zaangażowanych w proces przetwarzania informacji 23 2.6. Praca na odległość i mobilne przetwarzanie danych 24 2.7. Serwis sorzętu informatycznego i oprogramowania... 24 I 2.8. Procedury zgłaszania incydentów naruszenia B 2.9. Audyt wewnętrzny z zakresu bezpieczeństwa informacji 26 2.1 O. Kopie zapasowe 26 2.11. Projektowanie, wdrażanie i eksploatacja systemów teleinformatycznych 27 2.12. Zabezpieczenia techniczno-organizacyjne dostępu do informacji 28 2.13. Zabezpieczenia techniczno-organizacyjne systemów informatycznych 30 2.14. Rozliczalność działań w systemach informatycznych 31 3. Zapewnienie dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych 32 5 9 14 14 Strona 2 z 32
I. WSTĘP 1. Cel dokumentu Celem wytycznych jest zapewnienie wsparcia dla kontroli, w tym wskazanie jednolitych kryteriów merytorycznych realizacji obowiązku określonego w art. 25 ust. I pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne1 (dalej: ustawa o informatyzacji), dotyczącego przeprowadzania kontroli działania systemów teleinformatycznych, używanych do realizacji zadań publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2 ustawy o informatyzacji. Stosowanie jednolitych kryteriów merytorycznych pozwoli na porównywanie wyników kontroli pomiędzy podmiotami publicznymi, a także na ocenę stopnia spełniania wymagań w funkcji czasu dla danego podmiotu. Wytyczne nie stanowią powszechnie obowiązującego prawa, dlatego ich stosowanie nie jest obligatoryjne. Mając jednak na uwadze specjalistyczny charakter kontroli prowadzonych na podstawie art. 25 ust. 1 pkt 3 ustawy o informatyzacji, mogą być wsparciem podczas ich realizacji. Dokument został opracowany w oparciu o stan prawny na dzień 4 listopada 2015 r. W wytycznych uwzględniono ustawę o informatyzacji, rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych 2, ustawę z dnia 15 lipca 2011 r. o kontroli w administracji rządowe/ (dalej: ustawa o kontroli) oraz Standardy kontroli w administracji rządowej. 2. Podstawa prawna kontroli Na podstawie art. 25 ust. 1 pkt 3 ustawy o informatyzacji kontroli działania systemów teleinformatycznych, używanych do realizacji zadań publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2, pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych i wymiany informacji w postaci elektronicznej dokonuje: a) w jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych - właściwy wojewoda, 1 Dz. U. z 2014 r., poz. 1114. 2 Dz. U. z 2012 r., poz. 526, z późn. zm. 3 Dz. U. Nr 185, poz. 1092. Strona 3 z 32
b) w podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej - organ administracji rządowej nadzorujący dany podmiot publiczny, c) w podmiotach publicznych niewymienionych w lit. a i b - minister właściwy do spraw informatyzacji. Wymagania zostały określone w rozporządzeniu Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Strona4 z 32
Il. SŁOWNIK TERMINÓW UŻYTYCH W DOKUMENCIE 1. ABI - administrator bezpieczeństwa informacji, osoba nadzorująca przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych4; 2. aktywa -wszystko, co ma wartość dla organizacji; 3. aktywa informatyczne - oprogramowanie, dane, sprzęt, dokumentacja, zasoby administracyjne fizyczne, komunikacyjne lub ludzkie związane z działalnością informatyczną; 4. BIP - Biuletyn Informacji Publicznej; 5. BI - bezpieczeństwo informacji, zachowanie poufności, integralności i dostępności informacji oraz inne własności takie jak autentyczność, rozliczalność, niezaprzeczalność, niezawodność; 6. baza konfiguracji CMDB - baza danych zarządzania konfiguracją (Configuration Management DataBase), centralny rejestr zasobów informatycznych ich konfiguracji i relacji pomiędzy elementami konfiguracji; 7. CERT.GOV.PL - (Computer Emergency Response Team) - Rządowy Zespół Reagowania na Incydenty Komputerowe pełniący rolę głównego zespołu CERT w obszarze administracji rządowej i obszarze cywilnym; 8. cykl Deminga PDCA- schemat działań w celu ciągłego ulepszania (doskonalenia) składający się z czterech faz: ZAPLANUJ (ang. Plan): Zaplanuj lepszy sposób działania, lepszą metodę, WYKONAJ, ZRÓB (ang. Do): Zrealizuj plan na próbę, SPRAWDŹ (ang. Check): Zbadaj, czy rzeczywiście nowy sposób działania przynosi lepsze rezultaty, POPRAW (ang. Act): Jeśli nowy sposób działania przynosi lepsze rezultaty, uznaj go za normę (obowiązującą procedurę), zestandaryzuj i monitoruj jego stosowanie; 9. CRWDE - centralne repozytorium wzorów dokumentów elektronicznych, udostępnione publicznie na platformie epuap, miejsce publikacji wzorów dokumentów elektronicznych wykorzystywanych do realizacji usług elektronicznych podmiotów publicznych; 1O. dostępność - właściwość bycia dostępnym i możliwym do wykorzystania na żądanie przez upoważnione osoby lub procesy; 11. epuap - system teleinformatyczny, w którym instytucje publiczne udostępniają usługi przez pojedynczy punkt dostępowy w sieci Internet; 12. ESP - elektroniczna skrzynka podawcza (np. udostępniona na platformie epuap), publicznie dostępny środek komunikacji elektronicznej służący do przekazywania dokumentów elektronicznych przy wykorzystaniu powszechnie dostępnej sieci teleinformatycznej; 13. funkcjonalność - zdolność do zapewnienia realizacji funkcji zaspakajających wyznaczone i zakładane potrzeby, podczas używania w określonych warunkach; 4 Dz. U. 2014 poz. 1182 Strona 5 z 32
