Warszawa, dnia (j listopada 2015 r.MiNISTER
ADMiNISTRACJI I CYFRYZACJI
DKSiW-WKiN.081 1.18.2015
Egz. Nr .
Minister rodowiska
WYSTPIENIE POKONTROLNE
Zgodnie z art. 47 w zwizku z art. 46 tist. 1 i 3 ustawy z dnia 15 lipca 201 1 r. o kontroli
W administracji rzdowej uprzejmie przekazuj Panu Ministrowi Wystpienie pokontrolne.
Na podstawie art. 25 ust. 1 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci
podmiotw realizujcych zadania publiczne2, w Ministerstwie rodowiska (dalej : M) zostaa
przeprowadzona kontrola dotyczca dziaania systemw teleinformatycznych, uywanych do realizacji
zada publicznych oraz realizacji obowizkw wynikajcych z art. 13 ust. 2 ustawy o informatyzacji
podmiotw realizijqcych zadania publiczne, pod wzgldem zgodnoci z minimalnymi wymaganiami
dla systemw teleinformatycznych lub minimalnymi wymaganiami dla rejestrw publicznych
i wymiany informacji w postaci elektronicznej.
Kontrol przeprowadzono w trybie zwykym, okrelonym ustaw z dnia 15 lipca 201 1 r. Czynnoci
kontrolne prowadzone byy w dniach 20-3 1 sierpnia 2015 r. przez zesp kontrolny w skadzie:
1 . Marcin Kaczorek gwny specjalista w Wydziale Kontroli i Nadzoru Departamentu Kontroli,
Skarg i Wnioskw MAC kierownik zespou kontrolnego Upowanienie nr 48/201 5 z dnia
18 sierpnia20l5 r.,
2. Bogdan Kowalczyk gwny specjalista w Wydziale Kontroli i Nadzoru Departamentu
Kontroli, Skarg i Wnioskw MAC czonek zespou kontrolnego Upowanienie nr 49/2015
z dnia 18 sierpnia 2015 r.
Celem kontroli byo dokonanie oceny dziaania systemw teleinformatycznych pod wzgldem
zgodnoci z minimalnymi wymaganiami dla systemw teleinformatycznych lub rejestrw publicznych
oraz przestrzegania wymaga odnoszcych si do Krajowych Ram Interoperacyjnoci.
1 Dz. U. Nr 185, poz. 1092.2Dz.U.z2014r.,poz. 1114.
Strona 1 Z 21
Kontrol objto okres od dnia 1 lipca 20 1 4 r. do dnia 30 czerwca 201 5 r.
Zesp kontrolny podda analizie funkcjonujcy w M System Zarzdzania Bezpieczestwem
Informacj I oraz 2 z 1 8 systemw teleinformatycznych M:
. Strona internetowa www.mos.goy.pl;
O Rejestr mikroorganizmw i organizmw genetycznie zmodyfikowanych - UMO.
OCENA
Na podstawie analizy dokumentacji rdowej oraz otrzymanych pisemnych wyjanie zesp
kontrolny sformuowa nastpujc ocen kontrolowanych obszarw:
1 . Wymiana informacji w postaci elektronicznej, w tym wsppraca z innymi systemami/rejestrami
informatycznymi i wspomaganie wiadczenia usug drog elektroniczn oraz dostosowanie
systemw informatycznych do standardu WCAG 2.0 pozytywnie z uchybieniami;
2. Wdroenie systemu zarzdzania bezpieczestwem informacji w systemach teleinformatycznych
pozytywnie z uchybieniami.
Podsumowujc caociowo wyniki analizy dokumentacji rdowej dotyczcej kontrolowanych
zagadnie oraz otrzymanych pisemnych wyjanie pozytywnie z uchybieniami oceniono dziaanie
systemw teleinformatycznych w M pod wzgldem zgodnoci z minimalnymi wymaganiami dla
systemw teleinformatycznych lub rejestrw publicznych oraz przestrzegania wymaga odnoszcych
si do Krajowych Ram Interoperacyjnoci:
1. Kontrola wykazaa, e M spelnia wymagania dotyczce dostosowania posiadanych
systemw informatycznych do wymiany informacji w postaci elektronicznej, w tym
wsppracy z innymi systemami/rejestrami informatycznymi oraz wspomagania
wiadczenia usug drog elektroniczn w sposb prawidowy, zgodnie z wymaganiami
rozporzdzenia. Stwierdzone uchybienie dotyczy niepenego dostosowania systemw
informatycznych do standardu WCAG 2.0.
2. W M zosta skutecznie wdroony system zarzdzania bezpieczestwem informacji
w systemach teleinformatycznych. System dziaa prawidowo, zgodnie z wymaganiami
rozporzdzenia. Stwierdzone uchybienia dotyczyy sporzdzonej analizy ryzyka, okresu
przechowywania logw systemowych oraz braku cyklicznych szkole pracownikw
zaangaowanych w proces przetwarzania informacji.
I. SZCZEGOWE USTALENIA KONTROLI
Sownik:
BW Biuletyn Informacji Publicznej
BI bezpieczestwo informacji
CPI Centrum Projektw Informatycznych
Strona 2 Z 21
CRWDE centralne repozytorium wzorw dokumentw elektronicznych
ePUAP Elektroniczna Platforma Usug Administracj I Publicznej . System teleinformatyczny
udostpniajcy usugi elektroniczne administracji publicznej dla obywateli i podmiotw prowadzony
przez ministra waciwego do spraw informatyzacji
ESP elektroniczna skrzynka podawcza
KRI Krajowe Ramy Interoperacyjnoci stanowi zbir zasad i sposobw postpowania podmiotw
w celu zapewnienia systemom informatycznym interoperacyjnoci dziaania, rozumianej jako
zdolno tych systemw oraz wspieranych przez nie procesw do wymiany danych oraz do dzielenia
si informacjami i wiedz
MAC Ministerstwo Administracji i Cyfryzacj i
M Ministerstwo rodowiska
lu Repozytorium Interoperacyjnoci cz zasobw ePUAP przeznaczona do udostpniania
informacj i sucych osiganiu interoperacyjnoci
rozporzdzenie ePUAP rozporzdzenie Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r.
W sprawie zakresu i warunkw korzystania z elektronicznejplatforrny usug administracji publicznej3
rozporzdzenie KRI rozporzdzenie Rady Ministrw z dnia 12 kwietnia 2012 r. w sprawie
Krajowych Ram Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych i wymiany
informacji w postaci elektronicznej oraz minimalnych wymaga dla systemw teleinformatycznych4
ustawa o informatyzacji ustawa z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw
realizujcych zadania publiczne
XML (eltensible Markzip Language) tekstowy format sucy do opisywania informacji (danych)
w sposb strukturalny; jest to format, przy pomocy ktrego nadaje si znaczenie poszczeglnym
fragmentom informacji
PDF format plikw sucy do prezentacji, przenoszenia i drukowania treci tekstowo-graficznych,
stworzony i promowany przez firm Adobe Systems; format PDF powsta jako format wynikowy,
majcy zachowa peny wygld dokumentu po wydrukowaniu
doc dokument w postaci sformatowanego tekstu, wewntrzny standard Microsoft Corp.
dostpno waciwo bycia dostpnym i moliwym do wykorzystania na danie, w zaoonym
czasie, przez autoryzowany podmiot
integralno zapewnienie dokadnoci i kompletnoci informacj i oraz metod jej przetwarzania
interoperacyjno zdolno rnych podmiotw oraz uywanych przez nie systemw
teleinformatycznych i rejestrw publicznych do wspdziaania na rzecz osignicia wzajemnie
korzystnych i uzgodnionych celw, z uwzgldnieniem wspdzielenia informacji i wiedzy przez
wspierane przez nie procesy biznesowe realizowane za pomoc wymiany danych za porednictwem
wykorzystywanych przez te podmioty systemw teleinformatycznych; osiganie interoperacyjnoci
nastpuje poprzez cige doskonalenie jednostki w zakresie zarzdzania systemami informatycznymi
3 Dz. U. z 2014 r., poz. 584.4 Dz. U. z 2012 r., poz. 526. z pn. zm.
Strona3 z21
model usugowy model architektury systemu informatycznego, w ktrym dla uytkownikw
(klientw/odbiorcw) zdefiniowano stanowice odrbn cao funkcje systemu teleinformatycznego
(usugi sieciowe) oraz opisano sposb korzystania z tych funkcji
polityka bezpieczestwa informacji, polityka BI zestaw praw, regu i praktycznych dowiadcze,
regulujcych sposb zarzdzania, ochrony i dystrybucji informacji wewntrz okrelonej organizacji
poufno zapewnienie, e informacja jest dostpna tylko dla osb do tego upowanionych
usuga elektroniczna w myl art. 2 pkt 4 ustawy z dnia 1 8 lipca 2002 r. o wiadczeniu usug drog
elektroniczn5, jest to usuga wiadczona bez jednoczesnej obecnoci stron (na odlego), poprzez
przekaz danych na indywidualne danie usugobiorcy, przesyanej i otrzymywanej za pomoc
urzdze do elektronicznego przetwarzania
wspdzielenie informacji wsplne uytkowanie tych samych zasobw przez rne osoby i/lub
podmioty, np. zasobw takichjak: pliki, bazy danych, dokumenty itp.
