Wytyczne dla kontroli dziaania systemw teleinformatycznych

Ministerstwo Cyfryzacji

Wytyczne

dla kontroli dziaania systemw teleinformatycznych

uywanych do realizacji zada publicznych

Zatwierdzam:

Warszawa, dnia15'grudnia 2015 r.

Spis treci

I. WSTP 3

1. Cel dokumentu 3

2. Podstawa prawna kontroli 3

II. SOWNIK TERMINW UYTYCHW DOKUMENCIE 5

III. ZASADY PROWADZENIA KONTROLI 9

1. Cel kontroli 9

2. Tryb kontroli 9

3. Zesp kontrolny 9

4. Obszary kontroli 9

5. Przygotowanie kontroli

6. Techniki kontroli

7. Kryteria kontroli oraz mierniki oceny

8. Znaczenie Polskich Norm 12

IV. TEMATYKA I OBSZARY KONTROLI 14

1. Wymiana informacji w postaci elektronicznej, w tym wsppraca z innymi

systemami/rejestrami informatycznymi i wspomaganie wiadczenia usug drog

elektroniczn 14

1.1. Usugi elektroniczne 14

1.2. Centralne repozytorium wzorw dokumentw elektronicznych 15

1.3. Model usugowy 16

1.4. Wsppraca systemw teleinformatycznych z innymi systemami 16

1.5. Obieg dokumentw w podmiocie publicznym 17

1.6. Formaty danych udostpniane przez systemy teleinformatyczne 18

2. System zarzdzania bezpieczestwem informacji w systemach teleinformatycznych 18

2.1. Dokumenty z zakresu bezpieczestwa informacji 19

2.2. Analiza zagroe zwizanych z przetwarzaniem informacji 21

2.3. Inwentaryzacja sprztu i oprogramowania informatycznego 22

2.4. Zarzdzanie uprawnieniami do pracy w systemach informatycznych 22

2.5. Szkolenia pracownikw zaangaowanych w proces przetwarzania informacji 23

2.6. Praca na odlego i mobilne przetwarzanie danych 24

2.7. Serwis sorztu informatycznego i oprogramowania .. ...... .. ................................... ...... 24

~ I

2.8. Procedury zgaszania incydentw naruszenia B2.9. Audyt wewntrzny z zakresu bezpieczestwa informacji 26

2.1 O. Kopie zapasowe 26

2.11. Projektowanie, wdraanie i eksploatacja systemw teleinformatycznych 27

2.12. Zabezpieczenia techniczno-organizacyjne dostpu do informacji 28

2.13. Zabezpieczenia techniczno-organizacyjne systemw informatycznych 30

2.14. Rozliczalno dziaa w systemach informatycznych 31

3. Zapewnienie dostpnoci informacji zawartych na stronach internetowych urzdw dla

osb niepenosprawnych 32

Strona 2 z 32

I. WSTP

1. Cel dokumentu

Celem wytycznych jest zapewnienie wsparcia dla kontroli, w tym wskazanie jednolitych kryteriw

merytorycznych realizacji obowizku okrelonego w art. 25 ust. I pkt 3 ustawy z dnia 17 lutego

2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne1 (dalej: ustawa

o informatyzacji), dotyczcego przeprowadzania kontroli dziaania systemw

teleinformatycznych, uywanych do realizacji zada publicznych albo realizacji obowizkw

wynikajcych z art. 13 ust. 2 ustawy o informatyzacji. Stosowanie jednolitych kryteriw

merytorycznych pozwoli na porwnywanie wynikw kontroli pomidzy podmiotami publicznymi,

a take na ocen stopnia speniania wymaga w funkcji czasu dla danego podmiotu.

Wytyczne nie stanowi powszechnie obowizujcego prawa, dlatego ich stosowanie nie jest

obligatoryjne. Majc jednak na uwadze specjalistyczny charakter kontroli prowadzonych

na podstawie art. 25 ust. 1 pkt 3 ustawy o informatyzacji, mog by wsparciem podczas ich

realizacji.

Dokument zosta opracowany w oparciu o stan prawny na dzie 4 listopada 2015 r. W wytycznych

uwzgldniono ustaw o informatyzacji, rozporzdzenie Rady Ministrw z dnia 12 kwietnia 2012 r.

w sprawie Krajowych Ram Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych

i wymiany informacji w postaci elektronicznej oraz minimalnych wymaga dla systemw

teleinformatycznych2, ustaw z dnia 15 lipca 2011 r. o kontroli w administracji rzdowe/ (dalej:

ustawa o kontroli) oraz Standardy kontroli w administracji rzdowej.

2. Podstawa prawna kontroli

Na podstawie art. 25 ust. 1 pkt 3 ustawy o informatyzacji kontroli dziaania systemw

teleinformatycznych, uywanych do realizacji zada publicznych albo realizacji obowizkw

wynikajcych z art. 13 ust. 2, pod wzgldem zgodnoci z minimalnymi wymaganiami dla

systemw teleinformatycznych lub minimalnymi wymaganiami dla rejestrw publicznych

i wymiany informacji w postaci elektronicznej dokonuje:

a) w jednostkach samorzdu terytorialnego i ich zwizkach oraz w tworzonych lub

prowadzonych przez te jednostki samorzdowych osobach prawnych i innych

samorzdowych jednostkach organizacyjnych - waciwy wojewoda,

1 Dz. U. z 2014 r., poz. 1114. 2 Dz. U. z 2012 r., poz. 526, z pn. zm. 3 Dz. U. Nr 185, poz. 1092.

Strona 3 z 32

b) w podmiotach publicznych podlegych lub nadzorowanych przez organy administracji

rzdowej - organ administracji rzdowej nadzorujcy dany podmiot publiczny,

c) w podmiotach publicznych niewymienionych w lit. a i b - minister waciwy do spraw

informatyzacji.

Wymagania zostay okrelone w rozporzdzeniu Rady Ministrw w sprawie Krajowych Ram

Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych i wymiany informacji

w postaci elektronicznej oraz minimalnych wymaga dla systemw teleinformatycznych.

Strona4 z 32

Il. SOWNIK TERMINW UYTYCHW DOKUMENCIE

1. ABI - administrator bezpieczestwa informacji, osoba nadzorujca przestrzeganie stosowania

rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych

osobowych zgodnie z ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych4;

2. aktywa -wszystko, co ma warto dla organizacji;

3. aktywa informatyczne - oprogramowanie, dane, sprzt, dokumentacja, zasoby administracyjne

fizyczne, komunikacyjne lub ludzkie zwizane z dziaalnoci informatyczn;

4. BIP - Biuletyn Informacji Publicznej;

5. BI - bezpieczestwo informacji, zachowanie poufnoci, integralnoci i dostpnoci informacji

oraz inne wasnoci takie jak autentyczno, rozliczalno, niezaprzeczalno, niezawodno;

6. baza konfiguracji CMDB - baza danych zarzdzania konfiguracj (Configuration Management

DataBase), centralny rejestr zasobw informatycznych ich konfiguracji i relacji pomidzy

elementami konfiguracji;

7. CERT.GOV.PL - (Computer Emergency Response Team) - Rzdowy Zesp Reagowania na

Incydenty Komputerowe penicy rol gwnego zespou CERT w obszarze administracji

rzdowej i obszarze cywilnym;

8. cykl Deminga PDCA- schemat dziaa w celu cigego ulepszania (doskonalenia) skadajcy si

z czterech faz: ZAPLANUJ (ang. Plan): Zaplanuj lepszy sposb dziaania, lepsz metod,

WYKONAJ, ZRB (ang. Do): Zrealizuj plan na prb, SPRAWD (ang. Check): Zbadaj, czy

rzeczywicie nowy sposb dziaania przynosi lepsze rezultaty, POPRAW (ang. Act): Jeli nowy

sposb dziaania przynosi lepsze rezultaty, uznaj go za norm (obowizujc procedur),

zestandaryzuj i monitoruj jego stosowanie;

9. CRWDE - centralne repozytorium wzorw dokumentw elektronicznych, udostpnione

publicznie na platformie ePUAP, miejsce publikacji wzorw dokumentw elektronicznych

wykorzystywanych do realizacji usug elektronicznych podmiotw publicznych;

1O. dostpno - waciwo bycia dostpnym i moliwym do wykorzystania na danie przez

upowanione osoby lub procesy;

11. ePUAP - system teleinformatyczny, w ktrym instytucje publiczne udostpniaj usugi przez

pojedynczy punkt dostpowy w sieci Internet;

12. ESP - elektroniczna skrzynka podawcza (np. udostpniona na platformie ePUAP), publicznie

dostpny rodek komunikacji elektronicznej sucy do przekazywania dokumentw

elektronicznych przy wykorzystaniu powszechnie dostpnej sieci teleinformatycznej;

13. funkcjonalno - zdolno do zapewnienia realizacji funkcji zaspakajajcych wyznaczone

i zakadane potrzeby, podczas uywania w okrelonych warunkach;

4 Dz. U. 2014 poz. 1182

Strona 5 z 32

14. format plikw PDF - format plikw sucy do prezentacji, przenoszenia i drukowania treci

tekstowo-graficznych; format PDF powsta jako format wynikowy, majcy zachowa peny

wygld dokumentu po wydrukowaniu;

15. format pliku XML - format dokumentw elektronicznych opisanych w uniwersalnym jzyku

XML (Extensible Markup Language) sucym do opisywania informacji (danych) w sposb

strukturalny;

16. incydent naruszenia BI - pojedyncze zdarzenie lub seria niepodanych lub niespodziewanych

zdarze zwizanych z BI, ktre stwarzaj znaczne prawdopodobiestwo zakcenia dziaa

biznesowych i zagraaj BI;

17. integralno - waciwo polegajca na zapewnieniu danym niezmiennoci, braku dodania

innych danych lub usunicia w nieautoryzowany sposb;

18. interoperacyjno - zdolno rnych podmiotw oraz uywanych przez me systemw

teleinformatycznych i rejestrw publicznych do wspdziaania na rzecz osignicia wzajemnie

korzystnych i uzgodnionych celw, z uwzgldnieniem wspdzielenia informacji i wiedzy przez

wspierane przez nie procesy biznesowe realizowane za pomoc wymiany danych

za porednictwem wykorzystywanych przez te podmioty systemw teleinformatycznych.

Osiganie interoperacyjnoci nastpuje poprzez cige doskonalenie w zakresie wspdziaania

systemw teleinformatycznych;

19. KRI - Krajowe Ramy Interoperacyjnoci, oglny zbir zasad i sposobw postpowania

podmiotw w celu zapewnienia wspdziaania systemw teleinformatycznych, rozumiany jako

zdolno tych systemw oraz wspieranych przez nie procesw do wymiany danych oraz

do dzielenia si informacjami i wiedz;

20. model usugowy - model architektury systemu teleinformatycznego, w ktrym dla uytkownikw

(klientw/odbiorcw) zdefiniowano stanowice odrbn cao funkcje systemu

teleinformatycznego (np. usugi sieciowe) oraz opisano sposb korzystania z tych funkcji;

21. niezawodno - waciwo polegajca na zapewnieniu zdolnoci do wykonywania wymaganych

funkcji w okrelonych warunkach przez okrelony czas lub dla okrelonej liczby operacji;

22. plan cigoci dziaania (BCP) - plan wznawiania dziaania w obszarze kluczowych procesw,

w przypadku wystpienia katastrofy (Business Continuity Plan). Dotyczy zdarze o niskim

prawdopodobiestwie wystpienia, ale o katastrofalnych skutkach np.: poar, powd, katastrofa

budowlana, skaenie chemiczne, sabota, terroryzm itp., ktrych czasu wystpienia nie mona

przewidzie;

23. podatno- sabo aktyww, ktra moe by wykorzystana przez zagroenia;

24. podmiot publiczny - podmiot, realizujcy zadania publiczne okrelone w odrbnych ustawach,

wskazany w art. 2 ust. 1 ustawy o informatyzacji;

Strona 6 z 32

25. polityka bezpieczestwa informacji (PBI) - zestaw praw, regu i praktycznych dowiadcze,

regulujcych sposb zarzdzania, ochrony i dystrybucji informacji wewntrz okrelonej

organizacji;

26. poufno - waciwo polegajca na zapewnieniu, e informacja jest udostpniana lub ujawniona

tylko osobom lub procesom do tego upowanionym;

27. prawdopodobiestwo zwizane z BI - stopie pewnoci, e zdarzenie bdce incydentem

naruszenia BI wystpi;

28. przenaszalno - waciwo polegajca na zapewmenm atwoci z jak system moe by

przeniesiony z jednego rodowiska sprztowego lub programowego do innego rodowiska;