14. format plików PDF - format plików służący do prezentacji, przenoszenia i drukowania treści tekstowo-graficznych; format PDF powstał jako format wynikowy, mający zachować pełny wygląd dokumentu po wydrukowaniu; 15. format pliku XML - format dokumentów elektronicznych opisanych w uniwersalnym języku XML (Extensible Markup Language) służącym do opisywania informacji (danych) w sposób strukturalny; 16. incydent naruszenia BI - pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z BI, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają BI; 17. integralność - właściwość polegająca na zapewnieniu danym niezmienności, braku dodania innych danych lub usunięcia w nieautoryzowany sposób; 18. interoperacyjność - zdolność różnych podmiotów oraz używanych przez me systemów teleinformatycznych i rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów, z uwzględnieniem współdzielenia informacji i wiedzy przez wspierane przez nie procesy biznesowe realizowane za pomocą wymiany danych za pośrednictwem wykorzystywanych przez te podmioty systemów teleinformatycznych. Osiąganie interoperacyjności następuje poprzez ciągłe doskonalenie w zakresie współdziałania systemów teleinformatycznych; 19. KRI - Krajowe Ramy Interoperacyjności, ogólny zbiór zasad i sposobów postępowania podmiotów w celu zapewnienia współdziałania systemów teleinformatycznych, rozumiany jako zdolność tych systemów oraz wspieranych przez nie procesów do wymiany danych oraz do dzielenia się informacjami i wiedzą; 20. model usługowy - model architektury systemu teleinformatycznego, w którym dla użytkowników (klientów/odbiorców) zdefiniowano stanowiące odrębną całość funkcje systemu teleinformatycznego (np. usługi sieciowe) oraz opisano sposób korzystania z tych funkcji; 21. niezawodność - właściwość polegająca na zapewnieniu zdolności do wykonywania wymaganych funkcji w określonych warunkach przez określony czas lub dla określonej liczby operacji; 22. plan ciągłości działania (BCP) - plan wznawiania działania w obszarze kluczowych procesów, w przypadku wystąpienia katastrofy (Business Continuity Plan). Dotyczy zdarzeń o niskim prawdopodobieństwie wystąpienia, ale o katastrofalnych skutkach np.: pożar, powódź, katastrofa budowlana, skażenie chemiczne, sabotaż, terroryzm itp., których czasu wystąpienia nie można przewidzieć; 23. podatność- słabość aktywów, która może być wykorzystana przez zagrożenia; 24. podmiot publiczny - podmiot, realizujący zadania publiczne określone w odrębnych ustawach, wskazany w art. 2 ust. 1 ustawy o informatyzacji; Strona 6 z 32
25. polityka bezpieczeństwa informacji (PBI) - zestaw praw, reguł i praktycznych doświadczeń, regulujących sposób zarządzania, ochrony i dystrybucji informacji wewnątrz określonej organizacji; 26. poufność - właściwość polegająca na zapewnieniu, że informacja jest udostępniana lub ujawniona tylko osobom lub procesom do tego upoważnionym; 27. prawdopodobieństwo związane z BI - stopień pewności, że zdarzenie będące incydentem naruszenia BI wystąpi; 28. przenaszalność - właściwość polegająca na zapewmenm łatwości z jaką system może być przeniesiony z jednego środowiska sprzętowego lub programowego do innego środowiska; 29. pielęgnowalność - właściwość polegająca na zapewnieniu łatwości z jaką system może być modyfikowany w celu naprawy defektów, dostosowania do nowych wymagań, ułatwienia przyszłego utrzymania lub dostosowania do zmian zachodzących w jego środowisku; 30. RI - Repozytorium Interoperacyjności - udostępnione publicznie na platformie epuap miejsce przeznaczone do udostępniania informacji służących osiąganiu interoperacyjności, zawierające między innymi opisy uzgodnionych struktur danych, opisy przesyłanych informacji pomiędzy wszystkimi podmiotami uczestniczącymi w wymianie informacji drogą elektroniczną; 31. rozporządzenie epuap - rozporządzenie Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publiczne/; 32. rozporządzenie KRI - rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych; 33. rozliczalność - właściwość systemu pozwalająca przypisać określone działanie w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie; 34. ryzyko związane z BI - potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji. Ryzyko mierzone jest jako kombinacja prawdopodobieństwa zdarzenia i jego następstw; 35. SLA - umowa o gwarantowanym poziomie świadczenia usług utrzymania i systematycznego poprawiania ustalonego między klientem a usługodawcą poziomu jakości usług; 36. skutek- rezultat niepożądanego zdarzenia, incydentu naruszenia BI; 37. system zarządzania- system do ustanawiania polityki i celów oraz osiągania tych celów; 38. system zarządzania bezpieczeństwem informacji (SZBI) - cześć całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia BI; 5 Dz. U. z 2014 r., poz. 584. Strona 7 z 32
39. usługa elektroniczna - usługa świadczona bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania i przechowywania danych (na podstawie art. 2 pkt 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną6); 40. ustawa o informatyzacji - ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne; 41. używalność - właściwość systemu bycia używanym, zrozumiałym, łatwym w nauce i atrakcyjnym dla użytkownika, gdy system jest używany w określonych warunkach; 42. współdzielenie informacji - wspólne użytkowanie tych samych zasobów informacyjnych przez różne osoby, podmioty lub procesy; 43. zagrożenie BI - potencjalna przyczyna zdarzenia, incydentu naruszenia BI, którego skutkiem może być szkoda (strata) dla organizacji; 44. wydajność - stopień, w jaki system realizuje swoje wyznaczone funkcje w założonych ramach czasu przetwarzania. 6 Dz. U. z 2013 r., poz. 1422. Strona 8 z 32
