wytyczne dla kontroli działania systemów teleinformatycznych
TRANSCRIPT
Wytyczne dla kontroli dziaania systemw teleinformatycznych
Ministerstwo Cyfryzacji
Wytyczne
dla kontroli dziaania systemw teleinformatycznych
uywanych do realizacji zada publicznych
Zatwierdzam:
Warszawa, dnia15'grudnia 2015 r.
Spis treci
I. WSTP 3
1. Cel dokumentu 3
2. Podstawa prawna kontroli 3
II. SOWNIK TERMINW UYTYCHW DOKUMENCIE 5
III. ZASADY PROWADZENIA KONTROLI 9
1. Cel kontroli 9
2. Tryb kontroli 9
3. Zesp kontrolny 9
4. Obszary kontroli 9
5. Przygotowanie kontroli
6. Techniki kontroli
7. Kryteria kontroli oraz mierniki oceny
8. Znaczenie Polskich Norm 12
IV. TEMATYKA I OBSZARY KONTROLI 14
1. Wymiana informacji w postaci elektronicznej, w tym wsppraca z innymi
systemami/rejestrami informatycznymi i wspomaganie wiadczenia usug drog
elektroniczn 14
1.1. Usugi elektroniczne 14
1.2. Centralne repozytorium wzorw dokumentw elektronicznych 15
1.3. Model usugowy 16
1.4. Wsppraca systemw teleinformatycznych z innymi systemami 16
1.5. Obieg dokumentw w podmiocie publicznym 17
1.6. Formaty danych udostpniane przez systemy teleinformatyczne 18
2. System zarzdzania bezpieczestwem informacji w systemach teleinformatycznych 18
2.1. Dokumenty z zakresu bezpieczestwa informacji 19
2.2. Analiza zagroe zwizanych z przetwarzaniem informacji 21
2.3. Inwentaryzacja sprztu i oprogramowania informatycznego 22
2.4. Zarzdzanie uprawnieniami do pracy w systemach informatycznych 22
2.5. Szkolenia pracownikw zaangaowanych w proces przetwarzania informacji 23
2.6. Praca na odlego i mobilne przetwarzanie danych 24
2.7. Serwis sorztu informatycznego i oprogramowania .. ...... .. ................................... ...... 24
~ I
2.8. Procedury zgaszania incydentw naruszenia B2.9. Audyt wewntrzny z zakresu bezpieczestwa informacji 26
2.1 O. Kopie zapasowe 26
2.11. Projektowanie, wdraanie i eksploatacja systemw teleinformatycznych 27
2.12. Zabezpieczenia techniczno-organizacyjne dostpu do informacji 28
2.13. Zabezpieczenia techniczno-organizacyjne systemw informatycznych 30
2.14. Rozliczalno dziaa w systemach informatycznych 31
3. Zapewnienie dostpnoci informacji zawartych na stronach internetowych urzdw dla
osb niepenosprawnych 32
Strona 2 z 32
I. WSTP
1. Cel dokumentu
Celem wytycznych jest zapewnienie wsparcia dla kontroli, w tym wskazanie jednolitych kryteriw
merytorycznych realizacji obowizku okrelonego w art. 25 ust. I pkt 3 ustawy z dnia 17 lutego
2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne1 (dalej: ustawa
o informatyzacji), dotyczcego przeprowadzania kontroli dziaania systemw
teleinformatycznych, uywanych do realizacji zada publicznych albo realizacji obowizkw
wynikajcych z art. 13 ust. 2 ustawy o informatyzacji. Stosowanie jednolitych kryteriw
merytorycznych pozwoli na porwnywanie wynikw kontroli pomidzy podmiotami publicznymi,
a take na ocen stopnia speniania wymaga w funkcji czasu dla danego podmiotu.
Wytyczne nie stanowi powszechnie obowizujcego prawa, dlatego ich stosowanie nie jest
obligatoryjne. Majc jednak na uwadze specjalistyczny charakter kontroli prowadzonych
na podstawie art. 25 ust. 1 pkt 3 ustawy o informatyzacji, mog by wsparciem podczas ich
realizacji.
Dokument zosta opracowany w oparciu o stan prawny na dzie 4 listopada 2015 r. W wytycznych
uwzgldniono ustaw o informatyzacji, rozporzdzenie Rady Ministrw z dnia 12 kwietnia 2012 r.
w sprawie Krajowych Ram Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych
i wymiany informacji w postaci elektronicznej oraz minimalnych wymaga dla systemw
teleinformatycznych2, ustaw z dnia 15 lipca 2011 r. o kontroli w administracji rzdowe/ (dalej:
ustawa o kontroli) oraz Standardy kontroli w administracji rzdowej.
2. Podstawa prawna kontroli
Na podstawie art. 25 ust. 1 pkt 3 ustawy o informatyzacji kontroli dziaania systemw
teleinformatycznych, uywanych do realizacji zada publicznych albo realizacji obowizkw
wynikajcych z art. 13 ust. 2, pod wzgldem zgodnoci z minimalnymi wymaganiami dla
systemw teleinformatycznych lub minimalnymi wymaganiami dla rejestrw publicznych
i wymiany informacji w postaci elektronicznej dokonuje:
a) w jednostkach samorzdu terytorialnego i ich zwizkach oraz w tworzonych lub
prowadzonych przez te jednostki samorzdowych osobach prawnych i innych
samorzdowych jednostkach organizacyjnych - waciwy wojewoda,
1 Dz. U. z 2014 r., poz. 1114. 2 Dz. U. z 2012 r., poz. 526, z pn. zm. 3 Dz. U. Nr 185, poz. 1092.
Strona 3 z 32
b) w podmiotach publicznych podlegych lub nadzorowanych przez organy administracji
rzdowej - organ administracji rzdowej nadzorujcy dany podmiot publiczny,
c) w podmiotach publicznych niewymienionych w lit. a i b - minister waciwy do spraw
informatyzacji.
Wymagania zostay okrelone w rozporzdzeniu Rady Ministrw w sprawie Krajowych Ram
Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych i wymiany informacji
w postaci elektronicznej oraz minimalnych wymaga dla systemw teleinformatycznych.
Strona4 z 32
Il. SOWNIK TERMINW UYTYCHW DOKUMENCIE
1. ABI - administrator bezpieczestwa informacji, osoba nadzorujca przestrzeganie stosowania
rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych
osobowych zgodnie z ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych4;
2. aktywa -wszystko, co ma warto dla organizacji;
3. aktywa informatyczne - oprogramowanie, dane, sprzt, dokumentacja, zasoby administracyjne
fizyczne, komunikacyjne lub ludzkie zwizane z dziaalnoci informatyczn;
4. BIP - Biuletyn Informacji Publicznej;
5. BI - bezpieczestwo informacji, zachowanie poufnoci, integralnoci i dostpnoci informacji
oraz inne wasnoci takie jak autentyczno, rozliczalno, niezaprzeczalno, niezawodno;
6. baza konfiguracji CMDB - baza danych zarzdzania konfiguracj (Configuration Management
DataBase), centralny rejestr zasobw informatycznych ich konfiguracji i relacji pomidzy
elementami konfiguracji;
7. CERT.GOV.PL - (Computer Emergency Response Team) - Rzdowy Zesp Reagowania na
Incydenty Komputerowe penicy rol gwnego zespou CERT w obszarze administracji
rzdowej i obszarze cywilnym;
8. cykl Deminga PDCA- schemat dziaa w celu cigego ulepszania (doskonalenia) skadajcy si
z czterech faz: ZAPLANUJ (ang. Plan): Zaplanuj lepszy sposb dziaania, lepsz metod,
WYKONAJ, ZRB (ang. Do): Zrealizuj plan na prb, SPRAWD (ang. Check): Zbadaj, czy
rzeczywicie nowy sposb dziaania przynosi lepsze rezultaty, POPRAW (ang. Act): Jeli nowy
sposb dziaania przynosi lepsze rezultaty, uznaj go za norm (obowizujc procedur),
zestandaryzuj i monitoruj jego stosowanie;
9. CRWDE - centralne repozytorium wzorw dokumentw elektronicznych, udostpnione
publicznie na platformie ePUAP, miejsce publikacji wzorw dokumentw elektronicznych
wykorzystywanych do realizacji usug elektronicznych podmiotw publicznych;
1O. dostpno - waciwo bycia dostpnym i moliwym do wykorzystania na danie przez
upowanione osoby lub procesy;
11. ePUAP - system teleinformatyczny, w ktrym instytucje publiczne udostpniaj usugi przez
pojedynczy punkt dostpowy w sieci Internet;
12. ESP - elektroniczna skrzynka podawcza (np. udostpniona na platformie ePUAP), publicznie
dostpny rodek komunikacji elektronicznej sucy do przekazywania dokumentw
elektronicznych przy wykorzystaniu powszechnie dostpnej sieci teleinformatycznej;
13. funkcjonalno - zdolno do zapewnienia realizacji funkcji zaspakajajcych wyznaczone
i zakadane potrzeby, podczas uywania w okrelonych warunkach;
4 Dz. U. 2014 poz. 1182
Strona 5 z 32
14. format plikw PDF - format plikw sucy do prezentacji, przenoszenia i drukowania treci
tekstowo-graficznych; format PDF powsta jako format wynikowy, majcy zachowa peny
wygld dokumentu po wydrukowaniu;
15. format pliku XML - format dokumentw elektronicznych opisanych w uniwersalnym jzyku
XML (Extensible Markup Language) sucym do opisywania informacji (danych) w sposb
strukturalny;
16. incydent naruszenia BI - pojedyncze zdarzenie lub seria niepodanych lub niespodziewanych
zdarze zwizanych z BI, ktre stwarzaj znaczne prawdopodobiestwo zakcenia dziaa
biznesowych i zagraaj BI;
17. integralno - waciwo polegajca na zapewnieniu danym niezmiennoci, braku dodania
innych danych lub usunicia w nieautoryzowany sposb;
18. interoperacyjno - zdolno rnych podmiotw oraz uywanych przez me systemw
teleinformatycznych i rejestrw publicznych do wspdziaania na rzecz osignicia wzajemnie
korzystnych i uzgodnionych celw, z uwzgldnieniem wspdzielenia informacji i wiedzy przez
wspierane przez nie procesy biznesowe realizowane za pomoc wymiany danych
za porednictwem wykorzystywanych przez te podmioty systemw teleinformatycznych.