1 . Wymiana informacji w postaci elektronicznej, w tym wsppraca z innymi
systemami/rejestrami informatycznymi i wspomaganie wiadczenia usiug drog
elektroniczn oraz dostosowanie systemw informatycznych do standardu WCAG 2.0
Przepisy dotyczce interoperacyjnoci maj na celu stworzenie warunkw do wspdziaania ze sob
systemw informatycznych jednostek realizujcych zadania publiczne w celu zapewnienia szybkiej
wymiany informacji zarwno wewntrz urzdu, jak i z innymi urzdami administracji publicznej.
Wdroenie tych przepisw powinno przyczyni si do usprawnienia realizacji zada urzdw, w tym
zaatwiania spraw obywateli i przedsibiorcw, na odlego i w krtszym czasie, bez dania
informacji bdcych ju w posiadaniu urzdw. Jednoczenie, powinny zosta stworzone warunki
korzystania z serwisw internetowych urzdu przez osoby niepenosprawne.
1 . 1 . Usugi elektroniczne
Jednym z podstawowych celw dziaania urzdu jest realizacja usug wobec obywateli i innych
podmiotw w sposb szybki i sprawny oraz maksymalnie przyjazny dla obywatela. Realizacj
praktyczn ww. postulatw mona uzyska poprzez udostpnienie wszelkich moliwych ushig
na platformie elektronicznej dostpnej przez sie Internet. Tak realizowane usugi pozwol
na zaatwianie spraw w urzdzie z domu lub z dowolnego innego miej sca, w ktrym
obywatel/podmiot ma dostp do sieci. Usugi powinny by wiadczone wg jednolitych,
standardowych procedur, jasno komunikowanych obywatelowi/podmiotowi. Celem stosowania usug
elektronicznych jest uatwienie w dostpie do usug poprzez wyeliminowanie korespondencji
papierowej obywatela/podmiotu z urzdem, zastpienie drukw i formularzy papierowych ich
odpowiednikami elektronicznymi dostpnymi do wypenienia na platformie usug elektronicznych
5 Dz. U. z 2013 r., poz. 1422.
Strona 4 Z 21
urzdu, a take wyeliminowanie papierowych dokumentw kierowanych do obywatela/podmiotu
i zastpienie ich odpowiednikami elektronicznymi przesyanymi np. poczt elektroniczn.
M wiadczy6 7 usug w formie elektronicznej z wykorzystaniem ESP udostpnionej na platformie
ePUAP:
. Pismo oglne do urzdu;
S Skargi, wnioski, zapytania do urzdu;
. Udostpnianie informacji publicznej na wniosek;
. Udostpnienie informacji o rodowisku ijego ochronie;
. Skadanie informacji o opatach z Prawa geologicznego i grniczego;
. Sprawozdawczo budetowa jednostek sektora finansw publicznych;
. Sprawozdawczo w zakresie operacj i finansowych.
Jak wynika z przedoonych wyjanie7, M jest w trakcie przygotowywania 12 kolejnych e-usug.
M zamiecio na gwnej stronie internetowej, bdcej jednoczenie stron BlP M, odesania
do opisw usug, ktre zawieraj wymagane informacje dotyczce m.in. aktualnej podstawy prawnej
wiadczonych usug, nazwy usug, miej sca wiadczenia usug (zoenia dokumentw), terminu
skadania i zaatwiania spraw oraz nazwy komrek odpowiedzialnych za zaatwienie spraw, zgodnie
z 5 ust. 2 pkt 1 i 4 rozporzdzenia KRI.
(Dowd: akta kontroli str. 273-301, 322-327, 367-380)
1 .2. Centralne repozytorium wzorw dokumentw elektronicznych
W celu ujednolicenia w skali kraju procedur usug wiadczonych przez urzdy drog elektroniczn,
w tym ujednolicenia wzorw dokumentw elektronicznych w CRWDE przechowywane s wzory
opracowanych i uywanych dokumentw. W przypadku uruchamiania przez dany urzd usugi
elektronicznej, ktra ju funkcjonuje, dany urzd powinien skorzysta z procedury obsugi tej usugi
oraz zastosowa wzory dokumentw elektronicznych znajdujcych si w CRWDE. W przypadku
uruchamiania usugi, dla ktrej nie ma wzorw dokumentw w CRWDE, urzd jest zobowizany
opracowa i przekaza do CRWDE wzory dokumentw elektronicznych z ni zwizanych.
Obecnie M udostpnia 7 wzorw dokumentw elektronicznych, z czego w okresie objtym kontrol,
zgodnie z art. 19b ust. 3 ustawy o informatyzacji, na stronie BlP M umieszczono linki do wzorw
oraz zamieszczono w CRWDE wzory 5 dokumentw elektronicznych:
S Wzr informacji dotyczcej opaty za skadowanie dwutlenku wgla w podziemnych
skadowiskach;
. Wzr rocznego sprawozdania wjta, burmistrza lub prezydenta miasta z realizacji zada
z zakresu gospodarowania odpadami komunalnymi;
. Wzr informacji dotyczcej opaty za podziemne skadowanie odpadw;
. Wzr informacji dotyczcej opaty za bezzbiornikowe magazynowanie substancji w grotworze;
6 Zgodnie z art. 16 ust. 1 a ustawy o informatyzacji.7 Opracowany przez Zastpc Dyrektora Biura Dyrektora Generalnego Pana Andrzeja Smoliskiego Kwestionarittsz dotyczcy dziaaniasystemw teleinformatycznych uywanych do realizacji zada publicznych.
Strona 5 Z 21
. Wzr informacji dotyczcej opaty za wydobyt kopalin,
przy czym 3 ostatnie wzory uaktualniay wzory zamieszczone w CRWDE w dniu 2 lipca 2012 r.
(Dowd: akta kontroli str. 366)
1 .3 . Model usugowy
Model usugowy zosta zdefiniowany w 2 pkt 8 rozporzdzenia KRI. To model, w ktrym dla
uytkownikw zdefiniowano stanowice odrbn cao funkcje systemu teleinformatycznego (usugi
sieciowe) oraz opisano sposb korzystania z tych funkcji (inaczej: system zorientowany na usugi).
Zarzdzanie usugami elektronicznymi w oparciu o model usugowy wymaga posiadania i stosowania
wewntrznych procedur obsugi usugi oraz dostarczania ich na zadeklarowanym poziomie ( 1 5 ust. 2rozporzdzenia KRI).
Dokumentem regulujcym ten zakres jest Notatka z dnia 30.10.2014 r. nt. ustalenia i monitorowania
wskanikw z zakresu bezpieczestwa systemw i usug IT, zaakceptowana i przekazana do
realizacj i przez Dyrektora Generalnego M.
M realizuje model usugowy w procesie wiadczenia usug elektronicznych. W badanych systemach
stwierdzono, e zarzdzanie usugami odbywa si w oparciu o ustalone procedury. Opracowano
wskaniki dostpnoci usug oraz okrelono ich wymagany poziom. Stwierdzono, e poziom
dostpnoci usug (dla badanych systemw) jest na bieco monitorowany oraz porwnywany
z zadeklarowanym oraz e deklarowany poziom usug by dochowany w okresie objtym kontrol dla
usug oferowanych przez systemy objte kontrol.
Poziom dostpnoci usug jest wyliczany automatycznie przy wykorzystaniu specjalistycznego
oprogramowania Quest Foglight, ktrego zadaniem jest cige zbieranie informacji o dostpnoci
serwisw internetowych M, informowanie administratorw technicznych o ewentualnych przerwach
W ich dostpnoci, a take gromadzenie uzyskanych informacji w celu prezentacji statystyk
w miesicznych raportach dostpnoci.