III. ZASADY PROWADZENIA KONTROLI 1. Cel kontroli Celem kontroli jest dokonanie oceny działania systemów teleinformatycznych pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz przestrzegania wymagań zawartych w Krajowych Ramach Interoperacyjności. 2. Tryb kontroli Kontrola powinna być przeprowadzona w trybie określonym ustawą o kontroli oraz zgodnie ze Standardami kontroli w administracji rządowej. 3. Zespól kontrolny Zgodnie z art. 28 ust. 1 pkt 5 oraz ust. 3 ustawy o informatyzacji, kontroler zobowiązany jest posiadać określoną wiedzę i umiejętności potwierdzone certyfikatami7. Mając na uwadze konieczność zapewnienia wysokiej jakości kontroli oraz specjalistyczną wiedzę niezbędną do przeprowadzenia kontroli, zaleca się powołanie zespołu kontrolnego. Dobrą praktyką może być zespół kontrolny złożony z pracownika pionu kontroli oraz pracownika posiadającego wiedzę i doświadczenie w zakresie szeroko rozumianego bezpieczeństwa informacji (np. pracownika pionu IT). W razie konieczności zbadania określonych zagadnień wymagających szczegółowych umiejętności lub wiedzy specjalistycznej nie wyklucza się, zgodnie z art. 33 ustawy o kontroli, powołania biegłego. 4. Obszary kontroli Kontrola powinna objąć następujące główne obszary: 1. Wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną. 2. Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych. 3. Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych. Obszary kontroli szczegółowo opisane są w rozdziale IV. 7 Wykaz certyfikatów określony został w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych-dz. U. Nr 177, poz. 1195. Strona 9 z 32
5. Przygotowanie kontroli W celu przygotowania kontroli zaleca się 8 pozyskanie: Dokumentów ustanawiających SZBI - polityki, instrukcje, procedury; Dokumentacji analizy ryzyka związanego z BI; Dokumentacji przeglądów SZBI; Dokumentacji audytów wewnętrznych SZBI. Dokumentacji systemu zarządzania jakością usług świadczonych przez system teleinformatyczny. Ponadto od kierownika jednostki kontrolowanej należy uzyskać informacje za pomocą: Ankiety - wg załączonego wzoru nr 1; Zestawiania - systemów teleinformatycznych używanych do realizacji zadań publicznych wg załączonego wzoru nr 2. Analiza zebranej dokumentacji pozwoli na wstępną ocenę stopnia os1ągmęc1a interoperacyjności oraz poziomu BI uzyskanego przez podmiot, a także umożliwi dokonanie wyboru systemów teleinformatycznych, które zostaną poddane kontroli. Wybór powinien mieć charakter celowy, np. system o znaczeniu krytycznym dla podmiotu i/lub system przetwarzający dane rejestru państwowego. 6. Techniki kontroli Zaleca się przeprowadzanie kontroli stosując dwie następujące techniki: Zza biurka- analiza zebranej dokumentacji i informacji z ankiety i wykazu; Na miejscu - kontrola wspomagana listą kontrolną, w tym m.in. potwierdzenie informacji z ankiety. 7. Kryteria kontroli oraz mierniki oceny Kryterium oceny kontrolowanej działalności jest legalność, tj. zgodność z prawem powszechnie obowiązującym oraz regulacjami wewnętrznymi dotyczącymi SZBI. Ocenie podlegają niezależnie 3 główne obszary kontroli, tj. interoperacyjność, bezpieczeństwo informacji oraz dostosowanie dla osób niepełnosprawnych. Przyjęto 4-stopnioną skalę ocen: ocenę pozytywną otrzyma jednostka kontrolowana, gdy w 3 obszarach kontroli uzyska cząstkowe oceny pozytywne; ocenę pozytywną z uchybieniami otrzyma jednostka kontrolowana, która uzyska choć jedną cząstkową ocenę pozytywną z uchybieniami; 8 Np. w trybie art. 15 ustawy o kontroli. Strona 1 O z 32
ocenę pozytywną z nieprawidłowościami otrzyma jednostka kontrolowana, gdy uzyska choć jedną cząstkową ocenę pozytywną z nieprawidłowościami; ocena negatywna zostanie przyznana wtedy, gdy będzie przewaga negatywnych ocen cząstkowych. Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy: nie udostępniono elektronicznej skrzynki podawczej me zapewniono JeJ obsługi (art. 16 ust. la ustawy o informatyzacji; pkt 1.1 tematyki kontroli); nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury ( 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli); nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań ( 5 ust. 3 rozporządzenia; pkt 1.4 tematyki kontroli). Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy: me opracowano, me ustanowiono me wdrożono Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) ( 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli); nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) ( 20 ust. 1, ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli); nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy ( 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli); nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku ( 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli); nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji ( 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli); nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień ( 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli); nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie Strona I I z 32
