Audyt KRI jako niezależna kontrola bezpieczeństwa informacji
Pojęcie KRI powinno być znane podmiotom publicznym, które prowadzą publiczne rejestry. Niestety, jak wykazały kontrole, wiele z nich nie spełnia wymogów narzuconych rozporządzeniem, a tym samym nie zapewnia optymalnego poziomu bezpieczeństwa informacji. Przykładem jest np. niewdrożony system zarządzania bezpieczeństwem informacji lub też ograniczenie się wyłącznie do danych osobowych (RODO). I tu wkracza audyt KRI.
Kontrole takich organów jak Najwyższa Izba Kontroli (zwłaszcza te przeprowadzone w 2019 i 2020 roku) oraz te ze strony wojewodów wykazały, że podmioty publiczne nie dbają o zaplecze teleinformatyczne, a tym bardziej o bezpieczeństwo przetwarzanych danych. Jak już to robią, to skupiają się wyłącznie na ochronie danych osobowych. Tymczasem rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności określa minimalne wymagania dla systemów teleinformatycznych w kontekście rejestrów publicznych. Wymagania te dotyczą zapewnienia odpowiednich standardów bezpieczeństwa, ale też zabezpieczenia samych rejestrów. Do sprawdzenia, czy dany podmiot realizuje zapisy rozporządzenia, służy audyt KRI.
Co to jest audyt KRI?
Audyt KRI jest czynnością konieczną i niezwykle ważną dla zachowania zgodności z rozporządzeniem. Jego celem jest sprawdzenie bezpieczeństwa danych. Na czym polega taki audyt? Audytorzy skupiają się na weryfikacji, czy systemy IT są odpowiednio zabezpieczone pod kątem fizycznym (infrastruktura) i cyfrowym (oprogramowanie). Przeprowadzają analizę błędów oraz wskazują metody ich naprawienia. Dzięki audytowi KRI zyskuje się realną ocenę prawidłowości zabezpieczeń systemów, a także rekomendacje, co należy zrobić, aby zwiększyć poziom bezpieczeństwa i usprawnić działanie podmiotu w tym zakresie.
W skrócie: Audyt KRI jest rodzajem kontroli. W swoim założeniu ma zwiększać bezpieczeństwo systemów poprzez m.in. analizowanie błędów i ich niwelowanie oraz wprowadzenie praktycznych sposobów ochrony danych.
Jak już wspomnieliśmy, kontrole prowadzone przez rozmaite organy wykazały, że wiele z podmiotów publicznych nie realizuje zadań wymaganych rozporządzeniem KRI. Mało tego, firmy zajmujące się profesjonalnymi audytami KRI zwracają uwagę, że kierownicy jednostek często nawet nie wiedzą, że taki audyt jest wymagany lub co ile powinien być wykonywany. Powodem jest niewiedza, ale także brak wyznaczenia środków budżetowych na ten cel.
Tymczasem audyt KRI staje się podstawą do wprowadzenia odpowiednich zabezpieczeń oraz wskazuje sposoby postępowania z danymi i informacjami przetwarzanymi w systemach informatycznych wykorzystywanych do realizacji zadań publicznych. Audyt jest zatem niezbędny dla prawidłowego działania podmiotu publicznego.
Kto podlega pod KRI?
Jednym z ważniejszych pytań jest to, kto musi przeprowadzić audyt KRI? Otóż audytowi KRI podlegają wszystkie podmioty, które przetwarzają rejestry publiczne za pomocą systemów teleinformatycznych.
