Założenia merytoryczne i organizacyjne do audytu wewnętrznego zleconego w zakresie zarządzania bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej Warszawa, 2 września 2013 r.
1. Temat audytu: Zarządzanie bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej. 2. Cel audytu Zebranie informacji nt. działań jednostek administracji rządowej w zakresie zapewnienia bezpieczeństwa wybranych systemów teleinformatycznych 1. Zidentyfikowanie zagrożeń i słabych punktów w zarządzaniu bezpieczeństwem tych systemów. 3. Forma zadania zleconego Czynności doradcze. 4. Czas trwania audytu 16 września 22 października br. 5. Zakres przedmiotowy audytu zleconego 5.1. Obszary audytu W ramach audytu zleconego zostaną zebrane informacje z jednostek w dwóch obszarach: a) polityka bezpieczeństwa teleinformatycznego, w tym zarządzanie incydentami bezpieczeństwa IT, b) zarządzanie zasobami informatycznymi i organizacyjnymi składającymi się na system zabezpieczenia wybranych systemów teleinformatycznych. 5.2. Systemy teleinformatyczne objęte zadaniem 1. W zakresie polityki bezpieczeństwa teleinformatycznego - wszystkie systemy teleinformatyczne funkcjonujące w jednostce. 2. W zakresie zarządzania zasobami informatycznymi i organizacyjnymi: a) duże systemy teleinformatyczne świadczące usługi przez Internet, dla ponad 1000 użytkowników w skali miesiąca (dotyczy także anonimowych użytkowników), b) systemy teleinformatyczne funkcjonujące w jednostce i świadczące usługi w zakresie: elektronicznego obiegu dokumentów, poczty elektronicznej, w tym usługi komunikacji natychmiastowej (IM - instant messaging), obsługi finansowej, obsługi kadrowej, portali, stron internetowych jednostki. Zadaniem nie są objęte systemy teleinformatyczne, które przetwarzają informacje niejawne w rozumieniu ustawy o ochronie informacji niejawnych 2. 1 W rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2013 r. poz. 235) 2
5.3. Dokumenty objęte zadaniem Dokumentacja funkcjonująca w jednostce w ramach systemu zarządzania bezpieczeństwem informacji, wewnętrzne akty prawne (w tym procedury) oraz dokumenty wytworzone przez jednostkę dotyczące zabezpieczenia systemów teleinformatycznych. 5.4. Okres objęty audytem: Od dnia 1 listopada 2011 r. do dnia 16 września 2013 r. 6. Techniki audytu zleconego Niniejszy audyt wewnętrzny zlecony prowadzony jest w formie czynności doradczych, które mają polegać na zgromadzeniu przez audytorów wewnętrznych informacji w ww. obszarach poprzez zebranie odpowiedzi na pytania zawarte w trzech rodzajach ankiet: a) ankieta nr 1 dotyczy ogólnych zagadnień związanych z polityką bezpieczeństwa informacji, b) ankieta nr 2 dotyczy systemów teleinformatycznych funkcjonujących w jednostce, c) ankieta nr 3 dotyczy szczegółowych informacji nt. wybranych systemów teleinformatycznych funkcjonujących w jednostce. Ankiety zostaną przesłane 10 września br. wyłącznie w wersji elektronicznej. Ankiety nr 1 i nr 2 wypełnia audytor wewnętrzny/usługodawca samodzielnie lub we współpracy z osobami, które w jednostce są odpowiedzialne za bezpieczeństwo systemów teleinformatycznych. W ramach gromadzenia informacji niezbędnych do wypełnienia ankiety można stosować następujące techniki: a) wywiady, b) kwestionariusze, c) analiza dokumentacji. Ankietę nr 3 należy wypełnić oddzielnie dla każdego systemu teleinformatycznego przynależącego do jednej z kategorii wymienionych w pkt 5.2.2. Kierownik komórki audytu wewnętrznego/usługodawca przekazuje ankiety w wersji elektronicznej do wypełnienia administratorom poszczególnych