29. pielgnowalno - waciwo polegajca na zapewnieniu atwoci z jak system moe by

modyfikowany w celu naprawy defektw, dostosowania do nowych wymaga, uatwienia

przyszego utrzymania lub dostosowania do zmian zachodzcych w jego rodowisku;

30. RI - Repozytorium Interoperacyjnoci - udostpnione publicznie na platformie ePUAP miejsce

przeznaczone do udostpniania informacji sucych osiganiu interoperacyjnoci, zawierajce

midzy innymi opisy uzgodnionych struktur danych, opisy przesyanych informacji pomidzy

wszystkimi podmiotami uczestniczcymi w wymianie informacji drog elektroniczn;

31. rozporzdzenie ePUAP - rozporzdzenie Ministra Administracji i Cyfryzacji z dnia 6 maja

2014 r. w sprawie zakresu i warunkw korzystania z elektronicznej platformy usug administracji

publiczne/;

32. rozporzdzenie KRI - rozporzdzenie Rady Ministrw z dnia 12 kwietnia 2012 r. w sprawie

Krajowych Ram Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych i wymiany

informacji w postaci elektronicznej oraz minimalnych wymaga dla systemw

teleinformatycznych;

33. rozliczalno - waciwo systemu pozwalajca przypisa okrelone dziaanie w systemie

do osoby fizycznej lub procesu oraz umiejscowi je w czasie;

34. ryzyko zwizane z BI - potencjalna sytuacja, w ktrej okrelone zagroenie wykorzysta

podatno aktyww lub grupy aktyww powodujc w ten sposb szkod dla organizacji. Ryzyko

mierzone jest jako kombinacja prawdopodobiestwa zdarzenia i jego nastpstw;

35. SLA - umowa o gwarantowanym poziomie wiadczenia usug utrzymania i systematycznego

poprawiania ustalonego midzy klientem a usugodawc poziomu jakoci usug;

36. skutek- rezultat niepodanego zdarzenia, incydentu naruszenia BI;

37. system zarzdzania- system do ustanawiania polityki i celw oraz osigania tych celw;

38. system zarzdzania bezpieczestwem informacji (SZBI) - cze caociowego systemu

zarzdzania, oparta na podejciu wynikajcym z ryzyka biznesowego, odnoszca si

do ustanawiania, wdraania, eksploatacji, monitorowania, utrzymywania i doskonalenia BI;

5 Dz. U. z 2014 r., poz. 584.

Strona 7 z 32

39. usuga elektroniczna - usuga wiadczona bez jednoczesnej obecnoci stron (na odlego),

poprzez przekaz danych na indywidualne danie usugobiorcy, przesyanej i otrzymywanej za

pomoc urzdze do elektronicznego przetwarzania i przechowywania danych (na podstawie art. 2

pkt 4 ustawy z dnia 18 lipca 2002 r. o wiadczeniu usug drog elektroniczn6);

40. ustawa o informatyzacji - ustawa z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci

podmiotw realizujcych zadania publiczne;

41 . uywalno - waciwo systemu bycia uywanym, zrozumiaym, atwym w nauce

i atrakcyjnym dla uytkownika, gdy system jest uywany w okrelonych warunkach;

42. wspdzielenie informacji - wsplne uytkowanie tych samych zasobw informacyjnych przez

rne osoby, podmioty lub procesy;

43. zagroenie BI - potencjalna przyczyna zdarzenia, incydentu naruszenia BI, ktrego skutkiem

moe by szkoda (strata) dla organizacji;

44. wydajno - stopie, w jaki system realizuje swoje wyznaczone funkcje w zaoonych ramach

czasu przetwarzania.

6 Dz. U. z 2013 r., poz. 1422.

Strona 8 z 32

III. ZASADY PROWADZENIA KONTROLI

1. Cel kontroli

Celem kontroli jest dokonanie oceny dziaania systemw teleinformatycznych pod wzgldem

zgodnoci z minimalnymi wymaganiami dla systemw teleinformatycznych lub rejestrw

publicznych i wymiany informacji w postaci elektronicznej oraz przestrzegania wymaga

zawartych w Krajowych Ramach Interoperacyjnoci.

2. Tryb kontroli

Kontrola powinna by przeprowadzona w trybie okrelonym ustaw o kontroli oraz zgodnie

ze Standardami kontroli w administracji rzdowej.

3. Zespl kontrolny

Zgodnie z art. 28 ust. 1 pkt 5 oraz ust. 3 ustawy o informatyzacji, kontroler zobowizany jest

posiada okrelon wiedz i umiejtnoci potwierdzone certyfikatami7.

Majc na uwadze konieczno zapewnienia wysokiej jakoci kontroli oraz specjalistyczn

wiedz niezbdn do przeprowadzenia kontroli, zaleca si powoanie zespou kontrolnego.

Dobr praktyk moe by zesp kontrolny zoony z pracownika pionu kontroli oraz

pracownika posiadajcego wiedz i dowiadczenie w zakresie szeroko rozumianego

bezpieczestwa informacji (np. pracownika pionu IT).

W razie koniecznoci zbadania okrelonych zagadnie wymagajcych szczegowych

umiejtnoci lub wiedzy specjalistycznej nie wyklucza si, zgodnie z art. 33 ustawy o kontroli,

powoania biegego.

4. Obszary kontroli

Kontrola powinna obj nastpujce gwne obszary:

1. Wymian informacji w postaci elektronicznej, w tym wspprac z innymi

systemami/rejestrami informatycznymi i wspomagania wiadczenia usug drog

elektroniczn.

2. Zarzdzania bezpieczestwem informacji w systemach teleinformatycznych.

3. Zapewnienia dostpnoci informacji zawartych na stronach internetowych urzdw

dla osb niepenosprawnych.

Obszary kontroli szczegowo opisane s w rozdziale IV.

7 Wykaz certyfikatw okrelony zosta w rozporzdzeniu Ministra Spraw Wewntrznych i Administracji z dnia 10 wrzenia 2010 r. w sprawie wykazu certyfikatw uprawniajcych do prowadzenia kontroli projektw informatycznych i systemw teleinformatycznych-Dz. U. Nr 177, poz. 1195.

Strona 9 z 32

5. Przygotowanie kontroli

W celu przygotowania kontroli zaleca si8 pozyskanie:

Dokumentw ustanawiajcych SZBI - polityki, instrukcje, procedury;

Dokumentacji analizy ryzyka zwizanego z BI;

Dokumentacji przegldw SZBI;

Dokumentacji audytw wewntrznych SZBI.

Dokumentacji systemu zarzdzania jakoci usug wiadczonych przez system

teleinformatyczny.

Ponadto od kierownika jednostki kontrolowanej naley uzyska informacje za pomoc:

Ankiety - wg zaczonego wzoru nr 1;

Zestawiania - systemw teleinformatycznych uywanych do realizacji zada

publicznych wg zaczonego wzoru nr 2.

Analiza zebranej dokumentacji pozwoli na wstpn ocen stopnia os1gmc1a

interoperacyjnoci oraz poziomu BI uzyskanego przez podmiot, a take umoliwi dokonanie

wyboru systemw teleinformatycznych, ktre zostan poddane kontroli. Wybr powinien

mie charakter celowy, np. system o znaczeniu krytycznym dla podmiotu i/lub system

przetwarzajcy dane rejestru pastwowego.

6. Techniki kontroli

Zaleca si przeprowadzanie kontroli stosujc dwie nastpujce techniki:

Zza biurka- analiza zebranej dokumentacji i informacji z ankiety i wykazu;

Na miejscu - kontrola wspomagana list kontroln, w tym m.in. potwierdzenie informacji

z ankiety.

7. Kryteria kontroli oraz mierniki oceny

Kryterium oceny kontrolowanej dziaalnoci jest legalno, tj. zgodno z prawem

powszechnie obowizujcym oraz regulacjami wewntrznymi dotyczcymi SZBI. Ocenie

podlegaj niezalenie 3 gwne obszary kontroli, tj. interoperacyjno, bezpieczestwo

informacji oraz dostosowanie dla osb niepenosprawnych. Przyjto 4-stopnion skal ocen:

ocen pozytywn otrzyma jednostka kontrolowana, gdy w 3 obszarach kontroli uzyska

czstkowe oceny pozytywne;

ocen pozytywn z uchybieniami otrzyma jednostka kontrolowana, ktra uzyska cho

jedn czstkow ocen pozytywn z uchybieniami;

8 Np. w trybie art. 15 ustawy o kontroli.

Strona 1 O z 32

ocen pozytywn z nieprawidowociami otrzyma jednostka kontrolowana, gdy

uzyska cho jedn czstkow ocen pozytywn z nieprawidowociami;

ocena negatywna zostanie przyznana wtedy, gdy bdzie przewaga negatywnych ocen

czstkowych.

Ocena negatywna w obszarze nr 1 (interoperacyjno) moe zosta przyznana

w szczeglnoci, gdy:

nie udostpniono elektronicznej skrzynki podawczej me zapewniono JeJ obsugi

(art. 16 ust. la ustawy o informatyzacji; pkt 1.1 tematyki kontroli);

nie zarzdza si usugami realizowanymi przez systemy teleinformatyczne na

deklarowanym poziomie dostpnoci usug i w oparciu o udokumentowane procedury

( 15 ust. 2 rozporzdzenia; pkt 1.3 tematyki kontroli);

nie zapewniono aby interoperacyjno na poziomie semantycznym osignita zostaa

przez stosowanie w rejestrach prowadzonych przez podmioty odwoa do rejestrw

zawierajcych dane referencyjne w zakresie niezbdnym do realizacji zada

( 5 ust. 3 rozporzdzenia; pkt 1.4 tematyki kontroli).

Ocena negatywna w obszarze nr 2 (bezpieczestwo informacji) moe zosta przyznana

w szczeglnoci, gdy:

me opracowano, me ustanowiono me wdroono Systemu Zarzdzania

Bezpieczestwem Informacji (SZBI) ( 20 ust. 1 rozporzdzenia; pkt 2.1.1 tematyki

kontroli);

nie zostaa opracowana i wdroona Polityka Bezpieczestwa Informacji (Polityka BI)

( 20 ust. 1 , ust. 2 pkt 12h rozporzdzenia; pkt 2.1.1 tematyki kontroli);

nie jest przeprowadzana okresowa analiza ryzyka utraty integralnoci, dostpnoci lub

poufnoci informacji oraz nie s podejmowane dziaania minimalizujce to ryzyko,

stosownie do wynikw przeprowadzonej analizy ( 20 ust. 2 pkt 3 rozporzdzenia;

pkt 2.2 tematyki kontroli);

nie jest przeprowadzany audyt wewntrzny w zakresie BI co najmniej raz w roku

( 20 ust. 2 pkt 14 rozporzdzenia; pkt 2.9 tematyki kontroli);

nie zarzdza si dostpem do systemw teleinformatycznych w sposb zapewniajcy,

e osoby zaangaowane w proces przetwarzania informacji uczestnicz w tym

procesie w stopniu adekwatnym do realizowanych przez nie zada oraz obowizkw

majcych na celu zapewnienie bezpieczestwa informacji ( 20 ust. 2 pkt 4

rozporzdzenia; pkt 2.4 tematyki kontroli);

nie zapewniono szkolenia osb zaangaowanych w proces przetwarzania informacji,

ze szczeglnym uwzgldnieniem okrelonych w zarzdzeniu zagadnie ( 20 ust. 2

pkt 6 rozporzdzenia; pkt 2.5 tematyki kontroli);

nie zapewniono aby incydenty naruszenia bezpieczestwa informacji byy

bezzwocznie zgaszane w okrelony i z gry ustalony sposb, umoliwiajcy szybkie

Strona I I z 32

podjcie dziaa korygujcych ( 20 ust. 2 pkt 13 rozporzdzenia; pkt 2.8 tematyki

kontroli);

nie zabezpieczono informacji w sposb uniemoliwiajcy nieuprawnionemu ich

ujawnienie, modyfikacje, usunicie lub zniszczenie ( 20 ust. 2 pkt 9 rozporzdzenia;

pkt 2.12 tematyki kontroli);

nie zapewniono aby w dziennikach systemw zostay odnotowane obligatoryjnie

dziaania uytkownikw lub obiektw systemowych ( 21 rozporzdzenia; pkt 2.12

tematyki kontroli).

Ocena negatywna w obszarze nr 3 ( dostosowanie dla osb niepenosprawnych) moe zosta

przyznana w szczeglnoci, gdy:

nie zapewniono spenienia przez system wymaga Web Content Accessibility

Guidelines (WCAG 2.0), z uwzgldnieniem poziomu AA, okrelonych w zaczniku

nr 4 do rozporzdzenia( 19 rozporzdzenia; pkt 3 tematyki kontroli).