Osiganie interoperacyjnoci nastpuje poprzez cige doskonalenie w zakresie wspdziaania
systemw teleinformatycznych;
19. KRI - Krajowe Ramy Interoperacyjnoci, oglny zbir zasad i sposobw postpowania
podmiotw w celu zapewnienia wspdziaania systemw teleinformatycznych, rozumiany jako
zdolno tych systemw oraz wspieranych przez nie procesw do wymiany danych oraz
do dzielenia si informacjami i wiedz;
20. model usugowy - model architektury systemu teleinformatycznego, w ktrym dla uytkownikw
(klientw/odbiorcw) zdefiniowano stanowice odrbn cao funkcje systemu
teleinformatycznego (np. usugi sieciowe) oraz opisano sposb korzystania z tych funkcji;
21. niezawodno - waciwo polegajca na zapewnieniu zdolnoci do wykonywania wymaganych
funkcji w okrelonych warunkach przez okrelony czas lub dla okrelonej liczby operacji;
22. plan cigoci dziaania (BCP) - plan wznawiania dziaania w obszarze kluczowych procesw,
w przypadku wystpienia katastrofy (Business Continuity Plan). Dotyczy zdarze o niskim
prawdopodobiestwie wystpienia, ale o katastrofalnych skutkach np.: poar, powd, katastrofa
budowlana, skaenie chemiczne, sabota, terroryzm itp., ktrych czasu wystpienia nie mona
przewidzie;
23. podatno- sabo aktyww, ktra moe by wykorzystana przez zagroenia;
24. podmiot publiczny - podmiot, realizujcy zadania publiczne okrelone w odrbnych ustawach,
wskazany w art. 2 ust. 1 ustawy o informatyzacji;
Strona 6 z 32
25. polityka bezpieczestwa informacji (PBI) - zestaw praw, regu i praktycznych dowiadcze,
regulujcych sposb zarzdzania, ochrony i dystrybucji informacji wewntrz okrelonej
organizacji;
26. poufno - waciwo polegajca na zapewnieniu, e informacja jest udostpniana lub ujawniona
tylko osobom lub procesom do tego upowanionym;
27. prawdopodobiestwo zwizane z BI - stopie pewnoci, e zdarzenie bdce incydentem
naruszenia BI wystpi;
28. przenaszalno - waciwo polegajca na zapewmenm atwoci z jak system moe by
przeniesiony z jednego rodowiska sprztowego lub programowego do innego rodowiska;
29. pielgnowalno - waciwo polegajca na zapewnieniu atwoci z jak system moe by
modyfikowany w celu naprawy defektw, dostosowania do nowych wymaga, uatwienia
przyszego utrzymania lub dostosowania do zmian zachodzcych w jego rodowisku;
30. RI - Repozytorium Interoperacyjnoci - udostpnione publicznie na platformie ePUAP miejsce
przeznaczone do udostpniania informacji sucych osiganiu interoperacyjnoci, zawierajce
midzy innymi opisy uzgodnionych struktur danych, opisy przesyanych informacji pomidzy
wszystkimi podmiotami uczestniczcymi w wymianie informacji drog elektroniczn;
31. rozporzdzenie ePUAP - rozporzdzenie Ministra Administracji i Cyfryzacji z dnia 6 maja
2014 r. w sprawie zakresu i warunkw korzystania z elektronicznej platformy usug administracji
publiczne/;
32. rozporzdzenie KRI - rozporzdzenie Rady Ministrw z dnia 12 kwietnia 2012 r. w sprawie
Krajowych Ram Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych i wymiany
informacji w postaci elektronicznej oraz minimalnych wymaga dla systemw
teleinformatycznych;
33. rozliczalno - waciwo systemu pozwalajca przypisa okrelone dziaanie w systemie
do osoby fizycznej lub procesu oraz umiejscowi je w czasie;
34. ryzyko zwizane z BI - potencjalna sytuacja, w ktrej okrelone zagroenie wykorzysta
podatno aktyww lub grupy aktyww powodujc w ten sposb szkod dla organizacji. Ryzyko
mierzone jest jako kombinacja prawdopodobiestwa zdarzenia i jego nastpstw;
35. SLA - umowa o gwarantowanym poziomie wiadczenia usug utrzymania i systematycznego
poprawiania ustalonego midzy klientem a usugodawc poziomu jakoci usug;
36. skutek- rezultat niepodanego zdarzenia, incydentu naruszenia BI;
37. system zarzdzania- system do ustanawiania polityki i celw oraz osigania tych celw;
38. system zarzdzania bezpieczestwem informacji (SZBI) - cze caociowego systemu
zarzdzania, oparta na podejciu wynikajcym z ryzyka biznesowego, odnoszca si
do ustanawiania, wdraania, eksploatacji, monitorowania, utrzymywania i doskonalenia BI;
5 Dz. U. z 2014 r., poz. 584.
Strona 7 z 32
39. usuga elektroniczna - usuga wiadczona bez jednoczesnej obecnoci stron (na odlego),
poprzez przekaz danych na indywidualne danie usugobiorcy, przesyanej i otrzymywanej za
pomoc urzdze do elektronicznego przetwarzania i przechowywania danych (na podstawie art. 2
pkt 4 ustawy z dnia 18 lipca 2002 r. o wiadczeniu usug drog elektroniczn6);
40. ustawa o informatyzacji - ustawa z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci
podmiotw realizujcych zadania publiczne;
41 . uywalno - waciwo systemu bycia uywanym, zrozumiaym, atwym w nauce
i atrakcyjnym dla uytkownika, gdy system jest uywany w okrelonych warunkach;
42. wspdzielenie informacji - wsplne uytkowanie tych samych zasobw informacyjnych przez
rne osoby, podmioty lub procesy;
43. zagroenie BI - potencjalna przyczyna zdarzenia, incydentu naruszenia BI, ktrego skutkiem
moe by szkoda (strata) dla organizacji;
44. wydajno - stopie, w jaki system realizuje swoje wyznaczone funkcje w zaoonych ramach
czasu przetwarzania.
6 Dz. U. z 2013 r., poz. 1422.
Strona 8 z 32
III. ZASADY PROWADZENIA KONTROLI
1. Cel kontroli
Celem kontroli jest dokonanie oceny dziaania systemw teleinformatycznych pod wzgldem
zgodnoci z minimalnymi wymaganiami dla systemw teleinformatycznych lub rejestrw
publicznych i wymiany informacji w postaci elektronicznej oraz przestrzegania wymaga
zawartych w Krajowych Ramach Interoperacyjnoci.
