Audytu Bezpieczeństwa Informacji (KRI) obejmujący audyt SZBI.
Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia bezpieczeństwa informacji poprzez wdrożenie SZBI oraz przeprowadzenia okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Rozporządzenie zawiera wytyczne w zakresie bezpieczeństwa informacji w jednostce samorządowej, zaś wymagany co roczny audyt ma być weryfikacją wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo danych. Audyt powinien zawierać zalecenia poaudytowe, mające wskazać zakres usprawnień zapewniający właściwy poziom cyberbezpieczeństwa.
Obecnie audyt po wdrożonym SZBI oraz audyty KRI dla podmiotu i podległych jednostek może być sfinansowane w ramach konkursu CYBERBEZPIECZNY SAMORZĄD oraz dla podmiotów z branży wodociągowej w ramach CYBERBEZPIECZNY WODOCIĄG.
Kogo dotyczy Rozporządzenie KRI ?
Rozporządzenie KRI dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Do Rozporządzenia powinny dostosować się:
- Urzędy Miast i Gmin
- Starostwa Powiatowe, PUP
- jednostki organizacyjne, np. szkoły, przedszkola, MOPS/GOPS, PCPR, biblioteki, ośrodki kultury, spółki miejskie
- podmioty publiczne, np. stowarzyszenia, fundacje, kluby sportowe, organizacje rządowe, inne instytucje
Czy wymóg audytu KRI dotyczy każdego podmiotu publicznego ?
Kierownictwo podmiotu publicznego ma obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Z wymogu audytu KRI nie są zwolnione nawet małe podmioty publiczne - dostosowanie się do wymogów Rozporządzenia pozostaje w gestii kierownictwa podmiotu.
Jaki obowiązki nakłada Rozporządzenie w sprawie Krajowych Ram Interoperacyjności?
Podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do Rozporządzenia. Więcej obowiązków zawiera par.19 pkt.1, 2, 3 i 4.
Z czego wynika obowiązek przeprowadzenia audytu?
Rozporządzenie w par. 19 ust.2 pkt 14 mówi o obowiązku "zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok". Ponadto regulamin konkursu grantowego CYBERBEZPIECZNY SAMORZĄD oraz konkursu CYBERBEZPIECZNY WODOCIĄG nakłada obowiązek przeprowadzenia audytu po wdrożeniu SZBI w podmiocie.
Jak MEDIATOR przeprowadza audyt ?
Audyt bezpieczeństwa informacji obejmuje zakres wymagany Rozporządzeniem KRI w obszarach (zakres podstawowy):
- Wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji
- Polityki bezpieczeństwa,
- Organizacji bezpieczeństwa informacji,
- Zarządzania aktywami,
- Bezpieczeństwa fizycznego, kontroli dostępu i zarządzenia incydentami,
- Zarządzania systemami i sieciami,
- Utrzymania systemów informatycznych,
- Ciągłości działania,
- Analizy ryzyka,
- Zgodności z KRI ( w tym analiza zaleceń poaudytowych poprzedniego audytu KRI).
Audyt ma zweryfikować wymagania dla JST w związku z Rozporządzeniem KRI, w szczególności o ktorych mowa w par.19. Wynikiem przeprowadzonego audytu jest wskazanie braków oraz zalecenia, które pozwolą administratorowi na dostosowanie podmiotu do wymagań Rozporządzenia KRI.
Nasze doświadczenie poparte jest referencjami: audyt KRI dla Pow.Puławy, audyt KRI dla GUNB, audyt KRI dla PUP Leszno, audyt KRI dla UG Janowiec .
Jakie są koszty przeprowadzenia audytu w podmiocie publicznym ?
Na koszt przeprowadzenia audytu ma wpływ kilka czynników. Zapraszamy do kontaktu i sprecyzowania oczekiwań.
Kto powinien przeprowadzić audyt bezpieczeństwa informacji ?
Audyt powinien być przeprowadzony przez audytora posiadającego certyfikat wskazany w Rozporządzeniu Ministerstwa Cyfryzacji z dnia 12.10.2018r w sprawie wykazów certyfikatów uprawniających do przeprowadzenia audytu. Zespół MEDIATORA przeprowadzający audyt KRI to audytorzy wiodący wg ISO27001 oraz ISO22301.
Dla pełnej oceny audyt KRI powinien być rozszerzony o audyt bezpieczeństwa danych osobowych - wymóg art.24 pkt.1 i art.32 pkt.1 RODO. Przeprowadzenie połączonych audytów KRI i RODO daje pełen obraz bezpieczeństwa danych, w tym bezpieczeństwa danych osobowych.
Wynik audytu - zalecenia. Jak z nich skorzystać ?
Wytyczne poaudytowe, jakie są częścią naszego audytu to zbiór zaleceń i obowiązków ustawowych dla podmiotu publicznego. Warto zastosować się do nich, aby kolejny audyt (za 12 m-cy) wykazał poprawę cyberbezpieczeństwa. Dążenie do spełnienia wszystkich warunków Rozporządzenia powinno być celem nadrzędnym, nie zaś przeprowadzanie audytu KRI, który jest tylko wymogiem dla podmiotu.
Prawidłowo przeprowadzony audyt wykarze także nieprawidłowości w dokumentacji SZBI.
Kontrole NIK
W maju 2019r NIK przeprowadził szereg kontroli pod kątem bezpieczeństwa danych. Poddane zostały weryfikacji bezpieczeństwo danych w urzędach gmin, miast i starostwach. W opinii NIK, "nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych". Wnioski i wytyczne prezentuje NIK na swojej stronie internetowej.
Analiza NASK Ustawy o krajowym systemie cyberbezpieczeństwa (KSC)
MEDIATOR. Konsultacje KRI: tel. 505 341 555