systemów objętych badaniem lub innym osobom, które odpowiadają za funkcjonowanie danych systemów w jednostce. Odpowiedzi na pytania zawarte w ankietach przedstawiają ocenę osoby wypełniającej ankietę. Jeżeli administratorzy systemów/osoby wypełniające ankiety będą chcieli dołączyć wyjaśnienia czy zgłosić komentarze, powinni to zrobić w oddzielnym dokumencie z odniesieniem do pytania, którego wyjaśnienia lub komentarze dotyczą. Audytorzy wewnętrzni są zobowiązani do prowadzenia dokumentacji bieżącej zadania audytowego, w sposób zapewniający potwierdzenie informacji przekazanych w ankietach. Ankiety należy wypełniać w wersji elektronicznej, następnie wydrukować i podpisać. 7. Tryb prowadzenia zadania zleconego Audyt zlecony należy formalnie rozpocząć poprzez powiadomienie właściwych komórek audytowanych oraz naradą otwierającą, na której należy przedstawić cel, zakres przedmiotowy oraz ramy czasowe zadania audytowego. Po wypełnieniu ankiet nr 1 i 2 oraz zebraniu ankiet nr 3 kierownik komórki audytu 2 ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych Dz. U. Nr 182, poz. 1228. 3
wewnętrznego/usługodawca sporządza Podsumowanie audytu zleconego (w wersji elektronicznej i papierowej) na które składają się: a) wypełnione ankiety, b) ewentualne wyjaśnienia i komentarze osób wypełniających ankiety, c) opinie lub wnioski z audytu zleconego dotyczące usprawnienia funkcjonowania jednostki, jeżeli takie opinie lub wnioski zostaną sformułowane przez audytorów w wyniku przeprowadzenia niniejszego zadania audytowego. Następnie kierownik komórki audytu wewnętrznego/usługodawca przekazuje do kierownika jednostki Podsumowanie audytu zleconego, który przesyła ww. dokument w terminie do dnia 22 października br. do Ministerstwa Finansów: a) w wersji elektronicznej na adres: koordynacjaaw@mofnet.gov.pl, b) w wersji papierowej na adres: Ministerstwo Finansów Departament Audytu Sektora Finansów Publicznych ul. Świętokrzyska 12 00-916 Warszawa z dopiskiem: Podsumowanie audytu zleconego nazwa jednostki". 8. Akty prawne i inne dokumenty stanowiące odniesienie dla audytorów wewnętrznych: a) ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne, b) rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych 3, c) Polityka Ochrony Cyberprzestrzeni 4, d) rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 5 w zakresie odpowiadającym celom audytu, e) Wytyczne Ministra Administracji i Cyfryzacji w zakresie ochrony portali informacyjnych administracji publicznej 6, f) Raporty i zalecenia CERT.GOV.PL 7. 3 rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. poz. 526) 4 http://mac.bip.gov.pl/fobjects/download/5399/polityka-ochrony-cyberprzestrzeni-rp-uchwala-ze-zmianami-pdf.html 5 rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) 6 http://www.cert.gov.pl/portal/cer/9/514/wytyczne_w_zakresie_ochrony_portali_informacyjnych_administracji_publicznej_w pro.html 7 http://www.cert.gov.pl/portal/cer/6/publikacje.html 4
Dodatkowe dokumenty, które mogą stanowić uzupełnienie informacji zawartych ww. przepisach oraz innych ogólnodostępnych dokumentach. a) Polska Norma PN-ISO/IEC 27001, b) PN-ISO/IEC 17799 (w odniesieniu do ustanawiania zabezpieczeń), c) PN-ISO/IEC 27005 (w odniesieniu do zarządzania ryzykiem), d) PN-ISO/IEC 24762 (w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania). 9. Dane kontaktowe: Wszelkie pytania związane z audytem zleconym należy przesyłać wyłączenie w wersji elektronicznej na adres: koordynacjaaw@mofnet.gov.pl. W tytule prosimy podać Audyt zlecony pytanie. 5