Ocena w obszarach 1 i 2 powinna by uzupeniona odpowiednio opisem poziomu/stopnia

uzyskania interoperacyjnoci oraz opisem wzgldnego poziomu zapewnienia BI, a take

opisem stopnia osignicia przez jednostk podejcia systemowego do BI. Poziomem

odniesienia dla danego systemu s wyniki analizy ryzyka uwzgldniajcej takie czynniki jak

m.m. skala zakres stosowania danego systemu teleinformatycznego, wano

przetwarzanych w mm danych i ktre maj bezporednie odzwierciedlenie w planie

postpowania z ryzykiem. Oznacza to, e pozytywn ocen BI . moe uzyska system

posiadajcy mao zabezpiecze, jeli taka ich ilo (i jako) wynika z rzetelnie

przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzajcy dane

powszechnie dostpne). Jednoczenie ocen negatywn moe uzyska system posiadajcy

znaczn liczb zabezpiecze, w przypadku gdy rodzaj zabezpiecze (w tym ich ilo i jako)

zosta zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonan analiz

ryzyka i powstay w jej wyniku plan postpowania z ryzykiem. W takiej sytuacji jednostka nie

zarzdza waciwie ryzykiem bezpieczestwa BI, gdy system jednostki dla pewnych ryzyk

moe posiada nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych

cakowity ich brak. Ocena podejcia systemowego do BI sprowadza si do zaobserwowania

i potwierdzenia dowodami, e SZBI istnieje w praktyce i posiada cechy cigego ulepszania

(doskonalenia), co zostao szczegowo opisane w pkt 2 tematyki kontroli.

We wszystkich pozostaych przypadkach kontrolerzy proponuj ocen w oparem

o profesjonalny osd.

8. Znaczenie Polskich Norm

Odnoszc si do przywoywania Polskich Norm w akcie prawnym rangi rozporzdzenia oraz

ich charakteru, naley zaznaczy, e rozporzdzenie Rady Ministrw w sprawie Krajowych

Ram Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych i wymiany

Strona 12 z 32

informacji w postaci elektronicznej oraz minimalnych wymaga dla systemw

teleinformatycznych nie nakada obowizku stosowania norm wskazanych w 15 oraz 20.

Tre ujta w 15 ust. 3 oraz 20 ust. 3 rozporzdzenia stanowi domniemanie prawne,

w myl ktrego wymogi wskazane odpowiednio w 15 ust. 1 i ust. 2 oraz 20 ust. 1 i ust. 2

uznaje si za spenione w przypadku zastosowania rozwiza przewidzianych przez Polskie

Normy. Niemniej jednak naley podkreli, e cel okrelony odpowiednio w 15 ust. 1

i ust. 2, czy te cel okrelony w 20 ust. 1 i ust. 2 moe by osignity bez odnoszenia si

do Polskich Norm oraz z wyczeniem rozwiza w nich zawartych (lub przy zastosowaniu

tylko dowolnej czci przyjtych rozwiza), a tym samym nie mona wymaga od jednostki

kontrolowanej obligatoryjnego stosowania Norm Polskich.

Powysze nie pozwala uzna Polskich Norm, jako dokumentw obligatoryjnie stosowanych

przez jednostki kontrolowane. Stanowi one jedynie wskazwk, co do sposobu, w jaki

kontrolowane jednostki mog osign wymagania stawiane przez ustawodawc

w rozporzdzeniu w sprawie Krajowych Ram Interoperacyjnoci. Normy mog by stosowane

fakultatywnie w dowolnym zakresie.

Strona 13 z 32

IV. TEMATYKA I OBSZARY KONTROLI

1. Wymiana informacji w postaci elektronicznej, w tym wsppraca z innymi

systemami/rejestrami informatycznymi i wspomaganie wiadczenia usug

drog elektroniczn

Przepisy dotyczce interoperacyjnoci maJ na celu stworzenie warunkw do wspdzielenia

informacji przetwarzanej w systemach informatycznych i/lub w rejestrach publicznych jednostek

realizujcych zadania publiczne dla zapewnienia szybkiej wymiany informacji zarwno wewntrz

urzdu jak i z innymi urzdami administracji publicznej. Wdroenie tych przepisw powinno

przyczyni si do usprawnienia realizacji zada urzdw, w tym zaatwiania spraw obywateli

i przedsibiorcw, ktre bd mogy by zaatwiane na odlego, sprawniej i w krtszym czasie, bez

dania informacji bdcych ju w posiadaniu urzdw, zgodnie z art. 220 ustawy z dnia 14 czerwca

1960 r. Kodeks postpowania administracyjnego9. Osiganie interoperacyjnoci jest procesem

cigym, wymagajcym przeprowadzania analizy aktualnego stanu i podejmowania decyzji,

co do dziaa zmierzajcych do poszerzania jej zakresu. Kontrola powinna po pierwsze: okreli

i oceni aktualny stan interoperacyjnoci urzdu, po drugie: oceni skuteczno procesu osigania

interoperacyjnoci w obszarach, w ktrych nie jest ona w peni osignita.

Szczegowe obszary kontroli interoperacyjnoci opisane s poniej.

1.1. Usugi elektroniczne

Jednym z podstawowych celw dziaania jednostki jest realizacja okrelonych usug wobec obywateli

i innych podmiotw w sposb szybki i sprawny oraz maksymalnie przyjazny dla obywatela/podmiotu.

Realizacj praktyczn ww. postulatw mona uzyska poprzez udostpnienie usug elektronicznych

dostpnych przez sie Internet. U sugi udostpnione drog elektroniczn pozwol na zaatwianie

spraw urzdowych bezporednio z domu lub siedziby firmy zainteresowanych osb lub podmiotw

a take z dowolnego innego miejsca, w ktrym obywatel/podmiot ma dostp do sieci Internet. Usugi

elektroniczne powinny by wiadczone wg jednolitych, standardowych procedur, jasno

komunikowanych obywatelowi/podmiotowi. Celem stosowania usug elektronicznych jest uatwienie

w dostpie do usug poprzez wyeliminowanie korespondencji papierowej obywatela/podmiotu

z urzdem, zastpienie drukw i formularzy papierowych ich odpowiednikami elektronicznymi

dostpnymi do wypenienia na platformie usug elektronicznych urzdu, a take wyeliminowanie

papierowych dokumentw kierowanych do obywatela/podmiotu i zastpienie ich odpowiednikami

elektronicznymi przesyanymi na adres elektroniczny.

9 Dz. U. z 2013 r., poz. 267 z pn. zm.

Strona 14 z 32

Kontroli podlegaj:

wiadczenie usug w formie elektronicznej z wykorzystaniem ESP, w tym udostpnionej

na platformie ePUAP, zgodnie z art. 16 ust. la ustawy o informatyzacii;

Zamieszczenie na gwnej stronie internetowej podmiotu publicznego (i/lub na stronie BIP),

odesania do opisw usug, ktre zawieraj wymagane informacje dotyczce m.in. aktualnej

podstawy prawnej wiadczonych usug, nazwy usug, miejsca wiadczenia usug (zoenia

dokumentw), terminu skadania i zaatwiania spraw oraz nazwy komrek odpowiedzialnych

za zaatwienie spraw, zgodnie z 5 ust. 2 pkt 1 i 4 rozporzdzenia KRI.

Dowodami z kontroli s: Dokumentacja usug elektronicznych podmiotu publicznego, w tym: lista

usug wiadczonych w formie elektronicznej, dokumentacja (wydruki) stron internetowych, itp.

1.2. Centralne repozytorium wzorw dokumentw elektronicznych

W celu ujednolicenia w skali kraju procedur usug wiadczonych przez urzdy drog elektroniczn,

w tym ujednolicenia wzorw dokumentw elektronicznych w CRWDE przechowywane s wzory

dokumentw, jakie zostay ju opracowane i s uywane. W przypadku uruchamiania przez dany

podmiot publiczny usugi elektronicznej, ktra funkcjonuje ju na koncie innego podmiotu, dany

podmiot publiczny powinien skorzysta z procedury obsugi tej usugi oraz zastosowa wzory

dokumentw elektronicznych dotyczce tej procedury znajdujce si w CRWDE (nie dotyczy

to sytuacji gdy usuga jest usug centraln tzn. jest udostpniania przez jeden podmiot np. waciwego

ministra ale suy do wiadczenia usug przez inne podmioty ni udostpniajcy np. wszystkie gminy).

W przypadku uruchamiania usugi, dla ktrej nie ma wzorw dokumentw w CRWDE, podmiot

publiczny jest zobowizany przekaza do CRWDE procedur obsugi usugi i wzory dokumentw

elektronicznych z ni zwizanych.

Kontroli podlegaj:

Wykorzystanie przez kontrolowany podmiot publiczny wzorw dokumentw elektronicznych

przechowywanych w CRWDE, jakie zostay ju wczeniej opracowane i s uywane przez

inny podmiot publiczny;

Przekazanie do CRWDE oraz udostpnienie w BIP wzorw dokumentw elektronicznych

podmiotu publicznego, zgodnie z art. 19b ust. 3 ustawy o informatyzacii.

Dowodami z kontroli s: Dokumentacja zwizana z wykorzystaniem przez podmiot publiczny

wzorw dokumentw elektronicznych przechowywanych w CRWDE, wnioski przekazania wzorw

dokumentw elektronicznych do CRWDE.

Strona 15 z 32

1.3. Model usugowy

Model usugowy zosta zdefiniowany w 2 pkt 8 rozporzdzenia KRI. To model, w ktrym dla

uytkownikw zdefiniowano stanowice odrbn cao funkcje systemu teleinformatycznego (usugi

sieciowe) oraz opisano sposb korzystania z tych funkcji (inaczej: system zorientowany na usugi).

Zarzdzanie usugami elektronicznymi w oparciu o model usugowy wymaga posiadania i stosowania

wewntrznych procedur obsugi usug oraz dostarczania ich na zadeklarowanym poziomie, co oznacza

w szczeglnoci moliwo zidentyfikowania waciciela merytorycznego usugi (komrka

organizacyjna podmiotu publicznego), moliwo ustalenia odpowiedzialnoci za utrzymanie usugi

od strony technicznej, okrelenie poziomu wiadczenia usug poprzez okrelenie wskanikw

dostpnoci (np. maksymalny czas niedostpnoci w danym okresie), monitorowanie poziomu

wiadczenia usug na zadeklarowanym poziomie, kontroli wskanikw dostpnoci i reagowania na

ich przekroczenie.

Kontroli podlegaj:

Poziom wspierania modelu usugowego w procesie wiadczenia usug elektronicznych przez

systemy teleinformatyczne podmiotu publicznego, zgodnie z 15 ust. 2 rozporzdzenia KRI;

Weryfikacja sposobu zarzdzania usugami w oparciu o ustalone procedury w tym moliwo

zidentyfikowania waciciela merytorycznego usug (komrka organizacyjna podmiotu

publicznego), ustalenie odpowiedzialnoci za utrzymanie usug od strony technicznej,

okrelenie poziomu wiadczenia usug, monitorowanie poziomu wiadczenia usug

na zadeklarowanym poziomie.

Dowodami z kontroli s: Dokumentacja usug elektronicznych wiadczonych przez podmiot

publiczny, w tym: lista usug elektronicznych, procedury obsugi i monitoringu usug, dokumentacja

wykonywania ww. procedur.

1.4. Wsppraca systemw teleinformatycznych z innymi systemami

Wiele rejestrw w urzdach administracji publicznej przechowuje i przetwarza identyczne informacje

np. o obywatelu/podmiocie takie jak PESEL, REGON, NIP, dane adresowe itp. Uatwieniem

w zaatwieniu spraw dla obywatela lub podmiotu bdzie sytuacja, gdy podmiot publiczny nie bdzie

da od obywatela lub podmiotu informacji bdcych ju w posiadaniu urzdw. Realizacja tego

postulatu wymaga, aby system informatyczny, w ktrym prowadzony jest dany rejestr odwoywa si

bezporednio do danych gromadzonych w innych rejestrach publicznych uznanych za referencyjne

w zakresie niezbdnym do realizacji zada. Przepisy odrbne mog przewidywa brak wsppracy

systemw (interoperacyjnoci) - wystpi on wwczas, gdy system informatyczny nie komunikuje si

z adnym innym systemem i z zaoenia jest samodzielny. Gdy system zasilany jest przez rczne

wprowadzanie danych, wystpuj proste mechanizmy dostpu do danych poprzez ich przegldanie,

Strona 16 z 32

drukowanie, ewentualnie wygenerowanie danych do pliku. Aby moliwa bya wsppraca pomidzy

systemami urzdw dany system powinien by wyposaony w odpowiednie skadniki sprztowe lub

oprogramowanie umoliwiajce wymian danych z innymi systemami telekomunikacyjnymi

za pomoc protokow komunikacyjnych i szyfrujcych zapewniajcych BI.