2. Tryb kontroli
Kontrola powinna by przeprowadzona w trybie okrelonym ustaw o kontroli oraz zgodnie
ze Standardami kontroli w administracji rzdowej.
3. Zespl kontrolny
Zgodnie z art. 28 ust. 1 pkt 5 oraz ust. 3 ustawy o informatyzacji, kontroler zobowizany jest
posiada okrelon wiedz i umiejtnoci potwierdzone certyfikatami7.
Majc na uwadze konieczno zapewnienia wysokiej jakoci kontroli oraz specjalistyczn
wiedz niezbdn do przeprowadzenia kontroli, zaleca si powoanie zespou kontrolnego.
Dobr praktyk moe by zesp kontrolny zoony z pracownika pionu kontroli oraz
pracownika posiadajcego wiedz i dowiadczenie w zakresie szeroko rozumianego
bezpieczestwa informacji (np. pracownika pionu IT).
W razie koniecznoci zbadania okrelonych zagadnie wymagajcych szczegowych
umiejtnoci lub wiedzy specjalistycznej nie wyklucza si, zgodnie z art. 33 ustawy o kontroli,
powoania biegego.
4. Obszary kontroli
Kontrola powinna obj nastpujce gwne obszary:
1. Wymian informacji w postaci elektronicznej, w tym wspprac z innymi
systemami/rejestrami informatycznymi i wspomagania wiadczenia usug drog
elektroniczn.
2. Zarzdzania bezpieczestwem informacji w systemach teleinformatycznych.
3. Zapewnienia dostpnoci informacji zawartych na stronach internetowych urzdw
dla osb niepenosprawnych.
Obszary kontroli szczegowo opisane s w rozdziale IV.
7 Wykaz certyfikatw okrelony zosta w rozporzdzeniu Ministra Spraw Wewntrznych i Administracji z dnia 10 wrzenia 2010 r. w sprawie wykazu certyfikatw uprawniajcych do prowadzenia kontroli projektw informatycznych i systemw teleinformatycznych-Dz. U. Nr 177, poz. 1195.
Strona 9 z 32
5. Przygotowanie kontroli
W celu przygotowania kontroli zaleca si8 pozyskanie:
Dokumentw ustanawiajcych SZBI - polityki, instrukcje, procedury;
Dokumentacji analizy ryzyka zwizanego z BI;
Dokumentacji przegldw SZBI;
Dokumentacji audytw wewntrznych SZBI.
Dokumentacji systemu zarzdzania jakoci usug wiadczonych przez system
teleinformatyczny.
Ponadto od kierownika jednostki kontrolowanej naley uzyska informacje za pomoc:
Ankiety - wg zaczonego wzoru nr 1;
Zestawiania - systemw teleinformatycznych uywanych do realizacji zada
publicznych wg zaczonego wzoru nr 2.
Analiza zebranej dokumentacji pozwoli na wstpn ocen stopnia os1gmc1a
interoperacyjnoci oraz poziomu BI uzyskanego przez podmiot, a take umoliwi dokonanie
wyboru systemw teleinformatycznych, ktre zostan poddane kontroli. Wybr powinien
mie charakter celowy, np. system o znaczeniu krytycznym dla podmiotu i/lub system
przetwarzajcy dane rejestru pastwowego.
6. Techniki kontroli
Zaleca si przeprowadzanie kontroli stosujc dwie nastpujce techniki:
Zza biurka- analiza zebranej dokumentacji i informacji z ankiety i wykazu;
Na miejscu - kontrola wspomagana list kontroln, w tym m.in. potwierdzenie informacji
z ankiety.
7. Kryteria kontroli oraz mierniki oceny
Kryterium oceny kontrolowanej dziaalnoci jest legalno, tj. zgodno z prawem
powszechnie obowizujcym oraz regulacjami wewntrznymi dotyczcymi SZBI. Ocenie
podlegaj niezalenie 3 gwne obszary kontroli, tj. interoperacyjno, bezpieczestwo
informacji oraz dostosowanie dla osb niepenosprawnych. Przyjto 4-stopnion skal ocen:
ocen pozytywn otrzyma jednostka kontrolowana, gdy w 3 obszarach kontroli uzyska
czstkowe oceny pozytywne;
ocen pozytywn z uchybieniami otrzyma jednostka kontrolowana, ktra uzyska cho
jedn czstkow ocen pozytywn z uchybieniami;
8 Np. w trybie art. 15 ustawy o kontroli.
Strona 1 O z 32
ocen pozytywn z nieprawidowociami otrzyma jednostka kontrolowana, gdy
uzyska cho jedn czstkow ocen pozytywn z nieprawidowociami;
ocena negatywna zostanie przyznana wtedy, gdy bdzie przewaga negatywnych ocen
czstkowych.
Ocena negatywna w obszarze nr 1 (interoperacyjno) moe zosta przyznana
w szczeglnoci, gdy:
nie udostpniono elektronicznej skrzynki podawczej me zapewniono JeJ obsugi
(art. 16 ust. la ustawy o informatyzacji; pkt 1.1 tematyki kontroli);
nie zarzdza si usugami realizowanymi przez systemy teleinformatyczne na
deklarowanym poziomie dostpnoci usug i w oparciu o udokumentowane procedury
( 15 ust. 2 rozporzdzenia; pkt 1.3 tematyki kontroli);
nie zapewniono aby interoperacyjno na poziomie semantycznym osignita zostaa
przez stosowanie w rejestrach prowadzonych przez podmioty odwoa do rejestrw
zawierajcych dane referencyjne w zakresie niezbdnym do realizacji zada
( 5 ust. 3 rozporzdzenia; pkt 1.4 tematyki kontroli).
Ocena negatywna w obszarze nr 2 (bezpieczestwo informacji) moe zosta przyznana
w szczeglnoci, gdy:
me opracowano, me ustanowiono me wdroono Systemu Zarzdzania
Bezpieczestwem Informacji (SZBI) ( 20 ust. 1 rozporzdzenia; pkt 2.1.1 tematyki
kontroli);
nie zostaa opracowana i wdroona Polityka Bezpieczestwa Informacji (Polityka BI)
( 20 ust. 1 , ust. 2 pkt 12h rozporzdzenia; pkt 2.1.1 tematyki kontroli);
nie jest przeprowadzana okresowa analiza ryzyka utraty integralnoci, dostpnoci lub
poufnoci informacji oraz nie s podejmowane dziaania minimalizujce to ryzyko,
stosownie do wynikw przeprowadzonej analizy ( 20 ust. 2 pkt 3 rozporzdzenia;
pkt 2.2 tematyki kontroli);
nie jest przeprowadzany audyt wewntrzny w zakresie BI co najmniej raz w roku
( 20 ust. 2 pkt 14 rozporzdzenia; pkt 2.9 tematyki kontroli);
nie zarzdza si dostpem do systemw teleinformatycznych w sposb zapewniajcy,
e osoby zaangaowane w proces przetwarzania informacji uczestnicz w tym
procesie w stopniu adekwatnym do realizowanych przez nie zada oraz obowizkw
majcych na celu zapewnienie bezpieczestwa informacji ( 20 ust. 2 pkt 4
rozporzdzenia; pkt 2.4 tematyki kontroli);
nie zapewniono szkolenia osb zaangaowanych w proces przetwarzania informacji,
ze szczeglnym uwzgldnieniem okrelonych w zarzdzeniu zagadnie ( 20 ust. 2
pkt 6 rozporzdzenia; pkt 2.5 tematyki kontroli);
nie zapewniono aby incydenty naruszenia bezpieczestwa informacji byy
bezzwocznie zgaszane w okrelony i z gry ustalony sposb, umoliwiajcy szybkie
Strona I I z 32
podjcie dziaa korygujcych ( 20 ust. 2 pkt 13 rozporzdzenia; pkt 2.8 tematyki
kontroli);
nie zabezpieczono informacji w sposb uniemoliwiajcy nieuprawnionemu ich
ujawnienie, modyfikacje, usunicie lub zniszczenie ( 20 ust. 2 pkt 9 rozporzdzenia;
pkt 2.12 tematyki kontroli);
nie zapewniono aby w dziennikach systemw zostay odnotowane obligatoryjnie
dziaania uytkownikw lub obiektw systemowych ( 21 rozporzdzenia; pkt 2.12
tematyki kontroli).
Ocena negatywna w obszarze nr 3 ( dostosowanie dla osb niepenosprawnych) moe zosta
przyznana w szczeglnoci, gdy:
nie zapewniono spenienia przez system wymaga Web Content Accessibility
Guidelines (WCAG 2.0), z uwzgldnieniem poziomu AA, okrelonych w zaczniku
nr 4 do rozporzdzenia( 19 rozporzdzenia; pkt 3 tematyki kontroli).
