Co to jest KRI?
KRI to potoczna nazwa Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Celem rozporządzenia KRI jest m.in. określenie sposobów wymiany danych pomiędzy systemami informatycznymi stosowanymi do zadań publicznych, dostosowanie tych systemów do potrzeb osób niepełnosprawnych (standard WCAG) oraz zapewnienie bezpieczeństwa tych systemów. W artykule pominiemy pierwsze dwa aspekty i zajmiemy się wyłącznie bezpieczeństwem, ponieważ to w tym właśnie zakresie obligatoryjne jest minimum raz w roku wykonanie audytu, potocznie określanego jako audyt KRI.
Wymogi rozporządzenia KRI
Rozporządzenie KRI w paragrafie 20 definiuje konieczność wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji. Wymogi, które powinien spełniać SZBI zostały sprecyzowane dosyć klarownie, dlatego zacytujemy poniżej w całości brzmienie tego paragrafu:
§ 20.
Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
- zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
- utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację
- przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
- podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
- bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
- zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
- zagrożenia bezpieczeństwa informacji,
- skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
- stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
- zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
- monitorowanie dostępu do informacji,
- czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
- zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
- ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
- zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
- zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
- ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
- zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
- dbałości o aktualizację oprogramowania,
- minimalizowaniu ryzyka utraty informacji w wyniku awarii,
- ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
- stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
- zapewnieniu bezpieczeństwa plików systemowych,
- redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
- niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
- kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
- bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
- zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:
- PN-ISO/IEC 17799 – w odniesieniu do ustanawiania zabezpieczeń;
- PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
- PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.
Jak czytamy w ustępie 3. powyższego paragrafu, za zgodny z wymogami rozporządzenia KRI uznać można System Zarządzania Bezpieczeństwem Informacji wdrożony zgodnie z normą ISO 27001. Na czym polega wdrożenie takiego systemu oraz jak przeprowadzać analizę ryzyka, która ma posłużyć do opracowania zabezpieczeń pisałem już w dwóch poniższych artykułach:
- System Zarządzania Bezpieczeństwem Informacji wg ISO 27001
- Analiza ryzyka – wspólny mianownik RODO, KRI i ISO 27001
Audyt KRI
W ust. 2, pt 14 cytowanego powyżej paragrafu mowa jest o zapewnieniu okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Warto tutaj doprecyzować, iż w stanowisku MAiC z 24 kwietnia 2013 r. uściślono, iż przez audyt wewnętrzny rozumie się audyt realizowany przez jednostkę na wewnętrzne potrzeby, niekoniecznie przez osoby z wewnątrz organizacji (komórkę audytu wewnętrznego). Podkreśla się jednocześnie potrzebę niezależności komórki audytującej. Można więc taki audyt zlecić firmom lub osobom z zewnątrz. Preferowani do wykonywania zadań audytowych są specjaliści legitymujący się certyfikatami audytora wiodącego ISO 27001.
Ze względu na bardzo ograniczone budżety, trudno jest wymagać od jednostek z sektora publicznego wdrożenia normy ISO 27001, czy też szkolenia i zatrudniania własnych pełnomocników utrzymujących SZBI. Wdrożenie i audytowanie najczęściej zatem ogranicza się do weryfikacji 14 wymogów wymienionych w ust. 2 paragrafu 20.
W uzupełnieniu tego artykułu przygotowałem prostą ankietę zawierającą zestaw pytań bazujących na 14 wymogach wraz z przykładami działań, które potwierdzają ich spełnienie. Ankieta ta może posłużyć jako wskazówka dla osób z działów IT chcących spełnić wymogi rozporządzenia KRI. Aby ją otrzymać podaj swój adres e-mail w formularzu poniżej
Jak wykonać audyt KRI?
Jeżeli natomiast chcielibyście wykonać audyt KRI dysponując bardzo ograniczonym budżetem, mam dla Was unikalną na polskim rynku ofertę. Uruchomiłem właśnie sprzedaż pakietu edukacyjnego, składającego się z niezbędnych do przeprowadzenia audytu dokumentów oraz wykładu w formie webinaru. Umożliwią Wam one rozwinięcie własnych kompetencji i przeprowadzenie audytu KRI zgodnego z wymogami rozporządzenia.
Dzień dobry!
Proszę o przesłanie mi ankiety z pytaniami do audytu KRI.
Pozdrawiam
Robert Hyla
Ankieta jest dostępna w materiałach dla subskrybentów – wystarczy się zapisać na newsletter.