Dla e-usug M, udostpnionych za porednictwem niezalenej od M platformie ePUAP
(zarzdzanej przez Centrum Projektw Informatycznych), nie okrelono poziomu ich dostpnoci,gdy nie ma moliwoci technicznej ingerencji w funkcjonowanie zewntrznego rodowiska
informatycznego (ePUAP).
(Dowd: akta kontroli str. 248, 273-301, 367-380)
1 .4. Wsppraca badanych systemw informatycznych z innymi systemami
Wiele rejestrw w urzdach administracji publicznej przechowuje i przetwarza identyczne informacje
np. o obywatelu/podmiocie (PESEL, REGON, NIP, dane adresowe). Uatwieniem w zaatwieniu
spraw dla obywatela/podmiotu bdzie sytuacja, gdy urzd nie bdzie da od obywatela/podmiotu
informacji bdcych ju w posiadaniu urzdw. Realizacja tego postulatu wymaga, aby system
informatyczny, w ktrym prowadzony jest rejestr odwoywa si bezporednio do danych
gromadzonych w innych rejestrach publicznych uznanych za referencyjne w zakresie niezbdnym do
realizacji zada.
Strona 6 Z 21
Rejestry GMO zgodnie z ustaw z dnia 22 czerwca 2001 r. o mikroorganizmach i organizmach
genetycznie zmodyJUcowanych8 s prowadzone w postaci elektronicznej, umieszcza si w nich dane
zawarte we wnioskach, zgoszeniach, zezwoleniach, decyzjach oraz zgodach.
Systemy objte badaniem nie wchodz w bezporedni interakcj z innymi systemami
informatycznymi, gdy peni rol informacyjn. W zwizku z powyszym nie s wyposaone
w sprzt i programy pozwalajce na wymian informacji z innymi systemami telekomunikacyjnymi
za pomoc protokow komunikacyjnych ( 16 ust. 1 rozporzdzenia KRI). Objte badaniem systemypozwalaj administratorowi merytorycznemu (pracownikowi M) na zaimportowanie rczne
dokumentw w formacie PDF oraz na rczne wygenerowanie wydrukw i zestawie tabelarycznych,
np. raporty z rejestrw UMO.
System rejestrw UMO przechowuje dane dotyczce podmiotu i jego lokalizacji, jednake nie
odwouje si do rejestrw referencyjnych ( 5 ust. 3 pkt 3 rozporzdzenia KRI).(Dowd; akta kontroli str. 273-301, 367-380)
1.5. Obieg dokumentw
Stosowanie systemu elektronicznego obiegu dokumentw wpywa na uporzdkowanie i usprawnienie
ich obiegu, znaczco usprawnia ich archiwizacj oraz zapewnia atwy dostp do dokumentw
archiwalnych, co wpywa na przyspieszenie zaatwianych spraw (realizowanych przez urzdy usug)
oraz minimalizowanie nakadu pracy. Celem wdroenia elektronicznego obiegu dokumentw jest
wyeliminowanie z obiegu wewntrznego urzdu dokumentw papierowych.
W M, zgodnie z porozumieniem z Podlaskim Urzdem Wojewdzkim z dnia 26 stycznia 2015 r.,
wdraany jest system elektronicznego zarzdzania obiegiem dokumentw Eektroniczne Zarzdzanie
Dokumentacj.
(Dowd: akta kontroli str. 273-301, 367-380)
1 .6. Format danych udostpniany przez badane systemy informatyczne
Istot wspdzielenia informacji w urzdach jest stworzenie moliwoci wymiany danych pomidzy
rnymi systemami informatycznymi oraz umoliwienie odbiorcom swobodnego dostpu do
informacji poprzez wygenerowanie danych w powszechnie znanych i dostpnych formatach plikw.
Dla badanych systemw M kodowanie znakw w wysyanych z systemw dokumentach odbywa si
wedug standardu Unicode UTF-8, zgodnie z 17 ust. 1 rozporzdzenia KRI. Systemy udostpniaj
zasoby informatyczne w jednym z formatw danych okrelonych w zaczniku 2 do rozporzdzenia
tj . w doc i PDF, zgodnie z 1 8 ust. 1 rozporzdzenia KRI.
(Dowd; akta kontroli str. 273-301, 367-380)
1.7. Zapewnienie dostpnoci informacji zawartych na stronach internetowych urzdw dla osb
niepenosprawnych
W eksploatowanych systemach teleinformatycznych powinny zosta zastosowane rozwizania
techniczne umoliwiajce osobom niedoslyszcym lub niedowidzcym zapoznanie si z treci
8 Dz. U. z 2015 r., poz. 806.
Strona 7 Z 21
informacji m.in. poprzez powikszenie czcionki, obrazu, zmian kontrastu czy te odsuchanie
wywietlanej treci - zgodnie ze standardem WCAG 2.0. Termin dostosowania systemw
teleinformatycznych do prezentacji zasobw informacyjnych wg powyszego standardu upyn
30 maja 2015 r. Strony internetowe badanych systemw M nie zostay w peni dostosowane
do odbioru ich treci przez osoby niepenosprawne. Zastosowane rozwizania techniczne
umoliwiajce osobom niedowidzcym zapoznanie si z treci informacji poprzez powikszenie
czcionki dotyczyy gwnie podstawowych informacji oglnych umieszczonych na stronach.
Pozostae treci, w tym np. zaczone dokumenty w formatach PDF i doc nie byy dostosowane do
potrzeb osb niedowidzcych. Regulacja wewntrzna pn. Procedura okrelania specyfikacji
technicznych i wymaga odbioru systemw IT wskazuje na konieczno okrelania w specyfikacji
technicznej dla nowych lub przebudowywanych systemw M wymaga zgodnoci z 19
rozporzdzenia KRI, a take wymaganie testowania odbieranego systemu pod tym ktem. W stosunku
do obydwu badanych systemw planowane jest wdroenie ich nowych wersji, a w umowach
z wykonawcami tych systemw znajd si wymagania okrelone w 19 rozporzdzenia KRI.
(Dowd; akta kontroli str. 273-301, 367-380)
Ustalenia:
1 . M wiadczy 7 usug w formie elektronicznej z wykorzystaniem Elektronicznej Skrzynki
Podawczej udostpnionej na platformie ePUAP oraz jest w trakcie przygotowywania
12 kolejnych e-usug.
2. M udostpnia 7 wzorw dokumentw elektronicznych.
3 . Zarzdzanie usugami elektronicznymi w M odbywa si w oparciu o model usugowy
zgodnie z 1 5 ust. 2 rozporzdzenia KRI.
4. Dla kontrolowanych systemw kodowanie znakw w wysyanych z systemw dokumentach
odbywa si wedug standardu Unicode UTF-8, zgodnie z 7 ust. 1 rozporzdzenia KM.
5. Systemy objte badaniem nie wchodz w bezporedni interakcj z innymi systemami
informatycznymi, gdy peni rol informacyjn.
6. System rejestrw GMO przechowuje dane dotyczce podmiotu ijego lokalizacji, jednake nie
odwouje si do rejestrw referencyjnych.
7. Nie w peni dostosowano systemy M do wymogw prezentacji zasobw informacyjnych
zgodnie ze standardem WCAG 2.0 okrelonych w 19 rozporzdzenia KM.
2. Wdroenie systemu zarzdzania bezpieczestwem informacji w systemach
teleinformatycznych
Wraz z rozwojem elektronicznej formy komunikacji znaczenia nabiera zapewnienie dostpnoci,
integralnoci i poufnoci danych posiadanych i przetwarzanych przez urzdy. Dlatego te, szczeglnie
9 Rejestry GMO w trakcie kontroli opracowano projekt umowy na wykonanie elektronicznych rejestrw, zakadajc ok. 2 miesicy narealizacj systemu.Strona www.mos.goy.pl w trakcie kontroli prowadzono postpowanie o tidzielenie zamwienia publicznego. W dniu 25 sierpnia 2015 r.upywa termin zloenia ofert.
Strona 8 Z 21
istotne jest zapewnienie bezpieczestwa informacj i przetwarzanych w uytkowanych przez podmioty
publiczne systemach informatycznych. W przeciwnym razie powstaje ryzyko ttraty ww. waciwoci
gwarantujcych bezpieczestwo informacji, a w konsekwencji stabilnoci pracy urzdw. Podway
to moe zaufanie obywateli do organw administracji publicznej. Jednostka, aby zabezpieczy swoje
informacje powinna zastosowa podejcie systemowe, w ramach ktrego bdzie zarzdza
kompleksowo posiadanymi aktywami informacyjnymi, infrastruktur przeznaczon do ich
przetwarzania oraz ryzykiem dotyczcym bezpieczestwa informacji.