Ocena w obszarach 1 i 2 powinna by uzupeniona odpowiednio opisem poziomu/stopnia
uzyskania interoperacyjnoci oraz opisem wzgldnego poziomu zapewnienia BI, a take
opisem stopnia osignicia przez jednostk podejcia systemowego do BI. Poziomem
odniesienia dla danego systemu s wyniki analizy ryzyka uwzgldniajcej takie czynniki jak
m.m. skala zakres stosowania danego systemu teleinformatycznego, wano
przetwarzanych w mm danych i ktre maj bezporednie odzwierciedlenie w planie
postpowania z ryzykiem. Oznacza to, e pozytywn ocen BI . moe uzyska system
posiadajcy mao zabezpiecze, jeli taka ich ilo (i jako) wynika z rzetelnie
przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzajcy dane
powszechnie dostpne). Jednoczenie ocen negatywn moe uzyska system posiadajcy
znaczn liczb zabezpiecze, w przypadku gdy rodzaj zabezpiecze (w tym ich ilo i jako)
zosta zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonan analiz
ryzyka i powstay w jej wyniku plan postpowania z ryzykiem. W takiej sytuacji jednostka nie
zarzdza waciwie ryzykiem bezpieczestwa BI, gdy system jednostki dla pewnych ryzyk
moe posiada nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych
cakowity ich brak. Ocena podejcia systemowego do BI sprowadza si do zaobserwowania
i potwierdzenia dowodami, e SZBI istnieje w praktyce i posiada cechy cigego ulepszania
(doskonalenia), co zostao szczegowo opisane w pkt 2 tematyki kontroli.
We wszystkich pozostaych przypadkach kontrolerzy proponuj ocen w oparem
o profesjonalny osd.
8. Znaczenie Polskich Norm
Odnoszc si do przywoywania Polskich Norm w akcie prawnym rangi rozporzdzenia oraz
ich charakteru, naley zaznaczy, e rozporzdzenie Rady Ministrw w sprawie Krajowych
Ram Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych i wymiany
Strona 12 z 32
informacji w postaci elektronicznej oraz minimalnych wymaga dla systemw
teleinformatycznych nie nakada obowizku stosowania norm wskazanych w 15 oraz 20.
Tre ujta w 15 ust. 3 oraz 20 ust. 3 rozporzdzenia stanowi domniemanie prawne,
w myl ktrego wymogi wskazane odpowiednio w 15 ust. 1 i ust. 2 oraz 20 ust. 1 i ust. 2
uznaje si za spenione w przypadku zastosowania rozwiza przewidzianych przez Polskie
Normy. Niemniej jednak naley podkreli, e cel okrelony odpowiednio w 15 ust. 1
i ust. 2, czy te cel okrelony w 20 ust. 1 i ust. 2 moe by osignity bez odnoszenia si
do Polskich Norm oraz z wyczeniem rozwiza w nich zawartych (lub przy zastosowaniu
tylko dowolnej czci przyjtych rozwiza), a tym samym nie mona wymaga od jednostki
kontrolowanej obligatoryjnego stosowania Norm Polskich.
Powysze nie pozwala uzna Polskich Norm, jako dokumentw obligatoryjnie stosowanych
przez jednostki kontrolowane. Stanowi one jedynie wskazwk, co do sposobu, w jaki
kontrolowane jednostki mog osign wymagania stawiane przez ustawodawc
w rozporzdzeniu w sprawie Krajowych Ram Interoperacyjnoci. Normy mog by stosowane
fakultatywnie w dowolnym zakresie.
Strona 13 z 32
IV. TEMATYKA I OBSZARY KONTROLI
1. Wymiana informacji w postaci elektronicznej, w tym wsppraca z innymi
systemami/rejestrami informatycznymi i wspomaganie wiadczenia usug
drog elektroniczn
Przepisy dotyczce interoperacyjnoci maJ na celu stworzenie warunkw do wspdzielenia
informacji przetwarzanej w systemach informatycznych i/lub w rejestrach publicznych jednostek
realizujcych zadania publiczne dla zapewnienia szybkiej wymiany informacji zarwno wewntrz
urzdu jak i z innymi urzdami administracji publicznej. Wdroenie tych przepisw powinno
przyczyni si do usprawnienia realizacji zada urzdw, w tym zaatwiania spraw obywateli
i przedsibiorcw, ktre bd mogy by zaatwiane na odlego, sprawniej i w krtszym czasie, bez
dania informacji bdcych ju w posiadaniu urzdw, zgodnie z art. 220 ustawy z dnia 14 czerwca
1960 r. Kodeks postpowania administracyjnego9. Osiganie interoperacyjnoci jest procesem
cigym, wymagajcym przeprowadzania analizy aktualnego stanu i podejmowania decyzji,
co do dziaa zmierzajcych do poszerzania jej zakresu. Kontrola powinna po pierwsze: okreli
i oceni aktualny stan interoperacyjnoci urzdu, po drugie: oceni skuteczno procesu osigania
interoperacyjnoci w obszarach, w ktrych nie jest ona w peni osignita.
Szczegowe obszary kontroli interoperacyjnoci opisane s poniej.
1.1. Usugi elektroniczne
Jednym z podstawowych celw dziaania jednostki jest realizacja okrelonych usug wobec obywateli
i innych podmiotw w sposb szybki i sprawny oraz maksymalnie przyjazny dla obywatela/podmiotu.
Realizacj praktyczn ww. postulatw mona uzyska poprzez udostpnienie usug elektronicznych
dostpnych przez sie Internet. U sugi udostpnione drog elektroniczn pozwol na zaatwianie
spraw urzdowych bezporednio z domu lub siedziby firmy zainteresowanych osb lub podmiotw
a take z dowolnego innego miejsca, w ktrym obywatel/podmiot ma dostp do sieci Internet. Usugi
elektroniczne powinny by wiadczone wg jednolitych, standardowych procedur, jasno
komunikowanych obywatelowi/podmiotowi. Celem stosowania usug elektronicznych jest uatwienie
w dostpie do usug poprzez wyeliminowanie korespondencji papierowej obywatela/podmiotu
z urzdem, zastpienie drukw i formularzy papierowych ich odpowiednikami elektronicznymi
dostpnymi do wypenienia na platformie usug elektronicznych urzdu, a take wyeliminowanie
papierowych dokumentw kierowanych do obywatela/podmiotu i zastpienie ich odpowiednikami
elektronicznymi przesyanymi na adres elektroniczny.
9 Dz. U. z 2013 r., poz. 267 z pn. zm.
Strona 14 z 32
Kontroli podlegaj:
wiadczenie usug w formie elektronicznej z wykorzystaniem ESP, w tym udostpnionej
na platformie ePUAP, zgodnie z art. 16 ust. la ustawy o informatyzacii;
Zamieszczenie na gwnej stronie internetowej podmiotu publicznego (i/lub na stronie BIP),
odesania do opisw usug, ktre zawieraj wymagane informacje dotyczce m.in. aktualnej
podstawy prawnej wiadczonych usug, nazwy usug, miejsca wiadczenia usug (zoenia
dokumentw), terminu skadania i zaatwiania spraw oraz nazwy komrek odpowiedzialnych
za zaatwienie spraw, zgodnie z 5 ust. 2 pkt 1 i 4 rozporzdzenia KRI.
Dowodami z kontroli s: Dokumentacja usug elektronicznych podmiotu publicznego, w tym: lista
usug wiadczonych w formie elektronicznej, dokumentacja (wydruki) stron internetowych, itp.
1.2. Centralne repozytorium wzorw dokumentw elektronicznych
W celu ujednolicenia w skali kraju procedur usug wiadczonych przez urzdy drog elektroniczn,
w tym ujednolicenia wzorw dokumentw elektronicznych w CRWDE przechowywane s wzory
dokumentw, jakie zostay ju opracowane i s uywane. W przypadku uruchamiania przez dany
podmiot publiczny usugi elektronicznej, ktra funkcjonuje ju na koncie innego podmiotu, dany
podmiot publiczny powinien skorzysta z procedury obsugi tej usugi oraz zastosowa wzory
dokumentw elektronicznych dotyczce tej procedury znajdujce si w CRWDE (nie dotyczy
to sytuacji gdy usuga jest usug centraln tzn. jest udostpniania przez jeden podmiot np. waciwego
ministra ale suy do wiadczenia usug przez inne podmioty ni udostpniajcy np. wszystkie gminy).