Kontroli podlegaj:

Poziom wsppracy systemw teleinformatycznych z innymi systemami podmiotu

publicznego lub systemami informatycznymi innych podmiotw publicznych w tym

rejestrami referencyjnymi, zgodnie z 5 ust. 3 pkt 3 rozporzdzenia KRI;

Sposb komunikacji z innymi systemami w tym wyposaenie w skadniki sprztowe lub

oprogramowanie umoliwiajce wymian danych z innymi systemami telekomunikacyjnymi

za pomoc protokow komunikacyjnych i szyfrujcych zapewniajcych BI, zgodnie z 16

ust. 1 rozporzdzenia KRI.

Dowodami z kontroli s: Umowy (porozumienia) z podmiotami prowadzcymi rejestry referencyjne

dotyczce dostpu do danych referencyjnych uzyskiwanych w drodze wymiany, opis interfejsw

systemu teleinformatycznego, dokumentacja systemu teleinformatycznego.

1.5. Obieg dokumentw w podmiocie publicznym

Stosowanie systemu elektronicznego zarzdzania dokumentami elektronicznymi wpywa

na uporzdkowanie i usprawnienie przepywu dokumentw w podmiocie publicznym, znaczco

usprawnia ich archiwizacj oraz zapewnia atwy dostp do dokumentw archiwalnych, co wpywa

na przyspieszenie zaatwianych spraw w tym realizowanych przez podmiot publiczny usug oraz

pozwala na minimalizowanie nakadu pracy a take podnosi poziom BI. Zastosowanie systemu

teleinformatycznego wspomagajcego elektroniczny obieg dokumentw pozwala na realizacj

interfejsw z innymi systemami podmiotu publicznego w celu przekazywania dokumentw pomidzy

tymi systemami w postaci elektronicznej. Celem wdroenia systemu elektronicznego zarzadzania

dokumentacj jest wyeliminowanie z obiegu wewntrznego podmiotu publicznego dokumentw

papierowych, co spowoduje dodatkowo obnienie kosztw zwizanych ze zuyciem papieru.

Kontroli podlegaj:

Regulacje wewntrzne opisujce sposb zarzdzania dokumentacj w kontrolowanym

podmiocie, w tym zakres stosowania elektronicznego obiegu dokumentw, zgodnie z 20 ust.

2 pkt 9 rozporzdzenia KRI.

Dowodami z kontroli s: Dokumentacja systemu zarzdzania dokumentacj, w tym procedury

i zasady postpowania z dokumentami zawarte w instrukcjach kancelaryjnych oraz dokumentacja

stosowania ww. procedur.

Strona 17 z 32

1.6. Formaty danych udostpniane przez systemy teleinformatyczne

Istot wspdzielenia infonnacji w urzdach jest stworzenie moliwoci wymiany danych pomidzy

rnymi systemami infonnatycznymi oraz umoliwienie odbiorcom swobodnego dostpu do

informacji poprzez wygenerowanie danych w powszechnie znanych i dostpnych fonnatach plikw.

Kontroli podlegaj:

Sposb kodowania znakw w dokumentach wysyanych i odbieranych z systemw

teleinformatycznych podmiotu publicznego, zgodnie z 17 ust. 1 rozporzdzenia KRI;

Sposb udostpniania zasobw infonnatycznych z systemw teleinformatycznych podmiotu

publicznego, zgodnie z 18 ust. 1 rozporzdzenia KRI;

Sposb przyjmowania dokumentw elektronicznych przez systemy teleinformatyczne

podmiotu publicznego, zgodnie z 18 ust. 2 rozporzdzenia KRI.

Dowodami z kontroli s: Opis fonnatw danych w systemach podmiotu publicznego, dokumentacja

systemu teleinfonnatycznego.

2. System zarzdzania bezpieczestwem informacji w systemach

teleinformatycznych

Wraz z rozwojem elektronicznej formy komunikacji znaczenia nabiera zapewnienie dostpnoci,

integralnoci i poufnoci danych posiadanych i przetwarzanych przez urzdy. Dlatego te,

szczeglnie istotnym jest zapewnienie BI przetwarzanych w uytkowanych przez podmioty publiczne

systemach informatycznych. W przeciwnym razie powstaje ryzyko utraty ww. waciwoci

gwarantujcych BI, a w konsekwencji stabilnoci pracy urzdw. Podway to moe zaufanie

obywateli do organw administracji publicznej. W zwizku z tym, e zapewnianie BI jest procesem

cigym, SZBI jest czci caociowego systemu zarzdzania podmiotu publicznego i jest oparty na

podejciu wynikajcym z analizy ryzyka w odniesieniu do zada realizowanych przez podmiot. SZBI

odnosi si do ustanawiania, wdraania, eksploatacji, monitorowania, utrzymywania i doskonalenia

BI. SZBI zawiera struktur organizacyjn, polityki, planowane dziaania, zakresy odpowiedzialnoci,

zasady, procedury, procesy i zasoby. Podmiot publiczny, aby zapewni BI powinien zastosowa

podejcie systemowe, w ramach ktrego bdzie zarzdza kompleksowo posiadanymi aktywami

infonnacyjnymi, infrastruktur przeznaczon do ich przetwarzania oraz ryzykiem dotyczcym BI.

Kompleksowo (kompletno) podejcia oznacza objcie SZBI caej organizacji wraz ze wszystkimi

aktywami i procesami przetwarzania infonnacji gdy aktywa infonnacyjne s na tyle bezpieczne

na ile jest bezpieczne najsabsze zabezpieczenie. Podejcie systemowe polega w szczeglnoci

na uzyskaniu efektu samodoskonalenia si organizacji w celu staego podnoszenia BI w tym cigego

ulepszania (doskonalenia). Kontrola SZBI powinna wykaza: po pierwsze, e SZBijest ustanowiony

Strona 18 z 32

tj. opracowany, zatwierdzony i wdroony, po drugie e jest kompletny, po trzecie e SZBI dziaa

w praktyce, co oznacza e wprowadzone s mechanizmy kontrolne takie jak: analiza ryzyka BI,

przegldy SZBI, audyty BI, analiza incydentw BI i e wnioski wypywajce z tych analiz,

przegldw i audytw wpywaj na doskonalenie SZBI, w tym na polityki, procedury i same

zabezpieczenia oraz w szczeglnoci, e ww. dziaania nie s jednorazowe a wielokrotnie powtarzane

w tak zwanym cyklu Deminga PDCA. Przeciwiestwem dziaa systemowych jest sytuacja, w ktrej

dziaania z zakresu BI maj charakter dziaa doranych na zasadzie gaszenie poaru" bez

wycigania wnioskw na przyszo, a stosowanie zabezpiecze wynika nie z rzetelnej analizy

ryzyka, a jedynie z tak zwanej wiedzy eksperckiej i ma charakter uznaniowy. Minimalne wymagania

dla zapewnia podejcia systemowego w zakresie BI zawarte s w paragrafach 20 i 21 rozporzdzenia

KRI.

Szczegowe obszary kontroli SZBI opisane s poniej.

2.1. Dokumenty z zakresu bezpieczestwa informacji

Podmiot publiczny realizujcy zadania publiczne opracowuje i ustanawia, wdraa i eksploatuje,

monitoruje i przeglda oraz utrzymuje i doskonali system zarzdzania bezpieczestwem informacji

zapewniajcy poufno, dostpno i integralno informacji. Wymaga to opracowania dokumentacji

SZBI, w tym szeregu regulacji wewntrznych oraz zapewnienia aktualizacji tych regulacji w zakresie

dotyczcym zmieniajcego si otoczenia. Kompleksowa dokumentacja SZBI jest warunkiem

niezbdnym moliwoci skutecznego zarzdzania bezpieczestwem informacji w podmiocie.

Podstawowym dokumentem SZBI jest Polityka Bezpieczestwa Informacji. Polityka zazwyczaj

zawiera wyraon przez kierownictwo deklaracj stosowania, opisuje organizacj i ustala osoby

odpowiedzialne oraz ich zakresy odpowiedzialnoci, wprowadza klasyfikacj informacji, sposb

postpowania z poszczeglnymi rodzajami informacji. PBI moe okrela aktywa oraz ich wacicieli,

oraz sposb szacowania ryzyka i postpowania z ryzykiem.

Zazwyczaj w ramach SZBI funkcjonuj inne polityki, regulaminy i procedury np.:

Polityka bezpieczestwa teleinformatycznego;

Polityka bezpieczestwa fizycznego;

Polityka bezpieczestwa danych osobowych.

Inne regulacje wewntrzne stanowice dokumenty wykonawcze PBI to przykadowo:

Procedura zarzadzania ryzykiem;

Regulamin korzystania z zasobw informatycznych;

Procedura zarzdzania sprztem i oprogramowaniem;

Procedura zarzdzania konfiguracj;

Procedura zarzdzania uprawnieniami do pracy w systemach teleinformatycznych;

Procedura monitorowania poziomu wiadczenia usug;

Strona 19 z 32

Procedura bezpiecznej utylizacji sprztu elektronicznego;

Procedura zarzdzania zmianami i wykonywaniem testw;

Procedura stosowania rodkw kryptograficznych;

Procedura okrelania specyfikacji technicznych wymaga odbioru systemw IT;

Procedura zgaszania i obsugi incydentw naruszenia bezpieczestwa informacji;

Procedura wykonywania i testowania kopii bezpieczestwa;

Procedura monitoringu i kontroli dostpu do zasobw teleinformatycznych, prowadzenia

logw systemowych.

Dokumentacj SZBI stanowi take:

Dokumentacja z przegldw SZBI;

Dokumentacja z szacowania ryzyka BI;

Dokumentacja postpowania z ryzykiem;

Dokumentacja akceptacji ryzyka;

Dokumentacja audytw z zakresu BI;

Dokumentacja incydentw naruszenia BI;

Dokumentacja zarzdzania uprawnieniami do pracy w systemach teleinformatycznych;

Dokumentacja zarzdzania sprztem i oprogramowaniem teleinformatycznym;

Dokumentacja szkolenia pracownikw zaangaowanych w proces przetwarzania informacji.

System SZBI powinien by monitorowany i poddawany przegldom w wyniku czego powinien by

doskonalony, co powinno znale odzwierciedlenie w dokumentacji systemu.

Kontroli podlegaj:

Dokumentacja SZBI, w tym Polityka BI oraz inne dokumenty stanowice SZBI,

Dokumentacja przegldw SZBI, szacowania ryzyka, audytw, incydentw naruszenia BI,

zgodnie z 20 ust. 1 rozporzdzenia KRI;

Dziaania zwizane z aktualizacj regulacji wewntrznych w zakresie zm1emaJcego si

otoczenia bdce konsekwencj wynikw szacowania ryzyka, wnioskw z przegldw SZBI,

zalece poaudytowych, wnioskw z analizy incydentw naruszenia BI, zgodnie z 20 ust. 2

pkt 1 rozporzdzenia KRI;

Stopie zaangaowania kierownictwa podmiotu publicznego w proces ustanawiania

i funkcjonowania SZBI oraz zarzdzania BI (przegldy SZBI, szacowanie i obsuga ryzyka

BI, egzekwowanie dziaa zwizanych z BI), zgodnie z 20 ust. 2 rozporzdzenia KRI.

Dowodami z kontroli s: Dokumentacja SZBI w tym polityka BI oraz inne dokumenty stanowice

SZBI, dokumentacja z przegldw SZBI, dokumentacja audytw z zakresu BI, dokumentacja zmian

wynikajcych z wynikw szacowania ryzyka, wnioskw z przegldw SZBI, zalece poaudytowych,

wnioskw z analizy incydentw naruszenia BI.

Strona 20 z 32

2.2. Analiza zagroe zwizanych z przetwarzaniem informacji

Wymogiem skutecznoci SZBI jest przeprowadzanie okresowych analiz ryzyka utraty integralnoci,

dostpnoci lub poufnoci informacji. Kluczowa rola analizy ryzyka wynika z faktu, e rodzaj

i poziom zastosowanych zabezpiecze jest wzgldny i jest zaleny od wanoci aktyww

informatycznych danego podmiotu (zaley od wielu czynnikw m.in. wanoci informacji

przetwarzanych w systemie informatycznym, zakresu, skali i zasigu terytorialnego systemu itp.).