Audyt KRI dotyczy między innymi takich podmiotów jak:
- organy administracji rządowej
- jednostki samorządu terytorialnego
- Zakład Ubezpieczeń Społecznych
- Narodowy Fundusz Zdrowia
- uczelnie
- instytucje badawcze
- sądy
- państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu realizacji zadań publicznych np. agencje, muzea, szpitale, placówki służby zdrowia, jednostki pomocy społecznej, zakłady wodociągowe i kanalizacji
Każdy z ww. podmiotów (a także pozostałe objęte rozporządzeniem) powinien ciągle doskonalić systemy, opracowywać metody wdrożenia i monitorowania rezultatów. Wszystko po to, aby zapewnić poufność, ograniczoną dostępność oraz integralność. Ważnym terminem jest też interoperacyjność (w końcu mówimy o Krajowych Ram Interoperacyjności), który określa zdolność systemów informacyjnych jednostek administracji publicznej do wspólnego działania na rzecz realizacji zadań publicznych.
Co ile należy wykonywać audyt KRI?
O konieczności przeprowadzenia audytu mówi par. 20 ust. 2 pkt 14 rozporządzenia KRI. Zgodnie z nim audyt KRI powinien być przeprowadzony przynajmniej raz w roku.
Pytanie, co może grozić za brak audytu KRI? Zacznijmy od tego, że audyt jest niezbędny, aby potwierdzić zgodność z rozporządzeniem. Bez niego podmiot naraża się na utratę poufności, dostępności i integralności informacji. Brzmi bardzo ogólnie, ale w praktyce chodzi o to, że skutkiem braku spełnienia wymogów KRI są:
naruszenie bezpieczeństwa informacji
naruszenie ochrony danych osobowych
utrata wizerunku i zaufania społeczeństwa
a w końcu: odpowiedzialność karna
Dodajmy, że wdrażając oraz stosując normy i obowiązki wynikające z rozporządzenia KRI instytucja nie tylko uniknie odpowiedzialności karnej, ale przede wszystkim zwiększy swój prestiż. Dbając o bezpieczeństwo przetwarzania informacji tym samym gwarantuje, że przekazane jej dane są w pełni bezpieczne, a co za tym idzie – istnieje niskie ryzyko, że dostaną się w niepowołane ręce.
Kto robi audyt KRI?
Kolejnym pytaniem o audyt jest to, kto może przeprowadzić weryfikację systemów? Okazuje się, że audyt KRI może przeprowadzić audytor wewnętrzny lub zewnętrzna firma w ramach outsourcingu. Za wybór sposobu lub jednostki audytującej odpowiada kierownictwo podmiotu – tak wynika z rozporządzenia. Przy czym ustawodawca jasno określił, że osoby lub firmy zewnętrzne przeprowadzające audyt KRI powinny wykazać:
- odpowiednie kwalifikacje
- udokumentowane doświadczenie
- znajomość metodyki audytu w zakresie bezpieczeństwa informacji
- niezależność od obszaru audytowanego
Zatrzymajmy się na chwilę na samym rozporządzeniu KRI. Znajdziemy w nim około 70 wymagań dotyczących systemu informacyjnego (zdefiniowanych w 15 obszarach) oraz około 40 wymagań dotyczących dokumentacji (stan na maj 2022). Nie wspominając, że standardy polskich norm w rozporządzeniu KRI się zmieniają, np. niektóre normy są usuwane ze względu na nieaktualność, a inne znormalizowane. Z tego też względu bardzo ważna jest aktualizacja wiedzy i znajomość zakresu KRI, a w tym specjalizują się firmy zajmujące się bezpieczeństwem zarządzania informacjami.
W praktyce zdecydowanie lepiej jest skorzystać z usług zewnętrznego audytora. Nie tylko zapewnimy odpowiedni i aktualny stan wiedzy, ale też wymaganą niezależność i obiektywizm. Co więcej, często usługa ta jest połączona z przeglądem zgodności z przepisami o ochronie danych osobowych (RODO). Jest to najlepsze rozwiązanie dla podmiotów, by za jednym projektem otrzymać komplet informacji o poziomie bezpieczeństwa wszelkich danych.
Jak przeprowadzić audyt KRI?