W przypadku uruchamiania usugi, dla ktrej nie ma wzorw dokumentw w CRWDE, podmiot
publiczny jest zobowizany przekaza do CRWDE procedur obsugi usugi i wzory dokumentw
elektronicznych z ni zwizanych.
Kontroli podlegaj:
Wykorzystanie przez kontrolowany podmiot publiczny wzorw dokumentw elektronicznych
przechowywanych w CRWDE, jakie zostay ju wczeniej opracowane i s uywane przez
inny podmiot publiczny;
Przekazanie do CRWDE oraz udostpnienie w BIP wzorw dokumentw elektronicznych
podmiotu publicznego, zgodnie z art. 19b ust. 3 ustawy o informatyzacii.
Dowodami z kontroli s: Dokumentacja zwizana z wykorzystaniem przez podmiot publiczny
wzorw dokumentw elektronicznych przechowywanych w CRWDE, wnioski przekazania wzorw
dokumentw elektronicznych do CRWDE.
Strona 15 z 32
1.3. Model usugowy
Model usugowy zosta zdefiniowany w 2 pkt 8 rozporzdzenia KRI. To model, w ktrym dla
uytkownikw zdefiniowano stanowice odrbn cao funkcje systemu teleinformatycznego (usugi
sieciowe) oraz opisano sposb korzystania z tych funkcji (inaczej: system zorientowany na usugi).
Zarzdzanie usugami elektronicznymi w oparciu o model usugowy wymaga posiadania i stosowania
wewntrznych procedur obsugi usug oraz dostarczania ich na zadeklarowanym poziomie, co oznacza
w szczeglnoci moliwo zidentyfikowania waciciela merytorycznego usugi (komrka
organizacyjna podmiotu publicznego), moliwo ustalenia odpowiedzialnoci za utrzymanie usugi
od strony technicznej, okrelenie poziomu wiadczenia usug poprzez okrelenie wskanikw
dostpnoci (np. maksymalny czas niedostpnoci w danym okresie), monitorowanie poziomu
wiadczenia usug na zadeklarowanym poziomie, kontroli wskanikw dostpnoci i reagowania na
ich przekroczenie.
Kontroli podlegaj:
Poziom wspierania modelu usugowego w procesie wiadczenia usug elektronicznych przez
systemy teleinformatyczne podmiotu publicznego, zgodnie z 15 ust. 2 rozporzdzenia KRI;
Weryfikacja sposobu zarzdzania usugami w oparciu o ustalone procedury w tym moliwo
zidentyfikowania waciciela merytorycznego usug (komrka organizacyjna podmiotu
publicznego), ustalenie odpowiedzialnoci za utrzymanie usug od strony technicznej,
okrelenie poziomu wiadczenia usug, monitorowanie poziomu wiadczenia usug
na zadeklarowanym poziomie.
Dowodami z kontroli s: Dokumentacja usug elektronicznych wiadczonych przez podmiot
publiczny, w tym: lista usug elektronicznych, procedury obsugi i monitoringu usug, dokumentacja
wykonywania ww. procedur.
1.4. Wsppraca systemw teleinformatycznych z innymi systemami
Wiele rejestrw w urzdach administracji publicznej przechowuje i przetwarza identyczne informacje
np. o obywatelu/podmiocie takie jak PESEL, REGON, NIP, dane adresowe itp. Uatwieniem
w zaatwieniu spraw dla obywatela lub podmiotu bdzie sytuacja, gdy podmiot publiczny nie bdzie
da od obywatela lub podmiotu informacji bdcych ju w posiadaniu urzdw. Realizacja tego
postulatu wymaga, aby system informatyczny, w ktrym prowadzony jest dany rejestr odwoywa si
bezporednio do danych gromadzonych w innych rejestrach publicznych uznanych za referencyjne
w zakresie niezbdnym do realizacji zada. Przepisy odrbne mog przewidywa brak wsppracy
systemw (interoperacyjnoci) - wystpi on wwczas, gdy system informatyczny nie komunikuje si
z adnym innym systemem i z zaoenia jest samodzielny. Gdy system zasilany jest przez rczne
wprowadzanie danych, wystpuj proste mechanizmy dostpu do danych poprzez ich przegldanie,
Strona 16 z 32
drukowanie, ewentualnie wygenerowanie danych do pliku. Aby moliwa bya wsppraca pomidzy
systemami urzdw dany system powinien by wyposaony w odpowiednie skadniki sprztowe lub
oprogramowanie umoliwiajce wymian danych z innymi systemami telekomunikacyjnymi
za pomoc protokow komunikacyjnych i szyfrujcych zapewniajcych BI.
Kontroli podlegaj:
Poziom wsppracy systemw teleinformatycznych z innymi systemami podmiotu
publicznego lub systemami informatycznymi innych podmiotw publicznych w tym
rejestrami referencyjnymi, zgodnie z 5 ust. 3 pkt 3 rozporzdzenia KRI;
Sposb komunikacji z innymi systemami w tym wyposaenie w skadniki sprztowe lub
oprogramowanie umoliwiajce wymian danych z innymi systemami telekomunikacyjnymi
za pomoc protokow komunikacyjnych i szyfrujcych zapewniajcych BI, zgodnie z 16
ust. 1 rozporzdzenia KRI.
Dowodami z kontroli s: Umowy (porozumienia) z podmiotami prowadzcymi rejestry referencyjne
dotyczce dostpu do danych referencyjnych uzyskiwanych w drodze wymiany, opis interfejsw
systemu teleinformatycznego, dokumentacja systemu teleinformatycznego.
1.5. Obieg dokumentw w podmiocie publicznym
Stosowanie systemu elektronicznego zarzdzania dokumentami elektronicznymi wpywa
na uporzdkowanie i usprawnienie przepywu dokumentw w podmiocie publicznym, znaczco
usprawnia ich archiwizacj oraz zapewnia atwy dostp do dokumentw archiwalnych, co wpywa
na przyspieszenie zaatwianych spraw w tym realizowanych przez podmiot publiczny usug oraz
pozwala na minimalizowanie nakadu pracy a take podnosi poziom BI. Zastosowanie systemu
teleinformatycznego wspomagajcego elektroniczny obieg dokumentw pozwala na realizacj
interfejsw z innymi systemami podmiotu publicznego w celu przekazywania dokumentw pomidzy
tymi systemami w postaci elektronicznej. Celem wdroenia systemu elektronicznego zarzadzania
dokumentacj jest wyeliminowanie z obiegu wewntrznego podmiotu publicznego dokumentw
papierowych, co spowoduje dodatkowo obnienie kosztw zwizanych ze zuyciem papieru.
Kontroli podlegaj:
Regulacje wewntrzne opisujce sposb zarzdzania dokumentacj w kontrolowanym
podmiocie, w tym zakres stosowania elektronicznego obiegu dokumentw, zgodnie z 20 ust.
2 pkt 9 rozporzdzenia KRI.
Dowodami z kontroli s: Dokumentacja systemu zarzdzania dokumentacj, w tym procedury
i zasady postpowania z dokumentami zawarte w instrukcjach kancelaryjnych oraz dokumentacja
stosowania ww. procedur.
Strona 17 z 32
1.6. Formaty danych udostpniane przez systemy teleinformatyczne
Istot wspdzielenia infonnacji w urzdach jest stworzenie moliwoci wymiany danych pomidzy
rnymi systemami infonnatycznymi oraz umoliwienie odbiorcom swobodnego dostpu do
informacji poprzez wygenerowanie danych w powszechnie znanych i dostpnych fonnatach plikw.
Kontroli podlegaj:
Sposb kodowania znakw w dokumentach wysyanych i odbieranych z systemw
teleinformatycznych podmiotu publicznego, zgodnie z 17 ust. 1 rozporzdzenia KRI;
Sposb udostpniania zasobw infonnatycznych z systemw teleinformatycznych podmiotu
publicznego, zgodnie z 18 ust. 1 rozporzdzenia KRI;
Sposb przyjmowania dokumentw elektronicznych przez systemy teleinformatyczne
podmiotu publicznego, zgodnie z 18 ust. 2 rozporzdzenia KRI.
Dowodami z kontroli s: Opis fonnatw danych w systemach podmiotu publicznego, dokumentacja
systemu teleinfonnatycznego.