2. 1 . Dokumenty z zakresu bezpieczestwa informacji
Zgodnie z 20 ust. 1 rozporzdzenia KRI podmiot realizujcy zadania publiczne opracowuje
i ustanawia, wdraa i eksploatuje, monitoruje i przeglda oraz utrzymuje i doskonali system
zarzdzania bezpieczestwem informacj i zapewniajcy poufno, dostpno i integralno
informacji. Wymaga to opracowania dokumentacji SZBI, w tym szeregu regulacji wewntrznych oraz
zapewnienia aktualizacji tych regulacji w zakresie dotyczcym zmieniajcego si otoczenia
( 20 tist. 2 pkt 1 rozporzdzenia KRI). Dokumentacja ta jest warunkiem niezbdnym moliwociskutecznego zarzdzania bezpieczestwem informacji.
W M opracowano, ustanowiono i wdroono System Zarzdzania Bezpieczestwem Informacji.
Zarzdzenie Nr 1 1 Ministra rodowiska z dnia 3 lutego 20 14 r. w sprawie Systemu Zarzdzania
Bezpieczestwem Informacji w Ministerstwie rodowiska ustanawia SZBI, ktry obejmuje struktur
organizacyjn, polityki, plany dziaania, zakresy odpowiedzialnoci, procesy i zasoby. Celem systemu
jest zapewnienie poufnoci, dostpnoci oraz integralnoci informacji w komrkach organizacyjnych
M oraz w systemach informatycznych sucych do przetwarzania informacj i w M. Zarzdzanie
BI w M odbywa si poprzez opracowan i wdroon Polityk Bezpieczestwa Informacji.
Zarzdzenie ustanawia Dyrektora Generalnego M jako zarzdzajcego i nadzorujcego
funkcjonowanie SZBI. Zarzdzeniem powoany zosta Zesp do spraw SZBI, ktry wspiera
Dyrektora Generalnego w realizacji jego zada poprzez praktyczne wdraanie Polityki
Bezpieczestwa Informacji, jej monitorowanie i doskonalenie. Zesp zajmuje si midzy innymi
szacowaniem ryzyk zwizanych z BI, analiz incydentw naruszenia BI, okreleniem dziaa
korygujcych oraz doskonaleniem SZBI. Zarzdzenie zobowizuje dyrektorw komrek
organizacyjnych M do nadzorowania przestrzegania zasad BI w nadzorowanych komrkach
organizacyjnych, a take do wsppracy z Zespoem w zakresie szacowania ryzyka BI. SZBI zosta
wdroony zgodnie z harmonogramem opisanym w dokumencie Korekta harmonogramu opracowania
i wdroenia PBI w dniu 28.02.2014 r.
Podstawowym dokumentem SZBI jest Polityka Bezpieczestwa Informacji w Ministerstwie
rodowiska zatwierdzona przez Dyrektora Generalnego M w dniu 14 kwietnia 2014 r. PBI okrela
dziaania, ktre maj zapewni odpowiedni poziom BI w M, w tym opisuje organizacj i ustala
osoby odpowiedzialne oraz ich zakresy odpowiedzialnoci, wprowadza klasyfikacj informacji,
Strona 9 Z 21
sposb postpowania z poszczeglnymi rodzajami informacji. PBI okrela aktywa oraz ich wacicieli,
sposb szacowania ryzyka oraz sposb postpowania z ryzykiem.
Integraln cz PBI stanowi, zatwierdzane odrbnie od PBI:
S Polityka bezpieczestwa teleinformatycznego w Ministerstwie rodowiska wraz z procedurami
i instrukcjami bezpieczestwa z dnia 27 maja 2014 r.;
. Polityka bezpieczestwa informacji w Ministerstwie rodowiska w zakresie bezpieczestwa
Jzycznego z dnia 28 maja 2014 r.;
. Polityka bezpieczestwa informacji w Ministerstwie rodowiska w zakresie bezpieczestwa
danych osobowych z dnia 23 maja 2014 r.;
. Polityka bezpieczestwa informacji w M w zakresie bezpieczestwa zasobw ludzkich
dokument nie zosta opracowany zgodnie z rekomendacj Zespou ds. $ZBI i decyzj Dyrektora
Generalnego M. Nie skutkowao to jednak zmian treci 19 PBI poprzez wykrelenie
ww. polityki.
W ramach SZBI w M funkcjonuj take inne regulacje wewntrzne stanowice dokumenty
wykonawcze PBI, w tym:
. Zarzdzenie Nr 2 Dyrektora Generalnego Ministerstwa rodowiska z dnia 22 kwietnia 2014 r.
W sprawie ustalenia regulamirnc korzystania z zasobw informatycznych Ministerstwa
rodowiska;
. Notatka do Dyrektor Generalnej M z dnia 30 padziernika 2014 r. w sprawie ustalenia
i monitorowania wskanikw z zakresu bezpieczestwa systemw i usug IT.
W skad Polityki bezpieczestwa teleinformatycznego wchodz nastpujce procedury:
a) Polityka konfiguracji - Baza konfiguracji CMDB wersja 0.1 .3 z dnia 05 marca 2014 r.;
b) Procedura otwierania, modyfikowania oraz zamykania kont w systemach informatycznych M
wersja 4 z dnia 13 maja 2015 r.;
c) Polityka monitorowania parametrw wersja 0.0.2 z dnia 27 maja 2014 r.;
d) Procedura utrzymania dziennikw administratora systemu/bazy oraz administratora sieci AN
wersja 0.0.1 z dnia 27 maja 2014 r.;
e) Procedura bezpieczestwa i utylizacji sprztu elektronicznego wersja O.O. 1 z dnia 27 maja 2014 r.
D Procedura zgaszania zmiany i wykonywania testw wersja 0.1 .3 z dnia 27 maja 2014 r.;g) Procedura stosowania rodkw kryptograficznych wersja 0.1.0 z dnia 27 maja 2014 r.;
h) Procedura okrelania specyfikacji technicznych wymaga odbioru systemw IT wersja O. 1.3
z dnia 27 maja 2014 r.;
i) Procedura zmiany hasa wersja $1 z dnia 14 marca 2012 r.;
j) Procedura wydawania komputerw wersja $1 z dnia 12 marca 2012 r.;k) Procedura wydawania i aktywacji tokena VPN z dnia 05 wrzenia 2013 r.
Strona 10 z 21
SZBI jest monitorowany i poddawany przegldom, w wyniku czego jest doskonalony zgodnie
z 20 ust. 1 rozporzdzenia KU. Zesp do spraw SZBI, zgodnie z notatk subow z dnia
23 grudnia 2014 r. dotyczc funkcjonowania SZBI w M w 2014 roku dokona przegldu: rejestru
ryzyk, rejestru incydentw, wartoci nastpujcych wskanikw: poziomu bezpieczestwa informacji,
liczby pracownikw zapoznanych z PBI, dostpnoci krytycznych systemw informatycznych
(poziom usug) i przegldu logw. Zespl wskaza na konieczne zmiany w PBI. Potwierdzono,
e w M stworzone s warunki aktualizacj i regulacji wewntrznych dotyczcych $ZBI w zakresie
dotyczcym zmieniajcego si otoczenia, zgodnie z 20 ust. 2 pkt 1 rozporzdzenia KRI.
(Dowd: akta kontroli str. 148-301, 367-380)
2.2. Dokonywanie analizy zagroe zwizanych z przetwarzaniem informacji
Wymogiem skutecznoci $ZBI jest przeprowadzanie okresowych analiz ryzyka utraty integralnoci,
dostpnoci lub poufnoci informacji. Na analiz ryzyka skadaj si: identyfikacja, szacownie,
a nastpnie okrelenie sposobu postpowania z ryzykiem oraz deklaracja stosowania zabezpiecze
bdca podstaw podejmowania wszelkich dziaa minimalizujcych ryzyko, stosownie do
przeprowadzonej analizy. Analiza ryzyka pozwala na proaktywne zarzdzanie BI, w tym na
przeciwdziaanie zagroeniom oraz ograniczanie skutkw zmaterializowanych ryzyk. Analiza ryzyka
pozwala na racjonalne zarzdzanie rodkami finansowymi poprzez stosowanie zabezpiecze
adekwatnych do oszacowanego poziomu ryzyka.