Jak wspomnieliśmy, w przypadku audytu KRI wygodną opcją jest skorzystanie z usług zewnętrznego konsultanta. W PBSG od lat zajmujemy się wsparciem firm i instytucji publicznych w zakresie bezpieczeństwa informacji, dotyczy to również systemów teleinformatycznych i wymagań KRI.
Zalety skorzystania z zewnętrznego audytu KRI:
dokładna weryfikacja stanu zabezpieczeń systemów IT
rzetelnie przygotowane sprawozdanie z audytu KRI
obiektywna ocena przystosowania do rozporządzenia KRI
konkretne zalecenia co do działań naprawczo-korygujących
niezależność i brak stronniczości
gwarancja fachowości, ponieważ audytor jest ekspertem
dodatkowo: motywacja pracowników do lepszej pracy pod wpływem kontroli przez niezależny podmiot
Pytanie, jakie często pojawia się w odniesieniu do zewnętrznej firmy, jest to, ile kosztuje audyt KRI. Nie ma tu jednoznacznej odpowiedzi, ponieważ cena zależy od samego podmiotu: jego wielkości, lokalizacji, specyfikacji stosowanych systemów. W PBSG koszt przeprowadzenia audytu KRI określamy indywidualnie na podstawie wskazanych potrzeb i harmonogramu.
Jak wygląda audyt KRI?
Opiszemy pokrótce, jak przeprowadzamy audyt KRI w PBSG:
Krok 1. Zaczynamy od prac przygotowawczych. Prace te obejmują wyznaczenie zespołu audytującego, określenie procedur, harmonogramów i metod komunikacji.
Krok 2. Następnie przechodzimy do części zasadniczej, czyli wykonania audytu KRI. Na tym etapie korzystamy ze sprawdzonych narzędzi jak analiza dokumentacji i instrukcji oraz wywiady i listy kontrolne. Pod lupę bierzemy nie tylko sposoby zapewnienia bezpieczeństwa wymiany informacji, ale też standardy techniczne, w tym stosowane protokoły komunikacyjne i szyfrujące. Co ważne, sprawdzamy również, czy system zarządzania informacją spełnia wymagania normy ISO/IEC 27001.
W największym skrócie audyt KRI obejmuje:
-
audyt organizacyjny, w tym zarządzanie incydentem bezpieczeństwa teleinformatycznego
-
audyt fizyczny dotyczący infrastruktury informatycznej (systemy i okablowanie)
-
audyt teleinformatyczny (cyfrowy) związany m.in. z ochroną przed oprogramowaniem szkodliwym, włamaniami czy z mechanizmami zarządzania aktualizacjami
Krok 3. Na koniec audytu przygotowywane jest sprawozdanie zgodności KRI, czyli raport podsumowujący stan zabezpieczeń systemu teleinformatycznego wraz z zaleceniami, jak można go usprawnić oraz jak ulepszyć procesy związane z przetwarzaniem danych.
Szczegółowy opis oferty znajdziesz tu: Audyt KRI
W PBSG zapewniamy kompleksową obsługę, zatem oprócz audytu oferujemy również działania poaudytowe. Oznacza to, że w przypadku stwierdzonych nieprawidłowości można liczyć na nasze pełne wsparcie, na przykład przy wdrożeniu systemu bezpieczeństwa informacji lub też wprowadzenia wskazanych działań naprawczych. Warto skorzystać z tej opcji, zwłaszcza że proces wdrożenia zmian może zająć od 1 do 3 miesięcy. Dzięki temu usprawnisz systemy i uzupełnisz luki w dokumentacji bez narażenia organizacji na chaos organizacyjny i zastój pracy. Nasi audytorzy i koordynatorzy, nawet po zakończeniu projektu, są do dyspozycji.
Reasumując, przeprowadzany regularnie przynajmniej raz w roku audyt KRI zapewnia wysoki poziom bezpieczeństwa, gwarantuje ochronę zasobów organizacji oraz zwiększa efektywność pracy. To z kolei przekłada się na podniesienie zaufania opinii publicznej do danej instytucji.
O Autorze