2. System zarzdzania bezpieczestwem informacji w systemach
teleinformatycznych
Wraz z rozwojem elektronicznej formy komunikacji znaczenia nabiera zapewnienie dostpnoci,
integralnoci i poufnoci danych posiadanych i przetwarzanych przez urzdy. Dlatego te,
szczeglnie istotnym jest zapewnienie BI przetwarzanych w uytkowanych przez podmioty publiczne
systemach informatycznych. W przeciwnym razie powstaje ryzyko utraty ww. waciwoci
gwarantujcych BI, a w konsekwencji stabilnoci pracy urzdw. Podway to moe zaufanie
obywateli do organw administracji publicznej. W zwizku z tym, e zapewnianie BI jest procesem
cigym, SZBI jest czci caociowego systemu zarzdzania podmiotu publicznego i jest oparty na
podejciu wynikajcym z analizy ryzyka w odniesieniu do zada realizowanych przez podmiot. SZBI
odnosi si do ustanawiania, wdraania, eksploatacji, monitorowania, utrzymywania i doskonalenia
BI. SZBI zawiera struktur organizacyjn, polityki, planowane dziaania, zakresy odpowiedzialnoci,
zasady, procedury, procesy i zasoby. Podmiot publiczny, aby zapewni BI powinien zastosowa
podejcie systemowe, w ramach ktrego bdzie zarzdza kompleksowo posiadanymi aktywami
infonnacyjnymi, infrastruktur przeznaczon do ich przetwarzania oraz ryzykiem dotyczcym BI.
Kompleksowo (kompletno) podejcia oznacza objcie SZBI caej organizacji wraz ze wszystkimi
aktywami i procesami przetwarzania infonnacji gdy aktywa infonnacyjne s na tyle bezpieczne
na ile jest bezpieczne najsabsze zabezpieczenie. Podejcie systemowe polega w szczeglnoci
na uzyskaniu efektu samodoskonalenia si organizacji w celu staego podnoszenia BI w tym cigego
ulepszania (doskonalenia). Kontrola SZBI powinna wykaza: po pierwsze, e SZBijest ustanowiony
Strona 18 z 32
tj. opracowany, zatwierdzony i wdroony, po drugie e jest kompletny, po trzecie e SZBI dziaa
w praktyce, co oznacza e wprowadzone s mechanizmy kontrolne takie jak: analiza ryzyka BI,
przegldy SZBI, audyty BI, analiza incydentw BI i e wnioski wypywajce z tych analiz,
przegldw i audytw wpywaj na doskonalenie SZBI, w tym na polityki, procedury i same
zabezpieczenia oraz w szczeglnoci, e ww. dziaania nie s jednorazowe a wielokrotnie powtarzane
w tak zwanym cyklu Deminga PDCA. Przeciwiestwem dziaa systemowych jest sytuacja, w ktrej
dziaania z zakresu BI maj charakter dziaa doranych na zasadzie gaszenie poaru" bez
wycigania wnioskw na przyszo, a stosowanie zabezpiecze wynika nie z rzetelnej analizy
ryzyka, a jedynie z tak zwanej wiedzy eksperckiej i ma charakter uznaniowy. Minimalne wymagania
dla zapewnia podejcia systemowego w zakresie BI zawarte s w paragrafach 20 i 21 rozporzdzenia
KRI.
Szczegowe obszary kontroli SZBI opisane s poniej.
2.1. Dokumenty z zakresu bezpieczestwa informacji
Podmiot publiczny realizujcy zadania publiczne opracowuje i ustanawia, wdraa i eksploatuje,
monitoruje i przeglda oraz utrzymuje i doskonali system zarzdzania bezpieczestwem informacji
zapewniajcy poufno, dostpno i integralno informacji. Wymaga to opracowania dokumentacji
SZBI, w tym szeregu regulacji wewntrznych oraz zapewnienia aktualizacji tych regulacji w zakresie
dotyczcym zmieniajcego si otoczenia. Kompleksowa dokumentacja SZBI jest warunkiem
niezbdnym moliwoci skutecznego zarzdzania bezpieczestwem informacji w podmiocie.
Podstawowym dokumentem SZBI jest Polityka Bezpieczestwa Informacji. Polityka zazwyczaj
zawiera wyraon przez kierownictwo deklaracj stosowania, opisuje organizacj i ustala osoby
odpowiedzialne oraz ich zakresy odpowiedzialnoci, wprowadza klasyfikacj informacji, sposb
postpowania z poszczeglnymi rodzajami informacji. PBI moe okrela aktywa oraz ich wacicieli,
oraz sposb szacowania ryzyka i postpowania z ryzykiem.
Zazwyczaj w ramach SZBI funkcjonuj inne polityki, regulaminy i procedury np.:
Polityka bezpieczestwa teleinformatycznego;
Polityka bezpieczestwa fizycznego;
Polityka bezpieczestwa danych osobowych.
Inne regulacje wewntrzne stanowice dokumenty wykonawcze PBI to przykadowo:
Procedura zarzadzania ryzykiem;
Regulamin korzystania z zasobw informatycznych;
Procedura zarzdzania sprztem i oprogramowaniem;
Procedura zarzdzania konfiguracj;
Procedura zarzdzania uprawnieniami do pracy w systemach teleinformatycznych;
Procedura monitorowania poziomu wiadczenia usug;
Strona 19 z 32
Procedura bezpiecznej utylizacji sprztu elektronicznego;
Procedura zarzdzania zmianami i wykonywaniem testw;
Procedura stosowania rodkw kryptograficznych;
Procedura okrelania specyfikacji technicznych wymaga odbioru systemw IT;
Procedura zgaszania i obsugi incydentw naruszenia bezpieczestwa informacji;
Procedura wykonywania i testowania kopii bezpieczestwa;
Procedura monitoringu i kontroli dostpu do zasobw teleinformatycznych, prowadzenia
logw systemowych.
Dokumentacj SZBI stanowi take:
Dokumentacja z przegldw SZBI;
Dokumentacja z szacowania ryzyka BI;
Dokumentacja postpowania z ryzykiem;
Dokumentacja akceptacji ryzyka;
Dokumentacja audytw z zakresu BI;
Dokumentacja incydentw naruszenia BI;
Dokumentacja zarzdzania uprawnieniami do pracy w systemach teleinformatycznych;
Dokumentacja zarzdzania sprztem i oprogramowaniem teleinformatycznym;
Dokumentacja szkolenia pracownikw zaangaowanych w proces przetwarzania informacji.
System SZBI powinien by monitorowany i poddawany przegldom w wyniku czego powinien by
doskonalony, co powinno znale odzwierciedlenie w dokumentacji systemu.
Kontroli podlegaj:
Dokumentacja SZBI, w tym Polityka BI oraz inne dokumenty stanowice SZBI,
Dokumentacja przegldw SZBI, szacowania ryzyka, audytw, incydentw naruszenia BI,
zgodnie z 20 ust. 1 rozporzdzenia KRI;
Dziaania zwizane z aktualizacj regulacji wewntrznych w zakresie zm1emaJcego si
otoczenia bdce konsekwencj wynikw szacowania ryzyka, wnioskw z przegldw SZBI,
zalece poaudytowych, wnioskw z analizy incydentw naruszenia BI, zgodnie z 20 ust. 2
pkt 1 rozporzdzenia KRI;
Stopie zaangaowania kierownictwa podmiotu publicznego w proces ustanawiania
i funkcjonowania SZBI oraz zarzdzania BI (przegldy SZBI, szacowanie i obsuga ryzyka
BI, egzekwowanie dziaa zwizanych z BI), zgodnie z 20 ust. 2 rozporzdzenia KRI.
Dowodami z kontroli s: Dokumentacja SZBI w tym polityka BI oraz inne dokumenty stanowice
SZBI, dokumentacja z przegldw SZBI, dokumentacja audytw z zakresu BI, dokumentacja zmian
wynikajcych z wynikw szacowania ryzyka, wnioskw z przegldw SZBI, zalece poaudytowych,
wnioskw z analizy incydentw naruszenia BI.
Strona 20 z 32
2.2. Analiza zagroe zwizanych z przetwarzaniem informacji
Wymogiem skutecznoci SZBI jest przeprowadzanie okresowych analiz ryzyka utraty integralnoci,
dostpnoci lub poufnoci informacji. Kluczowa rola analizy ryzyka wynika z faktu, e rodzaj
i poziom zastosowanych zabezpiecze jest wzgldny i jest zaleny od wanoci aktyww
informatycznych danego podmiotu (zaley od wielu czynnikw m.in. wanoci informacji
przetwarzanych w systemie informatycznym, zakresu, skali i zasigu terytorialnego systemu itp.).