W M w okresie objtym kontrol przeprowadzano okresowe analizy ryzyka utraty integralnoci,
poufnoci lub dostpnoci informacji, zgodnie z 20 ust. 2 pkt 3 rozporzdzenia KRI. Regulacj
wewntrzn opisujc sposb zarzdzania ryzykiem jest rozdzia 6 PBI ( 14-16). W M prowadzony
jest rejestr ryzyk, zawierajcy informacje o zidentyfikowanych ryzykach, ich poziomie oraz sposobie
postpowania z ryzykami. Dyrektor Generalny M otrzymuje informacje o ryzykach uznanych
za nieakceptowalne. Sporzdzono m.in. notatk subow z dnia 23 czerwca 2014 r. o sygnaturze
BDG-I-078-16/25 181/2014/AS nt. postpowania z ryzykami na poziomie duym, zidentyfikowanym
W aktywach IT skierowan, i akceptowan przez Dyrektora Generalnego M. Wobec powyszych
ryzyk podjto dziaania wpywajce na zmniejszenie ich poziomu do poziomu akceptowalnego
decyzja o zakupie dodatkowego urzdzenia zabezpieczajcego na styku sieci M z sieci Internet oraz
wniosek o skierowanie na szkolenia informatyczne pracownikw pionu IT.
Badany rejestr ryzyk nie w peni odpowiada potrzebom PBI, gdy zawiera gwnie ryzyka dotyczce
zada planowanych na potrzeby kontroli zarzdczej . Rejestr nie uwzgldnia szeregu istotnych ryzyk
informatycznych zwizanych z ochron BI, np. ryzyka poaru serwerowni, ryzyka wamania do
systemu informatycznego. Rejestr ryzyk jest prowadzony z wykorzystaniem oprogramowania SDPK
e-risk, gdzie ryzyka s rejestrowane i opisywane w bazie danych.(Dowd; akta kontroli str. 250-255, 261-301, 306-320, 367-3 80)
2.3 . Inwentaryzacja sprztu i oprogramowania informatycznego
Zarzdzanie infrastruktur informatyczn wymaga utrzymywania aktualnoci inwentaryzacj i sprztu
i oprogramowania sucego do przetwarzania informacji obejmujcej ich rodzaj i konfiguracj. Baza
Stronail z21
inwentaryzacyjna powinna zawiera wszystkie zidentyfikowane aktywa informatyczne, przez co
moliwe bdzie ich odtworzenie. Baza inwentaryzacyjnajest niezbdna przy wprowadzaniu wszelkich
zmian w rodowisku teleinformatycznym urzdu ograniczajc moliwo zaistnienia zakce
W pracy, ktre wynikayby z bdnych decyzji i podejmowanych dziaa, wynikajcych z braku
aktualnej i kompleksowej wiedzy o stanie infrastruktury teleinformatycznej.
W M prowadzony jest rejestr zasobw informatycznych w postaci informatycznej bazy danych,
co jest zgodne z 20 ust. 2 pkt 2 rozporzdzenia KRI. Rejestr zawiera szczegowe dane
O urzdzeniach technicznych i oprogramowaniu w tym ich rodzaju, parametrach, aktualnej
konfiguracji i uytkowniku. Sposb zarzdzania sprztem informatycznym i oprogramowaniem
zawarty jest w 4 ust. 1 Regulaminu korzystania z zasobw informatycznych M, a sposb
prowadzenia rejestru zasobw informatycznych w procedurze Baza konfiguracji CMDB. Rejestr
zasobw informatycznych uwzgldnia peny okres eksploatacji sprztu, tj. od momentu jego zakupu
do momentu wycofania z eksploatacji (np. zomowanie). Rejestr jest prowadzony z wykorzystaniem
oprogramowania OTRS ITSM. Rejestr jest prowadzony przez pion IT M niezalenie od ksigi
inwentarzowej dla potrzeb rachunkowoci i jest aktualizowany co najmniej raz w miesicu.
Oprogramowanie OTRS wspomaga take rejestracj i obsug zgosze serwisowych.
(Dowd: akta kontroli str. 170-181, 187-201, 274-301, 340, 367-380)
2.4. Zarzdzanie uprawnieniami do pracy w systemach informatycznych
Istotnym elementem polityki BI jest zarzdzanie dostpem do systemw teleinformatycznych
przetwarzajcych informacje. Zarzdzanie dostpem ma zapewni, e osoby zaangaowane w proces
przetwarzania informacji posiadaj stosowne uprawnienia i uczestnicz w tym procesie w stopniu
adekwatnym do realizowanych przez nie zada oraz obowizkw, a w przypadku zmiany zada
nastpuje rwnie zmiana ich uprawnie.
Zgodnie z 20 ust. 2 pkt 4 rozporzdzenia KRI w M opracowano pisemne procedury zarzdzania
uprawnieniami uytkownikw do pracy w systemach informatycznych. Na regulacje w tym zakresie
skadaj si: Regulamin korzystania z zasobw informatycznych w M, Procedura otwierania,
modyfikowania oraz zamykania kont w systemach informatycznych M, Procedura zmiany hasa
Pracownicy M uzyskuj dostp do zasobw informatycznych po podaniu unikalnego oginu i hasa.
Zarzdzanie uprawnieniami do pracy w systemach informatycznych odbywa si z wykorzystaniem
oprogramowania Quest ActiyeRoles, gdzie na bieco odnotowywane s wszelkie zmiany
uprawnie.
Zakres uprawnie uytkownikw badanych systemw uniemoliwia wykonywanie dziaa
zastrzeonych dla administratorw systemw (pracownika sub informatycznych).
W M na bieco odbywa si monitorowanie dostpu do zasobw informatycznych. Regulacja
wewntrzna dotyczca procedur kontrolnych objta jest klauzul zastrzeone.
Konta byych pracownikw w systemach informatycznych M byly w okresie objtym badaniem
sukcesywnie blokowane, zgodnie z 20 ust. 2 pkt 5 rozporzdzenia KRI. Dodatkowa regulacja
Strona 12 z 21
wewntrzna dotyczca blokowania kont byych administratorw sieci i systemw IT w M objta jest
klauzul zastrzeone.
Dokumenty zastrzeone zostay udostpnione kontrolerom w kancelarii tajnej zgodnie
z obowizujcymi procedurami dotyczcymi bezpieczestwa informacji niejawnych.
Centralne zarzdzanie uprawnieniami uytkownikw do pracy w systemach informatycznych
wspomagane jest przez oprogramowanie Quest InTrust. Ponadto, oprogramowanie odnotowje
w bazie danych wszystkie dziaania uytkownikw i administratorw dotyczce systemw M (logi
systemowe).
(Dowd: akta kontroli str. 170-181, 202-207, 231, 273-301, 328-339, 367-380)
2.5. Szkolenia pracownikw zaangaowanych w proces przetwarzania informacji
wiadomo wrd pracownikw urzdu zagroe i konsekwencji zaistnienia incydentw zwizanych
z naruszeniem BI jest istotnym elementem SZBI. Szkolenia z zakresu BI powinny obejmowa
wszystkie osoby uczestniczce w procesie przetwarzania informacji oraz dostarcza aktualnej wiedzy
O nowych zagroeniach, adekwatnych zabezpieczeniach oraz skutkach ewentualnych incydentw
zwizanych z BI.
W M zorganizowano szkolenia osb zaangaowanych w proces przetwarzania informacji z zakresu
bezpieczestwa informacji, zgodnie z 20 ust. 2 pkt 6 rozporzdzenia KRI. Tematyka szkole
dotyczya postpowania z informacj w M w tym ochrony danych osobowych, bezpieczestwa
teleinformatycznego, obowizujcych procedur ustanowionych w PBI, komunikacji w sieci
komputerowej, oraz bezpieczestwa fizycznego. Szkolenia odbyy si z zastosowaniem systemu
e-learningowego (poprzez dostp elektroniczny do opracowanych w M materiaw szkoleniowych).
Potwierdzeniem odbycia szkolenia jest owiadczenie pracownika przechowywane w dziale kadr.
W M ustanowiony zosta wskanik liczby pracownikw zapoznanych z PBI. W notatce subowej
z przegldu SZBI w roku 2014 r. wykazano, e 91% pracownikw M przeszo szkolenie z PBI
i uznano t warto za akceptowaln.
Nie stwierdzono cyklicznoci szkole (dotychczas kady pracownik uczestniczy w nim tylko 1 raz).