podjęcie działań korygujących ( 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli); nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie ( 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli); nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych ( 21 rozporządzenia; pkt 2.12 tematyki kontroli). Ocena negatywna w obszarze nr 3 ( dostosowanie dla osób niepełnosprawnych) może zostać przyznana w szczególności, gdy: nie zapewniono spełnienia przez system wymagań Web Content Accessibility Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr 4 do rozporządzenia( 19 rozporządzenia; pkt 3 tematyki kontroli). Ocena w obszarach 1 i 2 powinna być uzupełniona odpowiednio opisem poziomu/stopnia uzyskania interoperacyjności oraz opisem względnego poziomu zapewnienia BI, a także opisem stopnia osiągnięcia przez jednostkę podejścia systemowego do BI. Poziomem odniesienia dla danego systemu są wyniki analizy ryzyka uwzględniającej takie czynniki jak m.m. skala zakres stosowania danego systemu teleinformatycznego, ważność przetwarzanych w mm danych i które mają bezpośrednie odzwierciedlenie w planie postępowania z ryzykiem. Oznacza to, że pozytywną ocenę BI. może uzyskać system posiadający mało zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzający dane powszechnie dostępne). Jednocześnie ocenę negatywną może uzyskać system posiadający znaczną liczbę zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość i jakość) został zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonaną analizę ryzyka i powstały w jej wyniku plan postępowania z ryzykiem. W takiej sytuacji jednostka nie zarządza właściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dla pewnych ryzyk może posiadać nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych całkowity ich brak. Ocena podejścia systemowego do BI sprowadza się do zaobserwowania i potwierdzenia dowodami, że SZBI istnieje w praktyce i posiada cechy ciągłego ulepszania (doskonalenia), co zostało szczegółowo opisane w pkt 2 tematyki kontroli. We wszystkich pozostałych przypadkach kontrolerzy proponują ocenę w oparem o profesjonalny osąd. 8. Znaczenie Polskich Norm Odnosząc się do przywoływania Polskich Norm w akcie prawnym rangi rozporządzenia oraz ich charakteru, należy zaznaczyć, że rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany Strona 12 z 32
informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nie nakłada obowiązku stosowania norm wskazanych w 15 oraz 20. Treść ujęta w 15 ust. 3 oraz 20 ust. 3 rozporządzenia stanowi domniemanie prawne, w myśl którego wymogi wskazane odpowiednio w 15 ust. 1 i ust. 2 oraz 20 ust. 1 i ust. 2 uznaje się za spełnione w przypadku zastosowania rozwiązań przewidzianych przez Polskie Normy. Niemniej jednak należy podkreślić, że cel określony odpowiednio w 15 ust. 1 i ust. 2, czy też cel określony w 20 ust. 1 i ust. 2 może być osiągnięty bez odnoszenia się do Polskich Norm oraz z wyłączeniem rozwiązań w nich zawartych (lub przy zastosowaniu tylko dowolnej części przyjętych rozwiązań), a tym samym nie można wymagać od jednostki kontrolowanej obligatoryjnego stosowania Norm Polskich. Powyższe nie pozwala uznać Polskich Norm, jako dokumentów obligatoryjnie stosowanych przez jednostki kontrolowane. Stanowią one jedynie wskazówkę, co do sposobu, w jaki kontrolowane jednostki mogą osiągnąć wymagania stawiane przez ustawodawcę w rozporządzeniu w sprawie Krajowych Ram Interoperacyjności. Normy mogą być stosowane fakultatywnie w dowolnym zakresie. Strona 13 z 32
IV. TEMATYKA I OBSZARY KONTROLI 1. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną Przepisy dotyczące interoperacyjności mają na celu stworzenie warunków do współdzielenia informacji przetwarzanej w systemach informatycznych i/lub w rejestrach publicznych jednostek realizujących zadania publiczne dla zapewnienia szybkiej wymiany informacji zarówno wewnątrz urzędu jak i z innymi urzędami administracji publicznej. Wdrożenie tych przepisów powinno przyczynić się do usprawnienia realizacji zadań urzędów, w tym załatwiania spraw obywateli i przedsiębiorców, które będą mogły być załatwiane na odległość, sprawniej i w krótszym czasie, bez żądania informacji będących już w posiadaniu urzędów, zgodnie z art. 220 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego 9. Osiąganie interoperacyjności jest procesem ciągłym, wymagającym przeprowadzania analizy aktualnego stanu i podejmowania decyzji, co do działań zmierzających do poszerzania jej zakresu. Kontrola powinna po pierwsze: określić i ocenić aktualny stan interoperacyjności urzędu, po drugie: ocenić skuteczność procesu osiągania interoperacyjności w obszarach, w których nie jest ona w pełni osiągnięta. Szczegółowe obszary kontroli interoperacyjności opisane są poniżej. 1.1. Usługi elektroniczne Jednym z podstawowych celów działania jednostki jest realizacja określonych usług wobec obywateli i innych podmiotów w sposób szybki i sprawny oraz maksymalnie przyjazny dla obywatela/podmiotu. Realizację praktyczną ww. postulatów można uzyskać poprzez udostępnienie usług elektronicznych dostępnych przez sieć Internet. U sługi udostępnione drogą elektroniczną pozwolą na załatwianie spraw urzędowych bezpośrednio z domu lub siedziby firmy zainteresowanych osób lub podmiotów a także z dowolnego innego miejsca, w którym obywatel/podmiot ma dostęp do sieci Internet. Usługi elektroniczne powinny być świadczone wg jednolitych, standardowych procedur, jasno komunikowanych obywatelowi/podmiotowi. Celem stosowania usług elektronicznych jest ułatwienie w dostępie do usług poprzez wyeliminowanie korespondencji papierowej obywatela/podmiotu z urzędem, zastąpienie druków i formularzy papierowych ich odpowiednikami elektronicznymi dostępnymi do wypełnienia na platformie usług elektronicznych urzędu, a także wyeliminowanie papierowych dokumentów kierowanych do obywatela/podmiotu i zastąpienie ich odpowiednikami elektronicznymi przesyłanymi na adres elektroniczny. 9 Dz. U. z 2013 r., poz. 267 z późn. zm. Strona 14 z 32