Oznacza to, e nie ma jednego uniwersalnego i bezwzgldnego kryterium oceny rodzaju i poziomu
zabezpiecze. Rodzaj i poziom zabezpiecze jest zawsze pochodn szacowania ryzyka
przeprowadzonego (w danym momencie) w realiach danego podmiotu. Na zarzdzanie ryzykiem
skadaj si: identyfikacja ryzyka (wpyw zagroe na podatnoci), analiza ryzyka w tym okrelenie
poziomu ryzyka (kombinacja prawdopodobiestwa wystpienia i skutkw/nastpstw), ocena ryzyka
(porwnywanie poziomu ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko i/lub jego
wielko s akceptowalne lub tolerowane) a nastpnie okrelenie sposobu postpowania z ryzykiem
( dla ryzyka, ktrego wielko jest nieakceptowalna). Finalnym dokumentem procesu zarzdzania
ryzykiem jest plan postpowania z ryzykiem, na ktry skada si wyliczenie ryzyk, celw stosowania
zabezpiecze oraz zabezpiecze. Plan postpowania z ryzykiem jest podstawowym dokumentem
wykonawczym do podejmowania wszelkich dziaa minimalizujcych ryzyko stosownie
do przeprowadzonej analizy. Po zastosowaniu zabezpiecze wynikajcych z planu postpowania
z ryzykiem pozostaje ryzyko szcztkowe podlegajce akceptacji przez kierownictwo. Ryzyko
szcztkowe zawiera take ryzyka niezidentyfikowane na etapie ich identyfikacji. Szacowanie ryzyka
pozwala na proaktywne zarzdzanie BI, w tym na przeciwdziaanie zagroeniom oraz ograniczanie
skutkw zmaterializowanych ryzyk, a take wpywa na racjonalne zarzdzanie rodkami finansowymi
poprzez stosowanie zabezpiecze adekwatnych do oszacowanego poziomu ryzyka.
Kontroli podlegaj:
Regulacje wewntrzne opisujce sposb zarzdzania ryzykiem BI w urzdzie;
Dokumentacja z przeprowadzania okresowej analizy ryzyka utraty integralnoci, poufnoci
lub dostpnoci informacji, w tym rejestr ryzyk, zawierajcy informacje o zidentyfikowanych
ryzykach, ich poziomie, plan postpowania z ryzykiem, zgodnie z 20 ust. 2 pkt 3
rozporzdzenia KRI;.
Dziaania minimalizujce ryzyko zgodnie z planem postpowania z ryzykiem stosownie
do szacowania ryzyka.
Uwaga: Procedura szacowania ryzyka powinna by przeprowadzana w przypadku pojawienia si
nowych zagroe (jeli zaistnieje potrzeba, to czciej ni raz na rok).
Dowodami z kontroli s: Dokumentacja zarzdzania ryzykiem w tym: procedura przeprowadzania
analizy ryzyka, rejestr ryzyk, plan postpowania z ryzykiem, dowody utrzymywania i doskonalenia
Strona 21 z 32
systemu zarzdzania ryzykiem oraz dokumentacja zmian w zabezpieczeniach zwizanych z biec
analiz ryzyka.
2.3. Inwentaryzacja sprztu i oprogramowania informatycznego
Zarzdzanie infrastruktur informatyczn wymaga utrzymywania aktualnoci inwentaryzacji sprztu
i oprogramowania sucego do przetwarzania informacji obejmujcej ich rodzaj i konfiguracj.
W praktyce oznacza to zapewnienie funkcjonowania rejestru zasobw teleinformatycznych zwanych
baz konfiguracji CMDB zawierajc informacje o wszystkich zidentyfikowanych aktywach
informatycznych, w tym: szczegowe dane o urzdzeniach technicznych, oprogramowaniu i rodkach
komunikacji, ich rodzaju, parametrach, aktualnej konfiguracji i relacjach midzy elementami
konfiguracji oraz uytkowniku. Baza konfiguracji umoliwia m.in. odtworzenie infrastruktury
teleinformatycznej po katastrofie lub innym zdarzeniu losowym. Baza konfiguracji CMDB jest
niezbdna przy wprowadzaniu wszelkich zmian w rodowisku teleinformatycznym podmiotu
publicznego ograniczajc moliwo zaistnienia zakce w pracy, ktre wynikayby z bdnych
decyzji i podejmowanych dziaa, wynikajcych z braku aktualnej i kompleksowej wiedzy o stanie
infrastruktury teleinformatycznej. Rejestr zasobw informatycznych nie jest tosamy z zapisami ksigi
inwentarzowej dla potrzeb rachunkowoci.
Kontroli podlegaj:
Regulacje wewntrzne opisujce sposb zarzdzania sprztem informatycznym
i oprogramowaniem (w tym licencjami na oprogramowanie) oraz funkcjonowania rejestru
zasobw teleinformatycznych (baz konfiguracji CMDB);
Rejestr zasobw teleinformatycznych (baza konfiguracji CMDB) zawierajcy informacje
o wszystkich zidentyfikowanych aktywach informatycznych, w tym: szczegowe dane
o urzdzeniach technicznych, oprogramowaniu i rodkach komunikacji, ich rodzaju,
parametrach, aktualnej konfiguracji i relacjach midzy elementami konfiguracji oraz
uytkowniku, zgodnie z 20 ust. 2 pkt 2 rozporzdzenia KRI;
Sposb aktualizacji rejestru zasobw teleinformatycznych (bazy konfiguracji CMDB).
Dowodami z kontroli s: Dokumentacja zarzdzania sprztem i oprogramowaniem, w tym: rejestr
zasobw informatycznych, procedury prowadzenia rejestru zasobw informatycznych, procedury
przydzielania, zwrotu sprztu i oprogramowania, procedury korzystania z zasobw informatycznych
przez uytkownikw oraz dokumentacja wykonywania ww. procedur.
2.4. Zarzdzanie uprawnieniami do pracy w systemach informatycznych
Istotnym elementem polityki BI jest zarzdzanie dostpem do systemw teleinformatycznych
przetwarzajcych informacje. Zarzdzanie dostpem ma zapewni, e osoby zaangaowane w proces
Strona 22 z 32
przetwarzania informacji posiadaj stosowne uprawnienia i uczestnicz w tym procesie w stopniu
adekwatnym do realizowanych przez nie zada oraz obowizkw, a w przypadku zmiany zada
nastpuje rwnie zmiana ich uprawnie. Niedopuszczalnym jest przykadowo, aby uprawnienia
administratora wszystkich kluczowych zasobw IT posiadaa jedna osoba lub sytuacja, w ktrej osoba
penica funkcj administratora systemu, w ktrym przetwarzane s dane osobowe penia
jednoczenie funkcj ABI. W pierwszej sytuacji wystpuje nadmierna koncentracja uprawnie,
w drugiej pracownik ma kontrolowa samego siebie. Dla zachowania bezpieczestwa konieczne jest
zapewmeme podziau obowizkw oraz unikania konfliktu interesw czy nadzorowania samego
siebie.
Kontroli podlegaj:
Regulacje wewntrzne opisujce zarzdzania uprawnieniami uytkownikw do pracy
w systemach teleinformatycznych, w tym do przetwarzania danych osobowych;
Adekwatno poziomu uprawnie do pracy w systemach teleinformatycznych do zakresu
czynnoci i posiadanych upowanie dostpu do informacji, w tym upowanie
do przetwarzania danych osobowych (rejestr wydanych upowanie), zgodnie z 20 ust. 2 pkt
4 rozporzdzenia KRI;
Dziaania w zakresie monitoringu i kontroli dostpu do zasobw teleinformatycznych, w tym
przegldy w celu wykrywania nieuprawnionego dostpu, nadmiernych uprawnie, konfliktu
interesw czy nadzorowania samego siebie itp.;
Sposb i szybko odbierania uprawnie byym pracownikom w systemach informatycznych,
zgodnie z 20 ust. 2 pkt 5 rozporzdzenia KRI.
Dowodami z kontroli s: Dokumentacja zarzdzania uprawnieniami uytkownikw do pracy
w systemach teleinformatycznych, w tym procedury nadawania, zmiany i odbierania uprawnie
do pracy w systemach teleinformatycznych i dokumentacja wykonywania ww. procedur.
2.5. Szkolenia pracownikw zaangaowanych w proces przetwarzania informacji
Podnoszenie wiadomoci zagroe i konsekwencji zaistnienia incydentw zwizanych z naruszeniem
BI jest istotnym elementem SZBI. Szkolenia z zakresu BI powinny obejmowa wszystkie osoby
uczestniczce w procesie przetwarzania informacji oraz dostarcza aktualnej wiedzy o nowych
zagroeniach, adekwatnych zabezpieczeniach oraz skutkach ewentualnych incydentw naruszenia BI.