(Dowd; akta kontroli str. 256-260, 273-301, 367-3 80)
2.6. Praca na odlego i mobilne przetwarzanie danych
Wobec moliwoci technicznych zwizanych z teleprac (prac poza siedzib urzdu)
z wykorzystaniem urzdze mobilnych takich jak laptopy, tablety, smartfony pojawiaj si nowe
zagroenia BI. Konieczne jest opisanie zasad okrelajcych sposoby zabezpieczenia urzdze
mobilnych i danych w nich zawartych przed kradzie i nieuprawnionym dostpem poza siedzib
jednostki, a take zasady korzystania z oglnodostpnych sieci.
W M okrelono zasady bezpiecznej pracy uytkownikw przy wykorzystaniu urzdze przenonych
i pracy na odlego zgodne z wymogami okrelonymi w 20 ust. 2 pkt 8 rozporzdzenia KRI.
Sposb bezpiecznej pracy zosta opisany w 3 ust. 4 Reguaminu korzystania z zasobw
informatycznych M. Dostp zdalny chronionyjest m.in. poprzez wykorzystanie sprztowego tokena
Strona3 z21
VPN wspomagajcego szyfrowanie transmisji do urzdze mobilnych. Opis wydawania i stosowania
tokena VPN zawiera Procedura wydawania i aktywacji tokena yPN.
(Dowd: aktakontroli str. 170-181, 235-237, 273-301, 367-380)
2.7. Serwis sprztu informatycznego i oprogramowania
W przypadku systemw informatycznych o znaczeniu krytycznym dla urzdu niezbdne jest objcie
tych systemw (w zakresie oprogramowania uytkowego, systemowego, sprztu i rozwiza
telekomunikacyjnych) stosownymi umowami serwisowymi, gwarantujcymi odpowiednio szybkie
uruchomienie pracy systemu w przypadku awarii. Umowy powinny posiada klauzule prawne
zabezpieczajce BI w przypadku wejcia w ich posiadania przez firmy serwisujce.
Systemy informatyczne M bdce przedmiotem badania nie posiadaly czynnych umw
serwisowych10, w zwizku z powyszym nie wystpuje zagroenie BI wynikajce z istnienia takich
umw ( 20 ust. 2 pkt 10 rozporzdzenia KM). Z uzyskanych wyjanie1 wynika, e serwis dla tych
systemw jest wykonywany siami wasnymi pionu informatyki M. W stosunku do obydwu
badanych systemw planowane jest wdroenie ich nowych wersji, co spowoduje objcie systemw
serwisem pogwarancyjnym wykonawcw.
(Dowd: akta kontroli str. 23-32, 273-301, 367-3 80)
2.8. Procedury zgaszania incydentw naruszenia bezpieczestwa informacji
Pomimo stosowania zabezpiecze (wynikajcych z analizy ryzyka) pozwalajcych na ograniczanie
ryzyka zwizanego z przetwarzaniem informacji w urzdzie istnieje ryzyko szcztkowe wiadomie
akceptowane przez kierownictwo. W ramach ryzyka szcztkowego, a take ryzyka nieobjtego analiz
ryzyka mog pojawi si incydenty naruszenia BI. Incydenty te powinny by bezzwoczne zgaszane
w okrelony i z gry ustalony sposb, a take powinien by opisany sposb reakcji na te incydenty
przez wyznaczone osoby w celu szybkiego podjcia dziaa korygujcych.
Zgodnie z 20 ust. 2 pkt 13 rozporzdzenia KRI w M opracowano i wdroono procedury regulujce
zasady postpowania w przypadku wystpienia incydentw naruszenia bezpieczestwa informacji.
Procedura postpowania w przypadku wystpienia incydentw naruszenia bezpieczestwa informacji
zawarta jest w 17 PBI. Incydenty zobowizany jest zgosi kady pracownik M na adres e-mail
incydentmos.goy.pl. Odpowiedni czonek Zespou do spraw SZBI zarzdza dziaaniami majcymi
na celu minimalizacje skutkw incydentu. Incydent jest rejestrowany w rejestrze incydentw a Zesp
ds. SZBI poddaje incydent analizie i okrela dziaania naprawcze. W M ustanowiono wskanik
poziomu bezpieczestw informacji, dla ktrego liczb incydentw powyej 10 na rok uznano za
nieakceptowaln, wymagajc dziaa korygujcych. W Notatce z przegldu SZBI w 2014 roku
przedstawiono rejestr incydentw naruszenia bezpieczestwa informacji zawierajcy 3 incydenty.
W okresie objtym kontrol zarejestrowano 4 incydenty.
(Dowd: akta kontroli str. 154-169, 256-260, 273-301, 305, 367-380)
10 6 spord 1 8 systemw teleinformatycznych M posiada umowy serwisowe.11 Pismo Zastpcy Dyrektora Biura Dyrektora Generalnego M Pana Andrzeja Smoliskiego z dnia 2 lipca 2015 r., sygn. BDG-wrsi-091-1/24643/15/PT.
Strona 14 z 21
2.9. Audyt wewntrzny z zakresu bezpieczestwa informacji
Wymogiem SZBI jest regularne (nie rzadziej ni raz na rok) przeprowadzanie audytw wewntrznych
w zakresie BI w systemach informatycznych, co pozwoli na ewentualne ujawnienie saboci $ZBI
i jego doskonalenie.
W okresie objtym kontrol audyt w zakresie BI w systemach informatycznych przeprowadzono
w grudniu 2014 roku, co byo zgodne z 20 ust. 2 pkt 14 rozporzdzenia KRI. Wyniki audytu zawarte
s w Sprawozdaniu z zadania audytowego: Ocena realizacji dziaa prowadzonych w zakresie
bezpieczestwa informacji - stycze 2015 o sygnaturze ZAW 8/2014. Audyt potwierdzi prawidowe
funkcjonowanie SZBI w M. W opinii audytorw, wyczajc treci zastrzee, zostaa zapewniona
adekwatno, skuteczno i efektywno systemu zarzdzania i kontroli w badanym obszarze.
(Dowd: akta kontroli str. 33-98, 273-301, 367-380)
2. 10. Kopie zapasowe
Jednym z kluczowych sposobw zapobiegania utracie informacji w wyniku awarii jest wykonywanie
kopii zapasowych. Kopie powinny by waciwie tworzone, przechowywane i testowane. Celem
tworzenia kopii zapasowych danych jest moliwo ich odzyskania, tj . przywrcenia do pracy
uytkowej systemu teleinformatycznego wraz z informacjami przechowywanymi przez ten system
np. w bazie danych. Wymg ten mona osign robic regularnie kopie caego rodowiska pracy
danego systemu teleinformatycznego, tj. systemu operacyjnego, jego konfiguracji (w tym konfiguracji
zabezpiecze), systemu informatycznego i informacji w nim przechowywanych oraz regularne
odtwarzanie systemu z kopii na niezalenym rodowisku sprztowym oraz testowaniu pracy
uytkowej systemu.
Kopie zapasowe danych i systemw M s tworzone, przechowywane oraz testowane zgodnie
z pisemnymi procedurami, co wypenia zapis 20 ust. 2 pkt 12 lit. b rozporzdzenia KRI. Regulacja
wewntrzna dotyczca wykonywania i testowania kopii zapasowych objta jest klauzul
zastrzeone. Regulacja ta zostaa udostpniona kontrolerom w kancelarii tajnej zgodnie
z obowizujcymi procedurami dotyczcymi bezpieczestwa informacji niejawnych. Proces
wykonywania kopii zapasowych wspomagany jest przez oprogramowanie Veeam Backup
Enterprise pozwalajce na wykonywanie kopii zapasowych automatycznie oraz pniejsze ich
testowanie wg wczeniej opracowanych procedur.
(Dowd: akta kontroli str. 182-186, 273-301, 367-3 80)
2. 1 1 . Projektowanie. wdraanie i eksploatacja systemw telekomunikacyjnych
Bezpieczestwo systemu teleinformatycznego w duym stopniu zaley od jego budowy. Std
wymagania aby system teleinformatyczny zosta zaprojektowany i zbudowany zgodnie z zasadami BI
opisanymi w obowizujcych normach i standardach przemysowych. Procedury odbioru danego
systemu teleinformatycznego musz zagwarantowa kompleksowe przetestowanie wbudowanych
zabezpiecze pod wzgldem uzyskania zaoonego poziomu BI. Podczas uytkowania systemu
Strona 15 z 21
teleinformatycznego konieczne jest monitorowanie jego pracy m.in. w celu dostrzeenia wszelkich
nieprawidowoci w jego pracy i podejmowania bezporednich dziaa korygujcych.