Oznacza to, e nie ma jednego uniwersalnego i bezwzgldnego kryterium oceny rodzaju i poziomu

zabezpiecze. Rodzaj i poziom zabezpiecze jest zawsze pochodn szacowania ryzyka

przeprowadzonego (w danym momencie) w realiach danego podmiotu. Na zarzdzanie ryzykiem

skadaj si: identyfikacja ryzyka (wpyw zagroe na podatnoci), analiza ryzyka w tym okrelenie

poziomu ryzyka (kombinacja prawdopodobiestwa wystpienia i skutkw/nastpstw), ocena ryzyka

(porwnywanie poziomu ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko i/lub jego

wielko s akceptowalne lub tolerowane) a nastpnie okrelenie sposobu postpowania z ryzykiem

( dla ryzyka, ktrego wielko jest nieakceptowalna). Finalnym dokumentem procesu zarzdzania

ryzykiem jest plan postpowania z ryzykiem, na ktry skada si wyliczenie ryzyk, celw stosowania

zabezpiecze oraz zabezpiecze. Plan postpowania z ryzykiem jest podstawowym dokumentem

wykonawczym do podejmowania wszelkich dziaa minimalizujcych ryzyko stosownie

do przeprowadzonej analizy. Po zastosowaniu zabezpiecze wynikajcych z planu postpowania

z ryzykiem pozostaje ryzyko szcztkowe podlegajce akceptacji przez kierownictwo. Ryzyko

szcztkowe zawiera take ryzyka niezidentyfikowane na etapie ich identyfikacji. Szacowanie ryzyka

pozwala na proaktywne zarzdzanie BI, w tym na przeciwdziaanie zagroeniom oraz ograniczanie

skutkw zmaterializowanych ryzyk, a take wpywa na racjonalne zarzdzanie rodkami finansowymi

poprzez stosowanie zabezpiecze adekwatnych do oszacowanego poziomu ryzyka.

Kontroli podlegaj:

Regulacje wewntrzne opisujce sposb zarzdzania ryzykiem BI w urzdzie;

Dokumentacja z przeprowadzania okresowej analizy ryzyka utraty integralnoci, poufnoci

lub dostpnoci informacji, w tym rejestr ryzyk, zawierajcy informacje o zidentyfikowanych

ryzykach, ich poziomie, plan postpowania z ryzykiem, zgodnie z 20 ust. 2 pkt 3

rozporzdzenia KRI;.

Dziaania minimalizujce ryzyko zgodnie z planem postpowania z ryzykiem stosownie

do szacowania ryzyka.

Uwaga: Procedura szacowania ryzyka powinna by przeprowadzana w przypadku pojawienia si

nowych zagroe (jeli zaistnieje potrzeba, to czciej ni raz na rok).

Dowodami z kontroli s: Dokumentacja zarzdzania ryzykiem w tym: procedura przeprowadzania

analizy ryzyka, rejestr ryzyk, plan postpowania z ryzykiem, dowody utrzymywania i doskonalenia

Strona 21 z 32

systemu zarzdzania ryzykiem oraz dokumentacja zmian w zabezpieczeniach zwizanych z biec

analiz ryzyka.

2.3. Inwentaryzacja sprztu i oprogramowania informatycznego

Zarzdzanie infrastruktur informatyczn wymaga utrzymywania aktualnoci inwentaryzacji sprztu

i oprogramowania sucego do przetwarzania informacji obejmujcej ich rodzaj i konfiguracj.

W praktyce oznacza to zapewnienie funkcjonowania rejestru zasobw teleinformatycznych zwanych

baz konfiguracji CMDB zawierajc informacje o wszystkich zidentyfikowanych aktywach

informatycznych, w tym: szczegowe dane o urzdzeniach technicznych, oprogramowaniu i rodkach

komunikacji, ich rodzaju, parametrach, aktualnej konfiguracji i relacjach midzy elementami

konfiguracji oraz uytkowniku. Baza konfiguracji umoliwia m.in. odtworzenie infrastruktury

teleinformatycznej po katastrofie lub innym zdarzeniu losowym. Baza konfiguracji CMDB jest

niezbdna przy wprowadzaniu wszelkich zmian w rodowisku teleinformatycznym podmiotu

publicznego ograniczajc moliwo zaistnienia zakce w pracy, ktre wynikayby z bdnych

decyzji i podejmowanych dziaa, wynikajcych z braku aktualnej i kompleksowej wiedzy o stanie

infrastruktury teleinformatycznej. Rejestr zasobw informatycznych nie jest tosamy z zapisami ksigi

inwentarzowej dla potrzeb rachunkowoci.

Kontroli podlegaj:

Regulacje wewntrzne opisujce sposb zarzdzania sprztem informatycznym

i oprogramowaniem (w tym licencjami na oprogramowanie) oraz funkcjonowania rejestru

zasobw teleinformatycznych (baz konfiguracji CMDB);

Rejestr zasobw teleinformatycznych (baza konfiguracji CMDB) zawierajcy informacje

o wszystkich zidentyfikowanych aktywach informatycznych, w tym: szczegowe dane

o urzdzeniach technicznych, oprogramowaniu i rodkach komunikacji, ich rodzaju,

parametrach, aktualnej konfiguracji i relacjach midzy elementami konfiguracji oraz

uytkowniku, zgodnie z 20 ust. 2 pkt 2 rozporzdzenia KRI;

Sposb aktualizacji rejestru zasobw teleinformatycznych (bazy konfiguracji CMDB).

Dowodami z kontroli s: Dokumentacja zarzdzania sprztem i oprogramowaniem, w tym: rejestr

zasobw informatycznych, procedury prowadzenia rejestru zasobw informatycznych, procedury

przydzielania, zwrotu sprztu i oprogramowania, procedury korzystania z zasobw informatycznych

przez uytkownikw oraz dokumentacja wykonywania ww. procedur.

2.4. Zarzdzanie uprawnieniami do pracy w systemach informatycznych

Istotnym elementem polityki BI jest zarzdzanie dostpem do systemw teleinformatycznych

przetwarzajcych informacje. Zarzdzanie dostpem ma zapewni, e osoby zaangaowane w proces

Strona 22 z 32

przetwarzania informacji posiadaj stosowne uprawnienia i uczestnicz w tym procesie w stopniu

adekwatnym do realizowanych przez nie zada oraz obowizkw, a w przypadku zmiany zada

nastpuje rwnie zmiana ich uprawnie. Niedopuszczalnym jest przykadowo, aby uprawnienia

administratora wszystkich kluczowych zasobw IT posiadaa jedna osoba lub sytuacja, w ktrej osoba

penica funkcj administratora systemu, w ktrym przetwarzane s dane osobowe penia

jednoczenie funkcj ABI. W pierwszej sytuacji wystpuje nadmierna koncentracja uprawnie,

w drugiej pracownik ma kontrolowa samego siebie. Dla zachowania bezpieczestwa konieczne jest

zapewmeme podziau obowizkw oraz unikania konfliktu interesw czy nadzorowania samego

siebie.

Kontroli podlegaj:

Regulacje wewntrzne opisujce zarzdzania uprawnieniami uytkownikw do pracy

w systemach teleinformatycznych, w tym do przetwarzania danych osobowych;

Adekwatno poziomu uprawnie do pracy w systemach teleinformatycznych do zakresu

czynnoci i posiadanych upowanie dostpu do informacji, w tym upowanie

do przetwarzania danych osobowych (rejestr wydanych upowanie), zgodnie z 20 ust. 2 pkt

4 rozporzdzenia KRI;

Dziaania w zakresie monitoringu i kontroli dostpu do zasobw teleinformatycznych, w tym

przegldy w celu wykrywania nieuprawnionego dostpu, nadmiernych uprawnie, konfliktu

interesw czy nadzorowania samego siebie itp.;

Sposb i szybko odbierania uprawnie byym pracownikom w systemach informatycznych,

zgodnie z 20 ust. 2 pkt 5 rozporzdzenia KRI.

Dowodami z kontroli s: Dokumentacja zarzdzania uprawnieniami uytkownikw do pracy

w systemach teleinformatycznych, w tym procedury nadawania, zmiany i odbierania uprawnie

do pracy w systemach teleinformatycznych i dokumentacja wykonywania ww. procedur.

2.5. Szkolenia pracownikw zaangaowanych w proces przetwarzania informacji

Podnoszenie wiadomoci zagroe i konsekwencji zaistnienia incydentw zwizanych z naruszeniem

BI jest istotnym elementem SZBI. Szkolenia z zakresu BI powinny obejmowa wszystkie osoby

uczestniczce w procesie przetwarzania informacji oraz dostarcza aktualnej wiedzy o nowych

zagroeniach, adekwatnych zabezpieczeniach oraz skutkach ewentualnych incydentw naruszenia BI.

Szkolenia osb zaangaowanych w procesie przetwarzania informacji powinny by prowadzone

cyklicznie w zwizku ze zmieniajcymi si zagroeniami BI i zmieniajcymi si zabezpieczeniami.

Kontroli podlegaj:

Regulacje wewntrzne dotyczce przeprowadzania szkole uytkownikw zaangaowanych

w procesie przetwarzania informacji w systemach teleinformatycznych;

Strona 23 z 32

Dokumentacja z przeprowadzonych szkole pod ktem zakresu tematycznego, w tym:

aktualnoci informacji o zagroeniach, skutkach i zabezpieczeniach, wskanik liczby osb

przeszkolonych w stosunku do wszystkich osb uczestniczcych w procesie przetwarzania

informacji, a take cyklicznoci szkole, zgodnie z 20 ust. 2 pkt 6 rozporzdzenia KRI.

Dowodami z kontroli s: Dokumentacja szkolenia pracownikw zaangaowanych w proces

przetwarzania informacji, w tym: programy szkole i listy uczestnikw.

2.6. Praca na odlego i mobilne przetwarzanie danych

Wobec moliwoci technicznych zwizanych z teleprac (prac poza siedzib podmiotu publicznego

z wykorzystaniem urzdze mobilnych takich jak laptopy, tablety, smartfony) pojawiaj si nowe

zagroenia BI. Konieczne jest opisanie zasad okrelajcych sposoby zabezpieczenia urzdze

mobilnych i danych w nich zawartych przed kradzie i nieuprawnionym dostpem poza siedzib

jednostki, a take zasady korzystania z oglnodostpnych sieci.

Kontroli podlegaj:

Regulacje wewntrzne zaw1eraJce zasady bezpiecznej pracy uytkownikw przy

wykorzystaniu urzdze przenonych i pracy na odlego, zgodne z 20 ust. 2 pkt 8

rozporzdzenia KRI;

Dziaania w zakresie stosowania zasad bezpiecznej pracy uytkownikw przy wykorzystaniu

urzdze przenonych i pracy na odlego, w tym stosowania zabezpiecze i procedur

bezpieczestwa przez uytkownikw urzdze przenonych i pracy na odlego.

Dowodami z kontroli s: Dokumentacja dotyczca zarzdzania urzdzeniami przenonymi i prac

na odlego, w tym: procedury bezpiecznej pracy uytkownikw przy wykorzystaniu urzdze

przenonych i pracy na odlego, dokumentacja wykonywania ww. procedur.

2.7. Serwis sprztu informatycznego i oprogramowania

W przypadku systemw informatycznych o znaczeniu krytycznym dla podmiotu publicznego

niezbdne jest objcie tych systemw (w zakresie oprogramowania uytkowego i systemowego,

sprztu oraz rozwiza telekomunikacyjnych) stosownymi umowami serwisowymi, gwarantujcymi

odpowiednio szybkie uruchomienie pracy systemu w przypadku awarii oraz gwarantujcymi BI dla

informacji uzyskanych przez wykonawcw w zwizku z ich realizacj. Umowy serwisowe jak

i umowy dotyczce rozwoju oprogramowania powinny posiada klauzule prawne zabezpieczajce BI

w przypadku wejcia w ich posiadanie przez podmioty zewntrzne a take zapisy umoliwiajce

urzdowi przeprowadzenie kontroli podmiotu zewntrznego w zakresie przestrzegania zasad BI.

Strona 24 z 32

Kontroli podlegaj:

Regulacje wewntrzne, w ktrych okrelono zasady wsppracy z podmiotami zewntrznymi

w zakresie serwisu i rozwoju systemw teleinformatycznych, w tym wymagane klauzule

prawne dotyczce BI;

Umowy serwisowe oraz umowy dotyczce rozwoju systemw teleinformatycznych w zakresie

zapisw gwarantujcych odpowiedni poziom BI, zgodne z 20 ust. 2 pkt 1 Orozporzdzenia

KRI.

Dowodami z kontroli s: Zapisy umw serwisowych oraz umw dotyczcych rozwoju systemw

teleinformatycznych.