Kontroli podlegają: Świadczenie usług w formie elektronicznej z wykorzystaniem ESP, w tym udostępnionej na platformie epuap, zgodnie z art. 16 ust. la ustawy o informatyzacii; Zamieszczenie na głównej stronie internetowej podmiotu publicznego (i/lub na stronie BIP), odesłania do opisów usług, które zawierają wymagane informacje dotyczące m.in. aktualnej podstawy prawnej świadczonych usług, nazwy usług, miejsca świadczenia usług (złożenia dokumentów), terminu składania i załatwiania spraw oraz nazwy komórek odpowiedzialnych za załatwienie spraw, zgodnie z 5 ust. 2 pkt 1 i 4 rozporządzenia KRI. Dowodami z kontroli są: Dokumentacja usług elektronicznych podmiotu publicznego, w tym: lista usług świadczonych w formie elektronicznej, dokumentacja (wydruki) stron internetowych, itp. 1.2. Centralne repozytorium wzorów dokumentów elektronicznych W celu ujednolicenia w skali kraju procedur usług świadczonych przez urzędy drogą elektroniczną, w tym ujednolicenia wzorów dokumentów elektronicznych w CRWDE przechowywane są wzory dokumentów, jakie zostały już opracowane i są używane. W przypadku uruchamiania przez dany podmiot publiczny usługi elektronicznej, która funkcjonuje już na koncie innego podmiotu, dany podmiot publiczny powinien skorzystać z procedury obsługi tej usługi oraz zastosować wzory dokumentów elektronicznych dotyczące tej procedury znajdujące się w CRWDE (nie dotyczy to sytuacji gdy usługa jest usługą centralną tzn. jest udostępniania przez jeden podmiot np. właściwego ministra ale służy do świadczenia usług przez inne podmioty niż udostępniający np. wszystkie gminy). W przypadku uruchamiania usługi, dla której nie ma wzorów dokumentów w CRWDE, podmiot publiczny jest zobowiązany przekazać do CRWDE procedurę obsługi usługi i wzory dokumentów elektronicznych z nią związanych. Kontroli podlegają: Wykorzystanie przez kontrolowany podmiot publiczny wzorów dokumentów elektronicznych przechowywanych w CRWDE, jakie zostały już wcześniej opracowane i są używane przez inny podmiot publiczny; Przekazanie do CRWDE oraz udostępnienie w BIP wzorów dokumentów elektronicznych podmiotu publicznego, zgodnie z art. 19b ust. 3 ustawy o informatyzacii. Dowodami z kontroli są: Dokumentacja związana z wykorzystaniem przez podmiot publiczny wzorów dokumentów elektronicznych przechowywanych w CRWDE, wnioski przekazania wzorów dokumentów elektronicznych do CRWDE. Strona 15 z 32
1.3. Model usługowy Model usługowy został zdefiniowany w 2 pkt 8 rozporządzenia KRI. To model, w którym dla użytkowników zdefiniowano stanowiące odrębną całość funkcje systemu teleinformatycznego (usługi sieciowe) oraz opisano sposób korzystania z tych funkcji (inaczej: system zorientowany na usługi). Zarządzanie usługami elektronicznymi w oparciu o model usługowy wymaga posiadania i stosowania wewnętrznych procedur obsługi usług oraz dostarczania ich na zadeklarowanym poziomie, co oznacza w szczególności możliwość zidentyfikowania właściciela merytorycznego usługi (komórka organizacyjna podmiotu publicznego), możliwość ustalenia odpowiedzialności za utrzymanie usługi od strony technicznej, określenie poziomu świadczenia usług poprzez określenie wskaźników dostępności (np. maksymalny czas niedostępności w danym okresie), monitorowanie poziomu świadczenia usług na zadeklarowanym poziomie, kontroli wskaźników dostępności i reagowania na ich przekroczenie. Kontroli podlegają: Poziom wspierania modelu usługowego w procesie świadczenia usług elektronicznych przez systemy teleinformatyczne podmiotu publicznego, zgodnie z 15 ust. 2 rozporządzenia KRI; Weryfikacja sposobu zarządzania usługami w oparciu o ustalone procedury w tym możliwość zidentyfikowania właściciela merytorycznego usług (komórka organizacyjna podmiotu publicznego), ustalenie odpowiedzialności za utrzymanie usług od strony technicznej, określenie poziomu świadczenia usług, monitorowanie poziomu świadczenia usług na zadeklarowanym poziomie. Dowodami z kontroli są: Dokumentacja usług elektronicznych świadczonych przez podmiot publiczny, w tym: lista usług elektronicznych, procedury obsługi i monitoringu usług, dokumentacja wykonywania ww. procedur. 1.4. Współpraca systemów teleinformatycznych z innymi systemami Wiele rejestrów w urzędach administracji publicznej przechowuje i przetwarza identyczne informacje np. o obywatelu/podmiocie takie jak PESEL, REGON, NIP, dane adresowe itp. Ułatwieniem w załatwieniu spraw dla obywatela lub podmiotu będzie sytuacja, gdy podmiot publiczny nie będzie żądał od obywatela lub podmiotu informacji będących już w posiadaniu urzędów. Realizacja tego postulatu wymaga, aby system informatyczny, w którym prowadzony jest dany rejestr odwoływał się bezpośrednio do danych gromadzonych w innych rejestrach publicznych uznanych za referencyjne w zakresie niezbędnym do realizacji zadań. Przepisy odrębne mogą przewidywać brak współpracy systemów (interoperacyjności) - wystąpi on wówczas, gdy system informatyczny nie komunikuje się z żadnym innym systemem i z założenia jest samodzielny. Gdy system zasilany jest przez ręczne wprowadzanie danych, występują proste mechanizmy dostępu do danych poprzez ich przeglądanie, Strona 16 z 32