W M zapewniono warunki dla uzyskania odpowiedniej funkcjonalnoci, niezawodnoci,
uywalnoci, wydajnoci, przenaszalnoci i pielgnowalnoci systemw informatycznych w fazie ich
projektowania, wdraania i eksploatacji, co byo zgodne z 15 ust. 1 rozporzdzenia KRJ. W zakresie
projektowania i wdraania systemw informatycznych obowizuje Procedura okrelania specyfikacji
technicznych i wymaga odbioru systemw IT. Procedura okrela wymagania wobec wdraanego
w M systemu informatycznego takie jak: architektur systemu i sposb licencjonowania
i wykorzystania praw autorskich, zgodno z obowizujcym prawem m.in. ustaw Prawo
telekomunikacyjne i ustaw o informatyzacji podmiotw realizujcych zadania publiczne, sposb
i poziom zabezpiecze, zastosowanie norm i standardw przemysowych, zastosowanie rozwiza
funkcjonalnych odpowiednich dla osignicia zaoonych celw, prezentacji treci dla osb
niepenosprawnych, wydajnoci, poziomu niezawodnoci SLA, mechanizmw kontroli i audytu.
Procedura okrela wymagania dotyczce sposobu dostarczenia i instalacji systemu informatycznego
oraz wymagania sprztowe i rodowiskowe dla systemu. Dla fazy wdraania procedura okrela sposb
I zakres testw oraz dokumentacj i oraz warunki i kryteria odbioru. Wymagania na nowe systemy
informatyczne lub modyfikacje istniejcych formuowane s w M w oparciu o zapisy powyszej
procedury.
W trakcie eksploatacji systemw informatycznych sposb przeprowadzania zmian opisany jest
w dokumencie Procedura zgaszania zmiany i wykonywania testw. Procedura formalizuje proces
zmiany poprzez wprowadzenie formularza zmiany oraz opis procesu jego obsugi, w tym: analizy
zmiany pod ktem wykonalnoci, kosztw, ryzyk, a take okrelenie sposobu wykonania i odbioru
zmiany.
W M realizowany jest proces monitorowania systemw informatycznych i rodowiska ich pracy pod
ktem wydajnoci i pojemnoci, co pozwaa na przewidywanie i zapobieganie ewentualnym
problemom z tym zwizanym poprzez stosowanie dziaa zapobiegawczych2. Proces monitorowania
wspomagany jest przez oprogramowanie Quest Foglight.
(Dowd; akta kontroli str. 216-223, 225-230, 273-301, 341, 367-380)
2. 12. Zabezpieczenia techniczno-organizacyjne dostpu do informacji
W celu uzyskania odpowiedniego poziomu BI przy jednoczesnym zapewnieniu waciwego do nich
dostpu przez uprawnionych uytkownikw stosowanych jest szereg zabezpiecze informatycznych.
Celem zabezpiecze jest uzyskanie ochrony przetwarzanych informacji przed ich kradzie,
nieuprawnionym dostpem, uszkodzeniami lub zakceniami, a take np. kradzie rodkw
przetwarzania informacji. Zastosowane zabezpieczenia powinny by adekwatne do poziomu ryzyka
wynikajcego z analizy ryzyka BI.
12 Projekt zwikszenia przepustowoci cz do M z 40 do 100Mb/s w celu zwikszenia wydajnoci systemw internetowych.
Strona 16 z 21
Zgodnie z 20 ust. 2 pkt 7 i 9 rozporzdzenia KRI w M zapewniono ochron przetwarzanych
informacj i przed ich kradzie, nieuprawnionym dostpem, uszkodzeniami lub zakceniami oraz
ustalono zabezpieczenia informacji w sposb uniemoliwiajcy nieuprawnionemu jej ujawnienie,
modyfikacje usunicie lub zniszczenie poprzez:
a) monitorowanie dostpu do informacji poprzez oprogramowanie Quest InTrust zarzdzajce
centralnie logowaniem do systemw M i odnotowujce w bazie danych wszystkie dziaania
uytkownikw i administratorw dotyczce systemw M oraz monitorowanie ruchu osobowego
wM;
b) czynnoci zmierzajce do wykrycia nieautoryzowanych dziaa zwizanych z przetwarzaniem
informacji poprzez kontrol logw systemw, kontrol wej i wyj do pomieszcze
serwerowni, analiz rejestru zgosze serwisowych, analiz rejestru incydentw naruszenia BI;
c) zapewnienie rodkw uniemoliwiajcych nieautoryzowany dostp na poziomie systemw
operacyjnych usug sieciowych i aplikacji poprzez stosowanie systemu kontroli dostpu do
pomieszcze serwerowni, systemu autoryzacji dostpu do systemw operacyjnych, sieci
i aplikacji, stosowania zabezpiecze kryptograficznych, stosowania systemw antywirusowych
i antyspamowych, stosowanie zapr sieciowych typu firewall;
d) zapewnienie utyizacj i sprztu informatycznego i nonikw danych w sposb gwarantujcy
zachowanie BI.
W M ustalono zasady postpowania z informacjami zapewniajce minimalizacj wystpienia ryzyka
kradziey informacji i rodkw przetwarzania informacji, w tym urzdze mobilnych zgodne
z 20 ust. 2 pkt 1 1 . Zasady postpowania zawarto w Polityce BI w M w zakresie bezpieczestwa
fizycznego.
(Dowd: akta kontroli str. 182-247, 267-301, 367-380)
2. 13 . Zabezpieczenia techniczno-organizacyjne systemw informatycznych
Aby zapewni bezpieczestwo informacji przetwarzanych przez systemy teleinformatyczne niezbdne
jest stosowanie szeregu zabezpiecze techniczno-organizacyjnych dotyczcych rodowiska
teleinformatycznego. Stosowanie zabezpiecze powinno wynika z analizy ryzyka i powstaej w jej
wyniku deklaracji stosowania zabezpiecze.
Zgodnie z 20 ust. 2 pkt 12 rozporzdzenia KM w M zapewniono odpowiedni poziom
bezpieczestwa systemw teleinformatycznych poprzez:
a) aktualizacj oprogramowania oraz redukcji ryzyk wynikajcych z wykorzystywania
opublikowanych podatnoci technicznych systemw teleinformatycznych (poprzez wdraanie
nowych wersji oprogramowania systemowego i uytkowego, poprawek i uzupenie podnoszcych
ich bezpieczestwo, aktualizacj oprogramowania antywirusowego i antyspamowego, aktualizacj
oprogramowania zabezpieczajcego ruch sieciowy);
b) minimalizowanie ryzyka utraty informacji w wyniku awarii oraz ochronie przed bdami, utrat
i nieuprawnion modyfikacj a take zapewnienie bezpieczestwa plikw systemowych (poprzez
Strona 17 z 21
zastosowanie redundantnych rozwiza sprztowych w tym: dwustronnego zasilania, redundancji
klimatyzacji, zastosowanie klastra serwerw wysokiej dostpnoci, redundancji macierzy
dyskowych i urzdze sieciowych, rwnowaenie obcienia (ang. bad balancing), monitorowanie
parametrw rodowiskowych w serwerowni (temperatura, wilgotno, zadymienie, wyciek wody),
zastosowania systemu kopii awaryjnych, systemu kontroli dostpu do zasobw informatycznych,
systemu monitorowania funkcjonowania systemw teleinformatycznych i sieci);
c) zastosowanie mechanizmw kryptograficznych dla urzdze mobilnych i poczty elektronicznej
a take podpisw kwalifikowanych do autoryzacji dokumentw.
(Dowd: akta kontroli str. 182-247, 267-301, 367-380)
2. 14. Rozliczano dziaa w systemach informatycznych
Przetwarzanie informacji w systemach teleinformatycznych wymaga dostpu do danych przez
uprawnione osoby w ustalonym zakresie. Dokumentowaniu w postaci zapisw w dziennikach
systemw (logi) podlegaj wszelkie dziaania zwizane z przetwarzaniem informacji, a take dziaania
administracyjne, co zapewnia rozliczalno tych operacji, tj. informacj kto, kiedy i co wykona
W systemie teleinformatycznym. wiadomo uytkownikw, e adne ich dziaanie nie zostanie
anonimowe podnosi poziom BI. Informacje zawarte w logach powinny by regularnie przegldane
w celu wykrycia dziaa niepodanych i powinny by przechowywane w bezpieczny sposb co
najmniej 2 lata.