2.8. Procedury zgaszania incydentw naruszenia BI

Pomimo stosowania zabezpiecze (wynikajcych z analizy ryzyka) pozwalajcych na ograniczanie

ryzyka zwizanego z przetwarzaniem informacji w podmiocie istnieje ryzyko szcztkowe wiadomie

akceptowane przez kierownictwo. W ramach ryzyka szcztkowego, a w tym take ryzyka

niezidentyfikowanego i nieobjtego analiz mog pojawi si incydenty naruszenia BI. Incydenty

te powinny by bezzwocznie zgaszane w okrelony i z gry ustalony sposb, a take powinien by

opisany sposb reakcji na te incydenty przez wyznaczone osoby w celu szybkiego podjcia dziaa

korygujcych. Wynik analizy incydentw naruszenia BI powinien wpyn na doskonalenie SZBI

i samych zabezpiecze. Wskazana jest wsppraca z CERT.GOV.PL w zakresie wymiany informacji

o zagroeniach i skutecznych zabezpieczeniach.

Kontroli podlegaj:

Regulacje wewntrzne, w ktrych okrelono zasady zgaszania i postpowania z incydentami

naruszenia bezpieczestwa informacji.

Sposb zgaszania i postpowania z incydentami (dziaania korygujce), rejestr incydentw

naruszenia BI, wpyw analizy incydentw na SZBI, ewentualna wsppraca z CERT.GOV.PL,

zgodnie z 20 ust. 2 pkt 13 rozporzdzenia KRI.

Dowodami z kontroli s: Dokumentacja postpowania z incydentami naruszenia BI w tym rejestr

incydentw naruszenia BI, procedury zgaszania i postpowania z incydentami, dokumentacja

wykonywania ww. procedur.

Strona 25 z 32

2.9. Audyt wewntrzny z zakresu bezpieczestwa informacji10

Wymogiem SZBI jest regularne przeprowadzanie audytw wewntrznych w zakresie BI w systemach

informatycznych. Celem audytw jest ewentualne ujawnienie saboci SZBI a take saboci

zabezpiecze i w wyniku zalece poaudytowych doskonalenie SZBI oraz zabezpiecze.

Kontroli podlegaj:

Regulacje wewntrzne, w ktrych okrelono zasady przeprowadzania audytw wewntrznych

w zakresie BI;

Sprawozdania z audytu wewntrznego w zakresie bezpieczestwa informacji, zgodnie z 20

ust. 2 pkt 14 rozporzdzenia KRI;

Dziaania podjte w wyniku zalece poaudytowych.

Dowodami z kontroli s: Dokumentacja audytw z zakresu BI. Dokumentacja realizacji zalece

poaudytowych.

2.10. Kopie zapasowe

Jednym z kluczowych sposobw zapobiegania utracie informacji w wyniku awarii jest wykonywanie

kopii zapasowych. Tworzenie kopi zapasowych jest elementem planu cigoci dziaania (BCP).

Kopie powinny by waciwie tworzone, przechowywane i testowane. Celem tworzenia kopii

zapasowych jest moliwo odzyskania danych i przywrcenia do pracy uytkowej systemu

teleinformatycznego wraz z informacjami przechowywanymi przez ten system np. w bazie danych.

Wymg ten mona osign wykonujc regularnie kopie zapasowe caego rodowiska pracy danego

systemu teleinformatycznego, tj. systemu operacyjnego, jego konfiguracji (w tym konfiguracji

zabezpiecze), systemu informatycznego i informacji w nim przechowywanych. Wymagane jest

regularne testowanie jakoci kopii zapasowych poprzez odtworzenie systemu informatycznego z kopii

zwykle na niezalenym od rodowiska produkcyjnego sprztowym rodowisku testowym oraz

testowaniu pracy uytkowej odtworzonego systemu. Wskazane jest przechowywanie kopii

zapasowych w innej lokalizacji ni miejsce ich tworzenia, w odlegoci niezbdnej do uniknicia

uszkodze spowodowanych przez katastrof, ktra dotknaby orodek podstawowy przetwarzania

danych.

10 Szerzej w dokumentach pn. ,,Wsplne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansw Publicznych MF odnonie do zapewnienia audytu wewntrznego w zakresie bezpieczestwa informacji" oraz Wytyczne dotyczce prowadzenia audytu bezpieczestwa informacji przez komrk audytu wewntrznego" dostpnych na stronach internetowych Ministerstwa Finansw.

Strona 26 z 32

Kontroli podlegaj:

Regulacje wewntrzne, w ktrych okrelono zasady tworzenia, przechowywania oraz

testowania kopii zapasowych danych i systemw podmiotu publicznego, zgodnie 20 ust. 2

pkt 12 lit. b rozporzdzenia KRI.

Dziaania zwizane z wykonywaniem, przechowywaniem i testowaniem kopii zapasowych

danych i systemw oraz dokumentacja tych dziaa.

Dowodami z kontroli s: Dokumentacja wykonywania kopii zapasowych w tym: procedury

wykonywania, przechowywania i testowania kopii zapasowych oraz dokumentacja wykonywania

ww. procedur.

2.11. Projektowanie, wdraanie i eksploatacja systemw teleinformatycznych

Bezpieczestwo systemu teleinformatycznego w duym stopniu zaley od jego budowy. Std

wymagania aby system teleinformatyczny zosta zaprojektowany i zbudowany zgodnie z zasadami BI

opisanymi w obowizujcych normach i standardach przemysowych. Procedury odbioru danego

systemu teleinformatycznego musz zagwarantowa kompleksowe przetestowanie wbudowanych

zabezpiecze pod wzgldem uzyskania zaoonego poziomu BI. Podczas uytkowania systemu

teleinformatycznego konieczne jest monitorowanie jego pracy w celu m.in. dostrzeenia wszelkich

nieprawidowoci w jego pracy i podejmowania bezporednich dziaa korygujcych. Powysze

wymagania dotycz take wszelkich zmian w systemach teleinformatycznych aktualnie

eksploatowanych w urzdzie.

Kontroli podlegaj:

Zapewnienie warunkw dla uzyskania odpowiedniej funkcjonalnoci, niezawodnoci,

uywalnoci, wydajnoci, przenaszalnoci i pielgnowalnoci systemw informatycznych

w fazie ich projektowania, wdraania i eksploatacji, zgodnie z 15 ust. 1 rozporzdzenia KRI;

Regulacje wewntrzne opisujce wymagania w zakresie projektowania systemw

teleinformatycznych w urzdzie dotyczce architektury systemu, sposb licencjonowania

i wykorzystania praw autorskich, zgodnoci z obowizujcym prawem (m.in. ustaw

o iriformatyzacji), sposobu i poziomu zabezpiecze, zastosowania norm i standardw

przemysowych, zastosowania rozwiza funkcjonalnych odpowiednich dla osignicia

zaoonych celw, prezentacji treci dla osb niepenosprawnych, wydajnoci, poziomu

niezawodnoci w tym parametrw SLA na usugi serwisowe, mechanizmw kontroli i audytu;

Regulacje wewntrzne opisujce wymagania w zakresie wdraania systemw

teleinformatycznych w urzdzie dotyczce: sposobu dostarczenia i instalacji systemu

teleinformatycznego, wymaga sprztowych i rodowiskowych dla systemu, sposobu

i zakresu testw odbiorowych oraz rodzaju i zakresu dokumentacji a take warunkw

i kryteriw odbioru;

Strona 27 z 32

Regulacje wewntrzne opisujce sposb przeprowadzania zmian w systemach

teleinformatycznych (w trakcie ich eksploatacji) w tym opis: sposobu zgaszania zmiany,

analizy zmiany pod ktem wykonalnoci, kosztw, ryzyk, a take okrelenia sposobu

wykonania i odbioru zmiany;

Regulacje wewntrzne opisujce proces monitorowania systemw teleinformatycznych

i rodowiska ich pracy pod ktem wydajnoci i pojemnoci w celu zapobieenia ewentualnym

problemom z tym zwizanych wobec wzrostu iloci systemw teleinformatycznych, iloci

przetwarzanych danych, iloci uytkownikw poprzez podejmowanie dziaa

zapobiegawczych;

Dziaania zwizane z wdraaniem nowych systemw teleinformatycznych oraz

wprowadzaniem zmian w systemach eksploatowanych;

Dziaania zwizane z monitorowaniem systemw teleinformatycznych i rodowiska ich pracy

pod ktem wydajnoci i pojemnoci;

Dziaania zapobiegawcze bdce wynikiem dostrzeonych problemw podczas

monitorowania ich pracy.

Dowodami z kontroli s: Dokumentacja wdroe nowych systemw teleinformatycznych,

dokumentacja wprowadzanych zmian w systemach eksploatowanych, dokumentacja monitorowania

systemw teleinformatycznych oraz dziaa zapobiegawczych bdcych wynikiem dostrzeonych

problemw podczas monitorowania.

2.12. Zabezpieczenia techniczno-organizacyjne dostpu do informacji

W celu uzyskania odpowiedniego poziomu BI przy jednoczesnym zapewnieniu waciwego do nich

dostpu przez uprawnionych uytkownikw stosowany jest szereg zabezpiecze informatycznych.

Celem zabezpiecze jest uzyskanie ochrony przetwarzanych informacji przed ich kradzie,

nieuprawnionym dostpem, uszkodzeniami lub zakceniami, a take np. kradzie rodkw

przetwarzania informacji. Zastosowane zabezpieczenia powinny by opisane w planie postpowania

z ryzykiem i adekwatne do poziomu ryzyka wynikajcego z analizy ryzyka BI.

Kontroli podlegaj:

Regulacje wewntrzne, w ktrych ustalono zasady postpowania z informacjami zapewniajce

minimalizacj wystpienia ryzyka kradziey informacji i rodkw przetwarzania informacji,

oraz urzdze mobilnych, w tym plan postpowania z ryzykiem, zgodne z 20 ust. 2 pkt 11

rozporzdzenia KRI;

Regulacje wewntrzne dotyczce zapewnienia ochrony przetwarzanych informacji przed ich

kradzie, nieuprawnionym dostpem, uszkodzeniami lub zakceniami poprzez ustalenie

zabezpiecze informacji w sposb uniemoliwiajcy nieuprawnionemu jej ujawnienie,

modyfikacje usunicie lub zniszczenie, zgodnie z 20 ust. 2 pkt 7 i 9 rozporzdzenia KRI;

Strona 28 z 32

Dziaania zwizane z monitorowaniem dostpu do informacji np. w systemie informatycznym

odnotowujcym w bazie danych wszystkie dziaania uytkownikw i administratorw

dotyczce systemw teleinformatycznych podmiotu publicznego. Dziaania zwizane

z monitorowaniem ruchu osobowego w urzdzie, zgodnie z 20 ust. 2 pkt 7 lit a)

rozporzdzenia KRI;

Czynnoci zmierzajce do wykrycia nieautoryzowanych dziaa zwizanych z przetwarzaniem

informacji poprzez kontrol logw systemw, kontrol wej i wyj do pomieszcze

serwerowni, analiz rejestru zgosze serwisowych, analiz rejestru incydentw naruszenia

BI, zgodnie z 20 ust. 2 pkt 7 lit b) rozporzdzenia KRI;

Dziaania zwizane z zapewnieniem rodkw uniemoliwiajcych nieautoryzowany dostp

na poziomie systemw operacyjnych usug sieciowych i aplikacji poprzez stosowanie systemu

kontroli dostpu do pomieszcze serwerowni, systemu autoryzacji dostpu do systemw

operacyjnych, sieci i aplikacji, stosowanie zabezpiecze kryptograficznych, stosowanie

systemw antywirusowych i antyspamowych, stosowanie zapr sieciowych typu firewall

zgodnie z wynikami analizy ryzyka i planem postpowania z ryzykiem, zgodnie z 20 ust. 2

pkt 7 lit c) rozporzdzenia KRI;

Dziaania zwizane z ochron fizyczn informacji zapewniajce minimalizacj wystpienia

ryzyka kradziey informacji i rodkw przetwarzania informacji, w tym urzdze mobilnych,

zgodne z wynikami analizy ryzyka i planem postpowania z ryzykiem;

Dziaania zwizane z utylizacj sprztu informatycznego i nonikw danych a take zwizane

z przekazywaniem sprztu informatycznego do naprawy w sposb gwarantujcy zachowanie

BI.