drukowanie, ewentualnie wygenerowanie danych do pliku. Aby możliwa była współpraca pomiędzy systemami urzędów dany system powinien być wyposażony w odpowiednie składniki sprzętowe lub oprogramowanie umożliwiające wymianę danych z innymi systemami telekomunikacyjnymi za pomocą protokołów komunikacyjnych i szyfrujących zapewniających BI. Kontroli podlegają: Poziom współpracy systemów teleinformatycznych z innymi systemami podmiotu publicznego lub systemami informatycznymi innych podmiotów publicznych w tym rejestrami referencyjnymi, zgodnie z 5 ust. 3 pkt 3 rozporządzenia KRI; Sposób komunikacji z innymi systemami w tym wyposażenie w składniki sprzętowe lub oprogramowanie umożliwiające wymianę danych z innymi systemami telekomunikacyjnymi za pomocą protokołów komunikacyjnych i szyfrujących zapewniających BI, zgodnie z 16 ust. 1 rozporządzenia KRI. Dowodami z kontroli są: Umowy (porozumienia) z podmiotami prowadzącymi rejestry referencyjne dotyczące dostępu do danych referencyjnych uzyskiwanych w drodze wymiany, opis interfejsów systemu teleinformatycznego, dokumentacja systemu teleinformatycznego. 1.5. Obieg dokumentów w podmiocie publicznym Stosowanie systemu elektronicznego zarządzania dokumentami elektronicznymi wpływa na uporządkowanie i usprawnienie przepływu dokumentów w podmiocie publicznym, znacząco usprawnia ich archiwizację oraz zapewnia łatwy dostęp do dokumentów archiwalnych, co wpływa na przyspieszenie załatwianych spraw w tym realizowanych przez podmiot publiczny usług oraz pozwala na minimalizowanie nakładu pracy a także podnosi poziom BI. Zastosowanie systemu teleinformatycznego wspomagającego elektroniczny obieg dokumentów pozwala na realizację interfejsów z innymi systemami podmiotu publicznego w celu przekazywania dokumentów pomiędzy tymi systemami w postaci elektronicznej. Celem wdrożenia systemu elektronicznego zarzadzania dokumentacją jest wyeliminowanie z obiegu wewnętrznego podmiotu publicznego dokumentów papierowych, co spowoduje dodatkowo obniżenie kosztów związanych ze zużyciem papieru. Kontroli podlegają: Regulacje wewnętrzne opisujące sposób zarządzania dokumentacją w kontrolowanym podmiocie, w tym zakres stosowania elektronicznego obiegu dokumentów, zgodnie z 20 ust. 2 pkt 9 rozporządzenia KRI. Dowodami z kontroli są: Dokumentacja systemu zarządzania dokumentacją, w tym procedury i zasady postępowania z dokumentami zawarte w instrukcjach kancelaryjnych oraz dokumentacja stosowania ww. procedur. Strona 17 z 32
1.6. Formaty danych udostępniane przez systemy teleinformatyczne Istotą współdzielenia infonnacji w urzędach jest stworzenie możliwości wymiany danych pomiędzy różnymi systemami infonnatycznymi oraz umożliwienie odbiorcom swobodnego dostępu do informacji poprzez wygenerowanie danych w powszechnie znanych i dostępnych fonnatach plików. Kontroli podlegają: Sposób kodowania znaków w dokumentach wysyłanych i odbieranych z systemów teleinformatycznych podmiotu publicznego, zgodnie z 17 ust. 1 rozporządzenia KRI; Sposób udostępniania zasobów infonnatycznych z systemów teleinformatycznych podmiotu publicznego, zgodnie z 18 ust. 1 rozporządzenia KRI; Sposób przyjmowania dokumentów elektronicznych przez systemy teleinformatyczne podmiotu publicznego, zgodnie z 18 ust. 2 rozporządzenia KRI. Dowodami z kontroli są: Opis fonnatów danych w systemach podmiotu publicznego, dokumentacja systemu teleinfonnatycznego. 2. System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych Wraz z rozwojem elektronicznej formy komunikacji znaczenia nabiera zapewnienie dostępności, integralności i poufności danych posiadanych i przetwarzanych przez urzędy. Dlatego też, szczególnie istotnym jest zapewnienie BI przetwarzanych w użytkowanych przez podmioty publiczne systemach informatycznych. W przeciwnym razie powstaje ryzyko utraty ww. właściwości gwarantujących BI, a w konsekwencji stabilności pracy urzędów. Podważyć to może zaufanie obywateli do organów administracji publicznej. W związku z tym, że zapewnianie BI jest procesem ciągłym, SZBI jest częścią całościowego systemu zarządzania podmiotu publicznego i jest oparty na podejściu wynikającym z analizy ryzyka w odniesieniu do zadań realizowanych przez podmiot. SZBI odnosi się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia BI. SZBI zawiera strukturę organizacyjną, polityki, planowane działania, zakresy odpowiedzialności, zasady, procedury, procesy i zasoby. Podmiot publiczny, aby zapewnić BI powinien zastosować podejście systemowe, w ramach którego będzie zarządzał kompleksowo posiadanymi aktywami infonnacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym BI. Kompleksowość (kompletność) podejścia oznacza objęcie SZBI całej organizacji wraz ze wszystkimi aktywami i procesami przetwarzania infonnacji gdyż aktywa infonnacyjne są na tyle bezpieczne na ile jest bezpieczne najsłabsze zabezpieczenie. Podejście systemowe polega w szczególności na uzyskaniu efektu samodoskonalenia się organizacji w celu stałego podnoszenia BI w tym ciągłego ulepszania (doskonalenia). Kontrola SZBI powinna wykazać : po pierwsze, że SZBijest ustanowiony Strona 18 z 32
tj. opracowany, zatwierdzony i wdrożony, po drugie że jest kompletny, po trzecie że SZBI działa w praktyce, co oznacza że wprowadzone są mechanizmy kontrolne takie jak: analiza ryzyka BI, przeglądy SZBI, audyty BI, analiza incydentów BI i że wnioski wypływające z tych analiz, przeglądów i audytów wpływają na doskonalenie SZBI, w tym na polityki, procedury i same zabezpieczenia oraz w szczególności, że ww. działania nie są jednorazowe a wielokrotnie powtarzane w tak zwanym cyklu Deminga PDCA. Przeciwieństwem działań systemowych jest sytuacja, w której działania z zakresu BI mają charakter działań doraźnych na zasadzie gaszenie pożaru" bez wyciągania wniosków na przyszłość, a stosowanie zabezpieczeń wynika nie z rzetelnej analizy ryzyka, a jedynie z tak zwanej wiedzy eksperckiej i ma charakter uznaniowy. Minimalne wymagania dla zapewnia podejścia systemowego w zakresie BI zawarte są w paragrafach 20 i 21 rozporządzenia KRI. Szczegółowe obszary kontroli SZBI opisane są poniżej. 