W systemach M bdcych przedmiotem kontroli rozliczalno dziaa uytkownikw
i administratorw podlega dokumentowaniu w postaci zapisw w dziennikach systemw (logach),
w tym dziaania zwizane z konfiguracj zabezpiecze, co jest zgodne z 21 ust. 1 i 2 rozporzdzenia
KRI. Regulacj wewntrzn, w ktrej okrelone s zasady prowadzenia logw systemowych jest
Polityka monitorowania parametrw. W 3 okrelony zosta sposb monitorowania sieci
i prowadzenia logw oraz wskazano 12-miesiczny okres retencji logw. Jest to niezgodne
Z 21 ust. 4 rozporzdzenia KRI, ktry okrela 2-letni okres przechowywania logw.
Zapisy dziennikw systemowych s przechowywane w sposb zapewniajcy bezpieczestwo
informacji na zasobach dyskowych M zgodnie z 21 ust. 5 rozporzdzenia KM. Logi s regularnie
przegldane i poddawane analizie. W M ustanowiony zosta wskanik przegldu logw. W notatce
subowej z przegldu SZBI w roku 2014 wskazano, e warto tego wskanika dla badanego okresu
wynosi powyej 0,5, co zgodnie z przyjt metodyk jest wartoci akceptowaln. Prowadzenie
zapisw w dziennikach systemw (logach) wspomagane jest przez oprogramowanie Quest Infrust
zarzdzajce centralnie logowaniem do systemw M i odnotowujce w bazie danych wszystkie
dziaania uytkownikw i administratorw dotyczce systemw M.
(Dowd: akta kontroli str. 182-247, 267-301, 367-380)
Strona 18 z 21
Ustalenia:
1 . Zgodnie z 20 ust. 1 rozporzdzenia KRI opracowano, ustanowiono i wdroono System
Zarzdzania Bezpieczestwem Informacji.
2. W M prowadzony jest rejestr zasobw informatycznych w postaci informatycznej bazy
danych, co jest zgodne z 20 ust. 2 pkt 2 rozporzdzenia KRI.
3 . Zgodnie z 20 ust. 2 pkt 4 rozporzdzenia KRI w M opracowano pisemne procedury
zarzdzania uprawnieniami uytkownikw do pracy w systemach informatycznych.
4. W M okrelono zasady bezpiecznej pracy uytkownikw przy wykorzystaniu urzdze
przenonych i pracy na odlego zgodne z wymogami okrelonymi w 20 ust. 2 pkt 8
rozporzdzenia KRI.
5. Zgodnie z 20 ust. 2 pkt 13 rozporzdzenia KRI w M opracowano i wdroono procedury
regulujce zasady postpowania w przypadku wystpienia incydentw naruszenia
bezpieczestwa informacji.
6. Kopie zapasowe danych i systemw M s tworzone, przechowywane oraz testowane zgodnie
z pisemnymi procedurami co wypenia zapis 20 ust. 2 pkt 12 lit. b rozporzdzenia KRI.
Przechowywane s na macierzach dyskowych w dwu lokalizacjach (jednak w 1 budynku).
7. W M zapewniono warunki dla uzyskania odpowiedniej funkcjonalnoci, niezawodnoci,
uywalnoci, wydajnoci, przenaszalnoci i pielgnowalnoci systemw informatycznych
w fazie ich projektowania wdraania i eksploatacji, co byo zgodne z 15 ust. 1
rozporzdzenia KRI.
8. Zgodnie 20 ust. 2 pkt 7 i 9 rozporzdzenia KRI w M zapewniono ochron przetwarzanych
informacj i przed ich kradzie, nieuprawnionym dostpem, uszkodzeniami lub zakceniami
oraz ustalono zabezpieczenia informacji w sposb uniemoliwiajcy nieuprawnionemu jej
ujawnienie, modyfikacje usunicie lub zniszczenie.
9. Zgodnie z 20 ust. 2 pkt 12 rozporzdzenia KM w M zapewniono odpowiedni poziom
bezpieczestwa systemw teleinformatycznych.
10. W systemach M bdcych przedmiotem kontroli rozliczalno dziaa uytkownikw
i administratorw podlega dokumentowaniu w postaci zapisw w dziennikach systemw
(logach), w tym dziaania zwizane z konfiguracj zabezpiecze co jest zgodne z 2 1 ust. 1i 2 rozporzdzenia KRI. Wskazano jednak 12-miesiczny okres retencji logw, co jest
niezgodne z 21 ust. 4 rozporzdzenia KM, ktry okrela 2-letni okres retencji.
1 1 . Badany rejestr ryzyk nie w peni odpowiada potrzebom PBI, gdy zawiera gwnie ryzyka
dotyczce zada planowanych na potrzeby kontroli zarzdczej.
12. Stwierdzono brak cyklicznoci szkole pracownikw zaangaowanych w proces
przetwarzania informacji.
13 . Systemy informatyczne M bdce przedmiotem badania nie posiaday umw serwisowych,
a serwis dla tych systemw by wykonywany siami wasnymi pionu informatyki M.
Strona 19 z 21
* * *
Po zbadaniu dziaania systemw teleinformatycznych, uywanych do realizacji zada
publicznych oraz realizacji obowizkw wynikajcych z art. 13 ust. 2 zcstawy o informatyzacji
podmiotw realizujcych zadania publiczne, pod wzgldem zgodnoci z minimalnymi wymaganiami
dla systemw teleinformatycznych lub minimalnymi wymaganiami dla rejestrw publicznych
i wymiany informacji wpostaci elektronicznej,
zalecam
1 . Wykona inwentaryzacj usug wiadczonych przez M dla obywateli/podmiotw, nada
priorytety usugom wedug kryterium wanoci, przeprowadzi analiz moliwoci techniczno-
organizacyjnych wdroenia usug w postaci elektronicznej, opracowa plan wdroe e-usug.
2. Przeprowadzenie analizy rejestrw M pod ktem identyfikacji danych, ktre zostay pierwotnie
wprowadzone do innego rejestru publicznego uznanego za referencyjny oraz przeprowadzenie
analizy moliwoci techniczno-organizacyjnych wymiany danych poprzez bezporednie
odwoanie si do danych referencyjnych przez rejestr M inicjujcy wymian.
3. Dostosowa systemy M do wymogw prezentacji zasobw informacyjnych zgodnie ze
standardem WCAG 2.0 okrelonych w 19 rozporzdzenia KM.
4. Doskonali system analizy ryzyka w kierunku bardziej szczegowej identyfikacji aktyww
teleinformatycznych, zwizanych z nimi ryzyk oraz w kierunku opracowania deklaracji
stosowania zabezpiecze dla oszacowanych ryzyk.
5. Przeprowadza analiz ryzyka w przypadku pojawienia si nowych zagroe (jeli potrzeba, to
czciej nijeden raz na rok).
6. Powtarza cyklicznie szkolenia osb zaangaowanych w procesie przetwarzania informacji
w zwizku ze zmieniajcymi si zagroeniami BI i stosowanymi zabezpieczeniami.
7. Obj systemy krytyczne M umowami serwisowymi z okrelonym poziomem SA oraz
gwarantujcych zabezpieczenie BI dla informacji uzyskanych przez wykonawcw w zwizku
z realizacj tych umw.
8. Rozwaenie moliwoci wykonywania okresowo kopii na nonikach przenonych
przechowywanych w innej lokalizacji ni miejsce ich tworzenia, w odlegoci niezbdnej do
uniknicia uszkodze spowodowanych przez katastrof, ktra dotknaby orodek podstawowy
M.
9. Wyduy do 2 lat okres przechowywania logw systemowych.
Majc na uwadze powysze uprzejmie informuj, e zgodnie z art. 46 ust. 3 pkt 3 ustawy
O kontroli w administracji rzdowej oczekuj od Pana Ministra, w terminie 60 dni od daty otrzymania
Strona 20 Z 21
niniejszego wystpienia pokontrolnego, informacji o sposobie wykorzystania wyej wymienionych
uwag i wnioskw; a take o podjtych dziaaniach lub przyczynach niepodjcia dziaa.
Minister AiministTacij
tZ(%J\:J
Z : }USKjwsxiSc1*Lfz St
Wykonano w 2 egz.:Egz. Nr 1 Ministerstwo Srodowiska
ni. Wawelska 52/54, OO-922 WarszawaEgz. Nr 2 ala.Sporzdzi: Zespl kontrolny.
Strona2l z21