W celu identyfikacji pracownikw w systemach teleinformatycznych urzdw zaleca si stosowanie

mechanizmw uwierzytelnienia zbudowanych w oparciu o architektur PKI wykorzystujcych

certyfikaty X.509 wraz z zastosowaniem kart inteligentnych oraz zintegrowanie powyszych kart

z elektronicznym systemem kontroli dostpu fizycznego do budynku, ponadto w celu zapewnienia

integralnoci i autentycznoci korespondencji elektronicznej e-mail zaleca si stosowanie podpisu przy

uyciu nie kwalifikowanych certyfikatw elektronicznych w standardzie X.509 zbudowanych

w oparciu o architektur PKI podmiotu publicznego11

Dowodami z kontroli s: Dokumenty wprowadzajce stosowanie zabezpiecze, dokumentacja

zabezpiecze, w tym: procedury stosowania zabezpiecze, dokumentacja wykonywania ww. procedur.

11 Rekomendacja Komitetu Rady Ministrw ds. Cyfryzacji pn. rodki identyfikacji w administracji publicznej z kwietnia 2015 r. o sygnaturze MAC/SEC/1/15.

Strona 29 z 32

2.13. Zabezpieczenia techniczno-organizacyjne systemw informatycznych

Aby zapewni bezpieczestwo informacji przetwarzanych przez systemy teleinformatyczne niezbdne

jest stosowanie szeregu zabezpiecze techniczno-organizacyjnych dotyczcych rodowiska

teleinformatycznego pracy danego systemu. Rodzaj i poziom zastosowanych zabezpiecze powinien

wynika z planu postpowania z ryzykiem i powinien by adekwatny do poziomu ryzyka

wynikajcego z analizy ryzyka BI.

Kontroli podlegaj:

Regulacje wewntrzne, w ktrych ustalono zasady w celu zapewnienia odpowiedniego

poziomu bezpieczestwa systemw teleinformatycznych poprzez opisy stosowania

zabezpiecze, w tym plan postpowania z ryzykiem, zgodnie z 20 ust. 2 pkt 12 oraz ust. 4

rozporzdzenia KRI;

Dziaania zwizane z aktualizacj oprogramowama oraz redukcj ryzyk wynikajcych

z wykorzystywania opublikowanych podatnoci technicznych systemw teleinformatycznych

poprzez wdraanie nowych wersji oprogramowania systemowego i uytkowego, poprawek

i uzupenie podnoszcych ich bezpieczestwo, aktualizacj oprogramowania

antywirusowego i antyspamowego, aktualizacj oprogramowania zabezpieczajcego ruch

sieciowy zgodnie z wynikami analizy ryzyka i planem postpowania z ryzykiem;

Dziaania zwizane z minimalizowaniem ryzyka utraty informacji w wyniku awarii oraz

ochron przed bdami, utrat i nieuprawnion modyfikacj a take zapewnienie

bezpieczestwa plikw systemowych poprzez zastosowanie bezpiecznych i redundantnych

rozwiza sprztowych, w tym np.: dwustronnego bezprzerwowego zasilania, redundancji

klimatyzacji, zastosowania klastra serwerw wysokiej dostpnoci, redundancji macierzy

dyskowych i urzdze sieciowych, rwnowaenie obcienia ( ang. load balancing),

monitorowania parametrw rodowiskowych w serwerowni (temperatura, wilgotno,

zadymienie, wyciek wody), zastosowania systemu kopii zapasowych, systemu kontroli

dostpu do zasobw informatycznych, systemu monitorowania funkcjonowania systemw

teleinformatycznych i sieci zgodnie z wynikami analizy ryzyka i planem postpowania

z ryzykiem;

Dziaania zwizane z zastosowaniem mechanizmw kryptograficznych w sposb adekwatny

do zagroe lub wymogw przepisw prawa poprzez stosowanie zabezpiecze

kryptograficznych np.: dla transmisji do urzdze mobilnych, poczty elektronicznej, a take

podpisw kwalifikowanych do autoryzacji dokumentw zgodnie z wynikami analizy ryzyka

i planem postpowania z ryzykiem;

Dziaania podejmowane w zwizku z dostrzeeniem nieujawnionych podatnoci systemw

teleinformatycznych na moliwo naruszenia bezpieczestwa;

Strona 30 z 32

Dziaania zwizane z kontrol zgodnoci systemw teleinformatycznych z odpowiednimi

normami i politykami bezpieczestwa.

Dowodami z kontroli s: plan postpowania z ryzykiem, dokumentacja zabezpiecze, w tym:

procedury stosowania zabezpiecze i dokumentacja wykonywania ww. procedur.

2.14. Rozliczalno dziaa w systemach informatycznych

Przetwarzanie informacji w systemach teleinformatycznych wymaga dostpu do danych przez

uprawnione osoby i obiekty systemowe (procesy) w ustalonym zakresie. Zapewnienie rozliczalnoci

operacji polega na gromadzeniu informacji o tym, kto, kiedy i co wykona w systemie

teleinformatycznym. Obligatoryjnie podlegaj dokumentowaniu w postaci zapisw w dziennikach

systemw (logi) wszelkie dziaania dostpu do systemu teleinformatycznego z uprawnieniami

administracyjnymi, w zakresie konfiguracji systemu i jego zabezpiecze a take dziaania, gdy

przetwarzanie danych podlega prawnej ochronie (np. zgodnie z ustaw o ochronie danych

osobowych). Z analizy ryzyka moe wynika konieczno rozszerzenia zakresu dokumentowania

w dziennikach systemowych dziaa uytkownikw nieposiadajcych uprawnie administracyjnych,

zdarze systemowych i parametrw rodowiskowych systemu teleinformatycznego. Informacje

zawarte w dziennikach systemowych powinny by regularnie przegldane w celu wykrycia dziaa

niepodanych i powinny by przechowywane w bezpieczny sposb, co najmniej 2 lata.

Kontroli podlegaj:

Regulacje wewntrzne zaw1eraJce zasady prowadzenia i wykorzystania dziennikw

systemowych (logw), w ktrych odnotowuje si obligatoryjnie dziaania uytkownikw lub

obiektw systemowych, zgodnie z 21 rozporzdzenia KRI;

Dziaania zwizane z zapewnieniem rozliczalnoci uytkownikw, szczeglnie posiadajcych

uprawnienia: administrowania systemami uytkowymi, zmiany konfiguracji systemw

operacyjnych i ich zabezpiecze, przetwarzania danych podlegajcych prawnej ochronie;

Dziaania zwizane z zapewnieniem rozliczalnoci dziaa uytkownikw lub obiektw

systemowych a take rejestracji innych zdarze systemowych w zakresie wynikajcym

z analizy ryzyka;

Dziaania zwizane z regularnym przegldaniem logw i ich analiz w celu identyfikacji

dziaa niepodanych;

Okres i sposb przechowywania dziennikw systemowych.

Dowodami z kontroli s: Dokumenty zawierajce analiz ryzyka, dokumentacja dziennikw

systemowych, w tym: procedury prowadzenia i dostpu do dziennikw systemowych oraz

dokumentacja wykonywania ww. procedur.

Strona 31 z 32

3. Zapewnienie dostpnoci informacji zawartych na stronach internetowych

urzdw dla osb niepenosprawnych

Uwzgldniajc potrzeby osb niepenosprawnych podmiot publiczny powm1en zastosowa

w eksploatowanych systemach teleinformatycznych rozwizania techniczne umoliwiajce osobom

niedosyszcym, niedowidzcym lub niewidomym zapoznanie si z treci informacji, m.in. poprzez

powikszenie czcionki, obrazu, zmian kontrastu. Zgodnie z 19 rozporzdzenia KRI w systemie

teleinformatycznym podmiotu realizujcego zadania publiczne suce prezentacji zasobw informacji

naley zapewni spenienie przez ten system wymaga Web Content Accessibility Guidelines

(WCAG 2.0), z uwzgldnieniem poziomu AA, okrelonych w zaczniku nr 4 do rozporzdzenia.

Termin dostosowania systemw teleinformatycznych do prezentacji zasobw informacyjnych

wg powyszego standardu min 30 maja 2015 r.

Kontroli podlegaj:

Sposb prezentacji informacji na stronach internetowych systemw telekomunikacyjnych

podmiotu publicznego, zgodnie z 19 rozporzdzenia KRI.

Dowodami z kontroli s: Opis zastosowanych rozwiza technicznych umoliwiajcych osobom

niedosyszcym lub niedowidzcym zapoznanie si z treci informacji na stronach internetowych

systemw teleinformatycznych podmiotu publicznego, dokumentacja systemu teleinformatycznego.

Wyniki z przeprowadzonych testw razem z ich interpretacj.

Opracowa:

Departament Kontroli, Skarg i Wnioskw we wsppracy z Departamentem Informatyzacji oraz Departamentem Spoeczestwa Informacyjnego

Strona 32 z 32

Zacznik nr 1 do Wytycznych dla kontroli dziaania systemw teleinformatycznych uywanych do realizacji zada publicznych

Ankieta dotyczca dziaania systemw teleinformatycznych uywanych do realizacji zada publicznych

Dokumenty Samoocrn11 Komrka I nr telefoaa do spenieniapotwierdzajate Uwagi i

wymagania*)spelnieuie wyjanienia*) SIN/CS/ND:anla*

6s

I !Wymiana informacji w postaci elektronicznej, w tym wsppraca z innymi systemami/rejestrami informatycznymi i wspomaganie wiadczenia usug drog elektroniczn

1.llUslugi elektroniczne

1.1.llCzy Podmiot publiczny udostpnia elektroniczn art. 16ust. Ja skrzynk podawcz, speniajc standardy ustawy o okrelone i opublikowane na ePUAP przez ministra informatyzacji waciwego do spraw informatyzacji, oraz zapewnia ej obsug? 5 ust. 2 pkt 1

rozporzdzenia KRI Czy interoperacyjno na poziomie organizacyjnym osigana jest przez: 5 ust. 2 pkt ./ - informowanie przez podmioty realizujce zadania rozporzdzenia KRI publiczne, w sposb umoliwiajcy skuteczne zapoznanie si, o sposobie dostpu oraz zakresie uytkowym serwisw dla usug realizowanych przez te podmioty, - publikowanie i uaktualnianie w Biuletynie Informacji Publicznej przez podmiot realizujcy zadania publiczne opisw procedur obowizujcych przy zaatwianiu spraw z zakresu jego waciwoci drog elektroniczn?

1.2ICentralne repozytorium wzorw dokumentw elektronicznych

1.2. l lCzy organ administracji publicznej przekazuje dolar/. 19b mt. 3 centralnego repozytorium (prowadzonego w ramach ustawy o ePUAP przez Ministra waciwego do spraw informatyzacji informatyzacji) oraz udostpnia w Biuletynie Informacji Publicznej wzory dokumentw elektronicznych?

1.31Model usugowy

1.3.1 ICzy zarzdzanie usugami realizowanymi przezl 15 ust. 2 systemy teleinformatyczne ma na celu dostarczanie rozporzdzenia KRI tych usug na deklarowanym poziomie dostpnoci i odbywa si w oparciu o udokumentowane procedury?

~wiadczenie usug w formie elektronicznej z wykorzystaniem ESP Zamieszczenie na gwnej stronie internetowej podmiotu (i/lub na stronie BIP podmiotu), odesania do opisw usug, ktre zawieraj wymagane informacje dotyczce m.in. aktualnej podstawy prawnej wiadczonych usug, nazwy usug, miejsca wiadczenia usug (zoenia dokumentw), terminu skadania i zaatwiania spraw oraz nazwy komrek odpowiedzialnych za zaatwienie spraw.

Wykorzystanie przez urzd wzorw dokumentw elektronicznych przechowywanych w CRWDE, jakie zostay ju wczeniej opracowane i s uywane przez inny urzd. Przekazanie do CRWDE oraz udostpnienie w BIP wzorw dokumentw elektronicznych.

Poziom wspierania modelu usugowego w procesie wiadczenia usug elektronicznych przez systemy teleinformatyczne podmiotu. Weryfikacja sposobu zarzdzania usugami w oparciu o ustalone procedury, w tym: moliwo zidentyfikowania waciciela merytorycznego usug (komrka organizacyjna podmiotu), ustalenie odpowiedzialnoci za utrzymanie usug od strony technicznej, okrelenie poziomu wiadczenia usug, monitorowanie poziomu wiadczenia usug na zadeklarowanym poziomie.