2.1. Dokumenty z zakresu bezpieczeństwa informacji Podmiot publiczny realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji. Wymaga to opracowania dokumentacji SZBI, w tym szeregu regulacji wewnętrznych oraz zapewnienia aktualizacji tych regulacji w zakresie dotyczącym zmieniającego się otoczenia. Kompleksowa dokumentacja SZBI jest warunkiem niezbędnym możliwości skutecznego zarządzania bezpieczeństwem informacji w podmiocie. Podstawowym dokumentem SZBI jest Polityka Bezpieczeństwa Informacji. Polityka zazwyczaj zawiera wyrażoną przez kierownictwo deklarację stosowania, opisuje organizację i ustala osoby odpowiedzialne oraz ich zakresy odpowiedzialności, wprowadza klasyfikację informacji, sposób postępowania z poszczególnymi rodzajami informacji. PBI może określać aktywa oraz ich właścicieli, oraz sposób szacowania ryzyka i postępowania z ryzykiem. Zazwyczaj w ramach SZBI funkcjonują inne polityki, regulaminy i procedury np.: Polityka bezpieczeństwa teleinformatycznego; Polityka bezpieczeństwa fizycznego; Polityka bezpieczeństwa danych osobowych. Inne regulacje wewnętrzne stanowiące dokumenty wykonawcze PBI to przykładowo: Procedura zarzadzania ryzykiem; Regulamin korzystania z zasobów informatycznych; Procedura zarządzania sprzętem i oprogramowaniem; Procedura zarządzania konfiguracją; Procedura zarządzania uprawnieniami do pracy w systemach teleinformatycznych; Procedura monitorowania poziomu świadczenia usług; Strona 19 z 32
Procedura bezpiecznej utylizacji sprzętu elektronicznego; Procedura zarządzania zmianami i wykonywaniem testów; Procedura stosowania środków kryptograficznych; Procedura określania specyfikacji technicznych wymagań odbioru systemów IT; Procedura zgłaszania i obsługi incydentów naruszenia bezpieczeństwa informacji; Procedura wykonywania i testowania kopii bezpieczeństwa; Procedura monitoringu i kontroli dostępu do zasobów teleinformatycznych, prowadzenia logów systemowych. Dokumentację SZBI stanowią także: Dokumentacja z przeglądów SZBI; Dokumentacja z szacowania ryzyka BI; Dokumentacja postępowania z ryzykiem; Dokumentacja akceptacji ryzyka; Dokumentacja audytów z zakresu BI; Dokumentacja incydentów naruszenia BI; Dokumentacja zarządzania uprawnieniami do pracy w systemach teleinformatycznych; Dokumentacja zarządzania sprzętem i oprogramowaniem teleinformatycznym; Dokumentacja szkolenia pracowników zaangażowanych w proces przetwarzania informacji. System SZBI powinien być monitorowany i poddawany przeglądom w wyniku czego powinien być doskonalony, co powinno znaleźć odzwierciedlenie w dokumentacji systemu. Kontroli podlegają: Dokumentacja SZBI, w tym Polityka BI oraz inne dokumenty stanowiące SZBI, Dokumentacja przeglądów SZBI, szacowania ryzyka, audytów, incydentów naruszenia BI, zgodnie z 20 ust. 1 rozporządzenia KRI; Działania związane z aktualizacją regulacji wewnętrznych w zakresie zm1emającego się otoczenia będące konsekwencją wyników szacowania ryzyka, wniosków z przeglądów SZBI, zaleceń poaudytowych, wniosków z analizy incydentów naruszenia BI, zgodnie z 20 ust. 2 pkt 1 rozporządzenia KRI; Stopień zaangażowania kierownictwa podmiotu publicznego w proces ustanawiania i funkcjonowania SZBI oraz zarządzania BI (przeglądy SZBI, szacowanie i obsługa ryzyka BI, egzekwowanie działań związanych z BI), zgodnie z 20 ust. 2 rozporządzenia KRI. Dowodami z kontroli są: Dokumentacja SZBI w tym polityka BI oraz inne dokumenty stanowiące SZBI, dokumentacja z przeglądów SZBI, dokumentacja audytów z zakresu BI, dokumentacja zmian wynikających z wyników szacowania ryzyka, wniosków z przeglądów SZBI, zaleceń poaudytowych, wniosków z analizy incydentów naruszenia BI. Strona 20 z 32
2.2. Analiza zagrożeń związanych z przetwarzaniem informacji Wymogiem skuteczności SZBI jest przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji. Kluczowa rola analizy ryzyka wynika z faktu, że rodzaj i poziom zastosowanych zabezpieczeń jest względny i jest zależny od ważności aktywów informatycznych danego podmiotu (zależy od wielu czynników m.in. ważności informacji przetwarzanych w systemie informatycznym, zakresu, skali i zasięgu terytorialnego systemu itp.). Oznacza to, że nie ma jednego uniwersalnego i bezwzględnego kryterium oceny rodzaju i poziomu zabezpieczeń. Rodzaj i poziom zabezpieczeń jest zawsze pochodną szacowania ryzyka przeprowadzonego (w danym momencie) w realiach danego podmiotu. Na zarządzanie ryzykiem składają się: identyfikacja ryzyka (wpływ zagrożeń na podatności), analiza ryzyka w tym określenie poziomu ryzyka (kombinacja prawdopodobieństwa wystąpienia i skutków/następstw), ocena ryzyka (porównywanie poziomu ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane) a następnie określenie sposobu postępowania z ryzykiem ( dla ryzyka, którego wielkość jest nieakceptowalna). Finalnym dokumentem procesu zarządzania ryzykiem jest plan postępowania z ryzykiem, na który składa się wyliczenie ryzyk, celów stosowania zabezpieczeń oraz zabezpieczeń. Plan postępowania z ryzykiem jest podstawowym dokumentem wykonawczym do podejmowania wszelkich działań minimalizujących ryzyko stosownie do przeprowadzonej analizy. Po zastosowaniu zabezpieczeń wynikających z planu postępowania z ryzykiem pozostaje ryzyko szczątkowe podlegające akceptacji przez kierownictwo. Ryzyko szczątkowe zawiera także ryzyka niezidentyfikowane na etapie ich identyfikacji. Szacowanie ryzyka pozwala na proaktywne zarządzanie BI, w tym na przeciwdziałanie zagrożeniom oraz ograniczanie skutków zmaterializowanych ryzyk, a także wpływa na racjonalne zarządzanie środkami finansowymi poprzez stosowanie zabezpieczeń adekwatnych do oszacowanego poziomu ryzyka. Kontroli podlegają: Regulacje wewnętrzne opisujące sposób zarządzania ryzykiem BI w urzędzie; Dokumentacja z przeprowadzania okresowej analizy ryzyka utraty integralności, poufności lub dostępności informacji, w tym rejestr ryzyk, zawierający informacje o zidentyfikowanych ryzykach, ich poziomie, plan postępowania z ryzykiem, zgodnie z 20 ust. 2 pkt 3 rozporządzenia KRI;. Działania minimalizujące ryzyko zgodnie z planem postępowania z ryzykiem stosownie do szacowania ryzyka. Uwaga: Procedura szacowania ryzyka powinna być przeprowadzana w przypadku pojawienia się nowych zagrożeń (jeśli zaistnieje potrzeba, to częściej niż raz na rok). Dowodami z kontroli są: Dokumentacja zarządzania ryzykiem w tym: procedura przeprowadzania analizy ryzyka, rejestr ryzyk, plan postępowania z ryzykiem, dowody utrzymywania i doskonalenia Strona 21 z 32
systemu zarządzania ryzykiem oraz dokumentacja zmian w zabezpieczeniach związanych z bieżącą analizą ryzyka. 2.3. Inwentaryzacja sprzętu i oprogramowania informatycznego Zarządzanie infrastrukturą informatyczną wymaga utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację. W praktyce oznacza to zapewnienie funkcjonowania rejestru zasobów teleinformatycznych zwanych bazą konfiguracji CMDB zawierającą informacje o wszystkich zidentyfikowanych aktywach informatycznych, w tym: szczegółowe dane o urządzeniach technicznych, oprogramowaniu i środkach komunikacji, ich rodzaju, parametrach, aktualnej konfiguracji i relacjach między elementami konfiguracji oraz użytkowniku. Baza konfiguracji umożliwia m.in. odtworzenie infrastruktury teleinformatycznej po katastrofie lub innym zdarzeniu losowym. Baza konfiguracji CMDB jest niezbędna przy wprowadzaniu wszelkich zmian w środowisku teleinformatycznym podmiotu publicznego ograniczając możliwość zaistnienia zakłóceń w pracy, które wynikałyby z błędnych decyzji i podejmowanych działań, wynikających z braku aktualnej i kompleksowej wiedzy o stanie infrastruktury teleinformatycznej. Rejestr zasobów informatycznych nie jest tożsamy z zapisami księgi inwentarzowej dla potrzeb rachunkowości. Kontroli podlegają: Regulacje wewnętrzne opisujące sposób zarządzania sprzętem informatycznym i oprogramowaniem (w tym licencjami na oprogramowanie) oraz funkcjonowania rejestru zasobów teleinformatycznych (bazą konfiguracji CMDB); Rejestr zasobów teleinformatycznych (baza konfiguracji CMDB) zawierający informacje o wszystkich zidentyfikowanych aktywach informatycznych, w tym: szczegółowe dane o urządzeniach technicznych, oprogramowaniu i środkach komunikacji, ich rodzaju, parametrach, aktualnej konfiguracji i relacjach między elementami konfiguracji oraz użytkowniku, zgodnie z 20 ust. 2 pkt 2 rozporządzenia KRI; Sposób aktualizacji rejestru zasobów teleinformatycznych (bazy konfiguracji CMDB). Dowodami z kontroli są: Dokumentacja zarządzania sprzętem i oprogramowaniem, w tym: rejestr zasobów informatycznych, procedury prowadzenia rejestru zasobów informatycznych, procedury przydzielania, zwrotu sprzętu i oprogramowania, procedury korzystania z zasobów informatycznych przez użytkowników oraz dokumentacja wykonywania ww. procedur. 2.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych Istotnym elementem polityki BI jest zarządzanie dostępem do systemów teleinformatycznych przetwarzających informacje. Zarządzanie dostępem ma zapewnić, że osoby zaangażowane w proces Strona 22 z 32
przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków, a w przypadku zmiany zadań następuje również zmiana ich uprawnień. Niedopuszczalnym jest przykładowo, aby uprawnienia administratora wszystkich kluczowych zasobów IT posiadała jedna osoba lub sytuacja, w której osoba pełniąca funkcję administratora systemu, w którym przetwarzane są dane osobowe pełniła jednocześnie funkcję ABI. W pierwszej sytuacji występuje nadmierna koncentracja uprawnień, w drugiej pracownik ma kontrolować samego siebie. Dla zachowania bezpieczeństwa konieczne jest zapewmeme podziału obowiązków oraz unikania konfliktu interesów czy nadzorowania samego siebie. Kontroli podlegają: Regulacje wewnętrzne opisujące zarządzania uprawnieniami użytkowników do pracy w systemach teleinformatycznych, w tym do przetwarzania danych osobowych; Adekwatność poziomu uprawnień do pracy w systemach teleinformatycznych do zakresu czynności i posiadanych upoważnień dostępu do informacji, w tym upoważnień do przetwarzania danych osobowych (rejestr wydanych upoważnień), zgodnie z 20 ust. 2 pkt 4 rozporządzenia KRI; Działania w zakresie monitoringu i kontroli dostępu do zasobów teleinformatycznych, w tym przeglądy w celu wykrywania nieuprawnionego dostępu, nadmiernych uprawnień, konfliktu interesów czy nadzorowania samego siebie itp.; Sposób i szybkość odbierania uprawnień byłym pracownikom w systemach informatycznych, zgodnie z 20 ust. 2 pkt 5 rozporządzenia KRI. Dowodami z kontroli są: Dokumentacja zarządzania uprawnieniami użytkowników do pracy w systemach teleinformatycznych, w tym procedury nadawania, zmiany i odbierania uprawnień do pracy w systemach teleinformatycznych i dokumentacja wykonywania ww. procedur. 2.5. Szkolenia pracowników zaangażowanych w proces przetwarzania informacji Podnoszenie świadomości zagrożeń i konsekwencji zaistnienia incydentów związanych z naruszeniem BI jest istotnym elementem SZBI. Szkolenia z zakresu BI powinny obejmować wszystkie osoby uczestniczące w procesie przetwarzania informacji oraz dostarczać aktualnej wiedzy o nowych zagrożeniach, adekwatnych zabezpieczeniach oraz skutkach ewentualnych incydentów naruszenia BI. Szkolenia osób zaangażowanych w procesie przetwarzania informacji powinny być prowadzone cyklicznie w związku ze zmieniającymi się zagrożeniami BI i zmieniającymi się zabezpieczeniami. Kontroli podlegają: Regulacje wewnętrzne dotyczące przeprowadzania szkoleń użytkowników zaangażowanych w procesie przetwarzania informacji w systemach teleinformatycznych; Strona 23 z 32