Koiitroll podlepJl

3 "

osoby udzielajatej

odpowiedzi*

'

str.1/7 Strona 1 z 7

1.4.IWsplpraca systemw teleinformatycznych z innymi systemami

1.4. I ICzy interoperacyjno na poziomie semantycznym 5 ust. 3 pkt 3 ;osigana Jest przez stosowarue w reJestrach rozporzdzenia KRI prowadzonych przez podmioty odwoa do rejestrw zawierajcych dane referencyjne w 16 ust. 1 zakresie niezbdnym do realizacji zada? rozporzdzenia KJU

Czy systemy teleinformatyczne uywane przez podmioty realizujce zadania publiczne wyposaa si w skadniki sprztowe lub oprogramowanie umoliwiajce wymian danych z innymi systemami teleinformatycznymi za pomoc protokow komunikacyjnych i szyfrujcych okrelonych w obowizujcych przepisach, normach, standardach lub rekomendacjach ustanowionych przez krajow jednostk normalizacyjn lub jednostk normalizacyjn Unii Europejskiej?

Poziom wsppracy systemw teleinformatycznych z innymi systemami podmiotu lub systemami informatycznymi innych urzdw w tym rejestrami referencyjnymi. Sposb komunikacji z innymi systemami, w tym wyposaenie w skadniki sprztowe lub oprogramowanie umoliwiajce wymian danych z innymi systemami telekomunikacyjnymi za pomoc protokow komunikacyjnych i szyfrujcych zapewniajcych BI.

1.SIObieg dokumentw w urzdzie

1.5.1 ICzy zapewniono zabezpieczenie informacji wsposb uniemoliwiajcy nieuprawnionemu jej ujawnienie, modyfikacje, usunicie lub zniszczenie?

20 ust. 2 pkt 9 rozporzdzenia KRJ

,. Regulacje wewntrzne opisujce sposb zarzdzania obiegiem dokumentw w podmiocie, w tym zakres stosowania elektronicznego obiegu dokumentw.

1.61Formaty danych udostpniane przez systemy teleinformatyczne

1.6.llCzy kodowanie znakw w dokumentach 17 ust.] wysyanych z systemu teleinformatycznego take w rozporzdzenia KRJ odniesieniu do informacji wymienianej przez te systemy z innymi systemami na drodze 18 ust I teletransmisji, odbywa si wedug standardu rozporzdzenia KRJ Unicode UTF-8 okrelonego przez norm ISO/IEC 10646 wraz ze zmianami lub norm j zastpujc? ' 18 ust. 2

rozporzdzenia KRI Czy system teleinformatyczny udostpnia zasoby informacyjne co najmniej w jednym z formatw danych okrelonych w zaczniku nr 2 do rozporzdzenia KRI?

ICzy system teleinformatyczny umoliwia przyjmowanie dokumentw elektronicznych sucych do zaatwiania spraw nalecych do zakresu dziaania podmiotu w formatach danych okrelonych w zacznikach nr 2 i 3 do rozporzdzenia KRI - jeeli z przepisw szczegowych albo opublikowanych w repozytorium interoperacyjnoci schematw XML lub innych wzorw nie wynika inaczej?

Potwierdzenie sposobu kodowania znakw w dokumentach wysyanych i odbieranych z systemw teleinformatycznych podmiotu.

Potwierdzenie sposobu udostpniania zasobw informatycznych z systemw teleinformatycznych podmiotu.

Potwierdzenie sposobu przyjmowania dokumentw elektronicznych przez systemy teleinformatyczne podmiotu.

str.2/7 Strona 2 z 7

2 System zarzdzania bezpieczestwem informacji w systemach teleinformatycznych

Dokumenty z zakresu bezpieczestwa informacji, Zaangaowanie kierownictwa podmiotu 2.1

20 11st. J Dokwnentacja SZBI w tym Polityka BI oraz inne dokwnenty stanowice SZBI, w tym m.in.: Zarzdzania Bezpieczestwem Informacji (SZBI)

Z.I.I Czy opracowano, ustanowiono i wdroono System PBI, dokwnentacja przegldw SZBI, dokumentacja szacowania ryzyka, audyty,

zapewniajcy poufno, dostpno i integralno rozporzdzenia KRI

dokumentacja incydentw naruszenia BI. informacji z uwzglednieniem takich atrybutw, jak 20 I/SI. 2 Stopie zaangaowania kierownictwa podmiotu publicznego w proces ustanawiania BI. autentyczno, rozliczalno, niezaprzeczalno i rozporzdzenia KRI

niezawodno?

Dziaania zwizane z aktualizacj regulacji wewnttznych w zakresie zmieniajcego si przegldom oraz doskonalony? Czy SZBI jest monitorowany, poddawany 20ust. J2.1.2

rozporzdzenia KRJ otoczenia bdce konsekwencj wynikw analizy ryzyka, wnioskw z przegldw SZBI, zalece poaudytowych, wnioskw z analizy incydentw naruszenia BI.

Czy zarzdzanie bezpieczestwem informacji 20 US/. 2 pkt J Stopie zaangaowania kierownictwa podmiotu publicznego w proces zarzdzania BI, realizowane jest w szczeglnoci przez zapewnienie rozporzqdzena (przegldy SZBI, egzekwowanie dziaa zwizanych z BI).

przez kierownictwo podmiotu publicznego

warunkw wnoliwiajcych realizacje i

egzekfowanie dziaa zwizanych z BI?

Czy regulacje wewntrzne w zakresie SZBI s aktualizowane w zakresie dotyczcym zmieniajcego si otoczenia?

Analiza zagroe zwi'IZ"nych z przetwarzaniem informacji 2.2

Czy przeprowadzana jest okresowa analiza ryzyka 20 1/S(. 2 pkt 3 Regulacje wewn!Jzne opisujce sposb zarzdzania ryzykiem BI.

utraty integralnoci, dostpnoci lub poufnoci

2.2.1 rozporzdzenia KRI Dokwnentacja z przeprowadzania okresowej analizy ryzyka utraty integralnoci, poufnoci

informacji oraz czy podejmowane s dziaania lub dostpnoci informacji, w tym rejestr ryzyka, zawierajcy informacje o minimalizujce to ryzyko, stosownie do wynikw zidentyfikowanych ryzykach, ich poziomie, sposobie postpowania z ryzykami oraz plan przeprowadzonej analizy? postpowania z ryzykiem.

Dziaania minimalizujce ryzyko zgodnie z planem postpowania z ryzykiem, stosownie do analizy ryzyka.

Inwentaryzacja sprztu i oprogramowania informatycznego 2.3

2.3.I Czy utrzymywana jest aktualno inwentaryzacji 20 ust. 2 pkt 2 Regulacje wewnttzne opisujce sposb zarzdzania sprztem informatycznym i sprztu i oprogramowania sucego do rozporzdzenia KRI oprogramowaniem (w tym licencjami na oprogramowanie) oraz funkcjonowania rejestru przetwarzania informacji obejmujcej ich rodzaj i zasobw teleinformatycznych (baz konfiguracji CMDB).

konfiguracj? Rejestr zasobw teleinformatycznych (baza konfiguracji CMDB) zawierajcy informacje o

wszystkich zidentyfikowanych aktywach informatycznych, w tym: szczegowe dane o urzdzeniach technicznych, oprogramowaniu i rodkach komunikacji, ich rodzaju, parametrach, aktualnej konfiguracji i relacjach midzy elementami konfiguracji oraz uytkowniku.

Sposb aktualizacji rejestru zasobw teleinformatycznych (bazy konfiguracji CMDB).

str.3n Strona 3 z 7

2.4 Zarzdzanie uprawnieniami do pracy w systemach. informatycznych

2.4.1 Czy osoby zaangaowane w proces przetwarzania 20 ml. 2 pkt 4 Regulacje wewntrzne opisujce zarzdzanie uprawnieniami uytkownikw do pracy w informacji posiadaj stosowne uprawnienia i rozporzdzenia KRI systemach teleinformatycznych w tym do przetwarzania danych osobowych. uczestnicz w tym procesie w stopniu adekwablym Adekwablo poziomu uprawnie do pracy w systemach teleinformatycznych do zakresu do realizowanych przez nie zada oraz obowizkw 20 ust. 2 pkt 5 czynnoci i posiadanych upowanie dostpu do informacji w tym upowanie do majcych na celu zapewnienie bezpieczestwa rozporzdzenia KRI przetwarzania danych osobowych (rejestr wydanych upowanie). informacji? Dziaania w zakresie monitoringu i kontroli dostpu do zasobw teleinformatycznych w tym

przegldy w celu wykrywania nieuprawnionego dostpu, nadmiernych uprawnie, konfliktu Czy zakres uprawnie osb zaangaowanych w interesw czy nadzorowania samego siebie itp. przetwarzanie danych jest bezzwocznie zmieniany, Sposb i szybko odbierania uprawnie byym pracownikom w systemach w przypadku zmiany zada tych osb? informatycznych.

2.5 Szkolenia pracownikw zaangaowanych w proces przetwarzania informacji

2.5.1 Czy zapewniono szkolenie osb zaangaowanych w 20 11st. 2 pkt 6 Regulacje wewntrzne dotyczce przeprowadzania szkole uytkownikw zaangaowanych proces przetwarzania informacji, ze szczeglnym rozporzdzenia KRI w procesie przetwarzania informacji w systemach teleinformatycznych. uwzgldnieniem takich zagadnie, jak: Dokumentacja z przeprowadzonych szkole pod ktem zakresu tematycznego, w tym a) zagroenia bezpieczestwa informacji, aktualnoci informacji o zagroeniach, skutkach i zabezpieczeniach, wskanik liczby osb b) skutki naruszenia zasad bezpieczestwa przeszkolonych w stosunku do wszystkich osb uczestniczcych w procesie przetwarzania informacji, w tym odpowiedzialno prawna, informacji, a take cyklicznoci szkole. c) stosowanie rodkw zapewniajcych bezpieczestwo informacji, w tym urzdzenia i oprogramowanie minimalizujce ryzyko bdw ludzkich?

.2.6 Praca na odlego i mobilne przetwarzanie danych

2.6.1 Czy ustanowiono podstawowe zasady gwarantujce 20 11st. 2 pkt 8 Regulacje wewntrzne, w ktrych okrelono zasady bezpiecznej pracy uytkownikw przy bezpieczn prac przy przetwarzaniu mobilnym i rozporzdzeniaKRI wykorzystaniu urzdze przenonych i pracy na odlego. pracy na odlego? Dziaania w zakresie stosowania zasad bezpiecznej pracy uytkownikw przy

wykorzystaniu urzdze przenonych i pracy na odlego, w tym stosowania zabezpiecze i procedur bezpieczestwa przez uytkownikw urzdze przenonych i pracy na odlego.

2,7 Serwis sprztu informatycznego i oprogramowania

2.7.1 Czy umowy serwisowe podpisane ze stronami 20 11st. 2 pkt JO Regulacje wewntrzne, w ktrych okrelono zasady wsppracy z podmiotami trzecimi zawieraj zapisy gwarantujce odpowiedni rozporzdzenia KRI zewntrznymi w zakresie serwisu i rozwoju systemw teleinformatycznych, w tym wymagane poziom bezpieczestwa informacji? klauzule prawne dotyczce BI.

Umowy serwisowe oraz umowy dotyczce rozwoju systemw teleinformatycznych w zakresie zapisw gwarantujcych odpowiedni poziom BI.

2.8 Procedury zgaszania incydentw naruszenia BI

2.8.1 Czy incydenty naruszenia bezpieczestwa~ar. 20 ust. 2 pkt 13 Regulacje wewntrzne, w ktrych okrelono zasady zgaszania i postpowania z informacji s bezzwocznie zgaszane w okrelony i rozporzdzenia KRI incydentami naruszenia bezpieczeshva informacji. z gry ustalony sposb, umoliwiajcy szybkie Sposb zgaszani i postpowania z incydentami (dziaania korygujce), rejestr incydentw podjcie dziaa korygujcych? naruszenia BI, wpyw analizy incydentw na SZBI, ewentualna wsppraca z CERT.

str.417 Strona 4 z 7

2.91Audyt wewntrzny z zakresu bezpieczestwa Informacji

2.9.1 ICzy przeprowadzany jest audyt wewntrzny wzakresie BI co najmniej raz w roku?

20 ust. 2 pkt U rozporzdzenia KRI

Regulacje wewntrzne, w ktrych okrelono zasady przeprowadzania wewntrznych w zakresie BI. Sprawozdania z audytu wewntrznego w zakresie bezpieczestwa informacji. Dziaania podjte w wyniku zalece poaudytowych.

audytw

2.1012.10. Kopie zapasowe

2.10.IICzy zapewniono odpowiedni poziombezpieczestwa w systemach teleinformatycznych, polegajcy w szczeglnoci na minimalizowaniu ryzyka utraty informacji w wyniku awarii.

i 20 ust. 2 pkt 12 lit. b rozporzdzenia KRI

Regulacje wewntrzne, w ktrych okrelono zasady tworzenia, przechowywania oraz testowania kopii zapasowych danych i systemw podmiotu. Dziaania zwizane z wykonywani