Szkolenia osb zaangaowanych w procesie przetwarzania informacji powinny by prowadzone
cyklicznie w zwizku ze zmieniajcymi si zagroeniami BI i zmieniajcymi si zabezpieczeniami.
Kontroli podlegaj:
Regulacje wewntrzne dotyczce przeprowadzania szkole uytkownikw zaangaowanych
w procesie przetwarzania informacji w systemach teleinformatycznych;
Strona 23 z 32
Dokumentacja z przeprowadzonych szkole pod ktem zakresu tematycznego, w tym:
aktualnoci informacji o zagroeniach, skutkach i zabezpieczeniach, wskanik liczby osb
przeszkolonych w stosunku do wszystkich osb uczestniczcych w procesie przetwarzania
informacji, a take cyklicznoci szkole, zgodnie z 20 ust. 2 pkt 6 rozporzdzenia KRI.
Dowodami z kontroli s: Dokumentacja szkolenia pracownikw zaangaowanych w proces
przetwarzania informacji, w tym: programy szkole i listy uczestnikw.
2.6. Praca na odlego i mobilne przetwarzanie danych
Wobec moliwoci technicznych zwizanych z teleprac (prac poza siedzib podmiotu publicznego
z wykorzystaniem urzdze mobilnych takich jak laptopy, tablety, smartfony) pojawiaj si nowe
zagroenia BI. Konieczne jest opisanie zasad okrelajcych sposoby zabezpieczenia urzdze
mobilnych i danych w nich zawartych przed kradzie i nieuprawnionym dostpem poza siedzib
jednostki, a take zasady korzystania z oglnodostpnych sieci.
Kontroli podlegaj:
Regulacje wewntrzne zaw1eraJce zasady bezpiecznej pracy uytkownikw przy
wykorzystaniu urzdze przenonych i pracy na odlego, zgodne z 20 ust. 2 pkt 8
rozporzdzenia KRI;
Dziaania w zakresie stosowania zasad bezpiecznej pracy uytkownikw przy wykorzystaniu
urzdze przenonych i pracy na odlego, w tym stosowania zabezpiecze i procedur
bezpieczestwa przez uytkownikw urzdze przenonych i pracy na odlego.
Dowodami z kontroli s: Dokumentacja dotyczca zarzdzania urzdzeniami przenonymi i prac
na odlego, w tym: procedury bezpiecznej pracy uytkownikw przy wykorzystaniu urzdze
przenonych i pracy na odlego, dokumentacja wykonywania ww. procedur.
2.7. Serwis sprztu informatycznego i oprogramowania
W przypadku systemw informatycznych o znaczeniu krytycznym dla podmiotu publicznego
niezbdne jest objcie tych systemw (w zakresie oprogramowania uytkowego i systemowego,
sprztu oraz rozwiza telekomunikacyjnych) stosownymi umowami serwisowymi, gwarantujcymi
odpowiednio szybkie uruchomienie pracy systemu w przypadku awarii oraz gwarantujcymi BI dla
informacji uzyskanych przez wykonawcw w zwizku z ich realizacj. Umowy serwisowe jak
i umowy dotyczce rozwoju oprogramowania powinny posiada klauzule prawne zabezpieczajce BI
w przypadku wejcia w ich posiadanie przez podmioty zewntrzne a take zapisy umoliwiajce
urzdowi przeprowadzenie kontroli podmiotu zewntrznego w zakresie przestrzegania zasad BI.
Strona 24 z 32
Kontroli podlegaj:
Regulacje wewntrzne, w ktrych okrelono zasady wsppracy z podmiotami zewntrznymi
w zakresie serwisu i rozwoju systemw teleinformatycznych, w tym wymagane klauzule
prawne dotyczce BI;
Umowy serwisowe oraz umowy dotyczce rozwoju systemw teleinformatycznych w zakresie
zapisw gwarantujcych odpowiedni poziom BI, zgodne z 20 ust. 2 pkt 1 Orozporzdzenia
KRI.
Dowodami z kontroli s: Zapisy umw serwisowych oraz umw dotyczcych rozwoju systemw
teleinformatycznych.
2.8. Procedury zgaszania incydentw naruszenia BI
Pomimo stosowania zabezpiecze (wynikajcych z analizy ryzyka) pozwalajcych na ograniczanie
ryzyka zwizanego z przetwarzaniem informacji w podmiocie istnieje ryzyko szcztkowe wiadomie
akceptowane przez kierownictwo. W ramach ryzyka szcztkowego, a w tym take ryzyka
niezidentyfikowanego i nieobjtego analiz mog pojawi si incydenty naruszenia BI. Incydenty
te powinny by bezzwocznie zgaszane w okrelony i z gry ustalony sposb, a take powinien by
opisany sposb reakcji na te incydenty przez wyznaczone osoby w celu szybkiego podjcia dziaa
korygujcych. Wynik analizy incydentw naruszenia BI powinien wpyn na doskonalenie SZBI
i samych zabezpiecze. Wskazana jest wsppraca z CERT.GOV.PL w zakresie wymiany informacji
o zagroeniach i skutecznych zabezpieczeniach.
Kontroli podlegaj:
Regulacje wewntrzne, w ktrych okrelono zasady zgaszania i postpowania z incydentami
naruszenia bezpieczestwa informacji.
Sposb zgaszania i postpowania z incydentami (dziaania korygujce), rejestr incydentw
naruszenia BI, wpyw analizy incydentw na SZBI, ewentualna wsppraca z CERT.GOV.PL,
zgodnie z 20 ust. 2 pkt 13 rozporzdzenia KRI.
Dowodami z kontroli s: Dokumentacja postpowania z incydentami naruszenia BI w tym rejestr
incydentw naruszenia BI, procedury zgaszania i postpowania z incydentami, dokumentacja
wykonywania ww. procedur.
Strona 25 z 32
2.9. Audyt wewntrzny z zakresu bezpieczestwa informacji10
Wymogiem SZBI jest regularne przeprowadzanie audytw wewntrznych w zakresie BI w systemach
informatycznych. Celem audytw jest ewentualne ujawnienie saboci SZBI a take saboci
zabezpiecze i w wyniku zalece poaudytowych doskonalenie SZBI oraz zabezpiecze.
Kontroli podlegaj:
Regulacje wewntrzne, w ktrych okrelono zasady przeprowadzania audytw wewntrznych
w zakresie BI;
Sprawozdania z audytu wewntrznego w zakresie bezpieczestwa informacji, zgodnie z 20
ust. 2 pkt 14 rozporzdzenia KRI;
Dziaania podjte w wyniku zalece poaudytowych.
Dowodami z kontroli s: Dokumentacja audytw z zakresu BI. Dokumentacja realizacji zalece
poaudytowych.
2.10. Kopie zapasowe
Jednym z kluczowych sposobw zapobiegania utracie informacji w wyniku awarii jest wykonywanie
kopii zapasowych. Tworzenie kopi zapasowych jest elementem planu cigoci dziaania (BCP).
Kopie powinny by waciwie tworzone, przechowywane i testowane. Celem tworzenia kopii
zapasowych jest moliwo odzyskania danych i przywrcenia do pracy uytkowej systemu
teleinformatycznego wraz z informacjami przechowywanymi przez ten system np. w bazie danych.
Wymg ten mona osign wykonujc regularnie kopie zapasowe caego rodowiska pracy danego
systemu teleinformatycznego, tj. systemu operacyjnego, jego konfiguracji (w tym konfiguracji
zabezpiecze), systemu informatycznego i informacji w nim przechowywanych. Wymagane jest
regularne testowanie jakoci kopii zapasowych poprzez odtworzenie systemu informatycznego z kopii
zwykle na niezalenym od rodowiska produkcyjnego sprztowym rodowisku testowym oraz
testowaniu pracy uytkowej odtworzonego systemu. Wskazane jest przechowywanie kopii
zapasowych w innej lokalizacji ni miejsce ich tworzenia, w odlegoci niezbdnej do uniknicia
uszkodze spowodowanych przez katastrof, ktra dotknaby orodek podstawowy przetwarzania
danych.
10 Szerzej w dokumentach pn. ,,Wsplne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansw Publicznych MF odnonie do zapewnienia audytu wewntrznego w zakresie bezpieczestwa informacji" oraz Wytyczne dotyczce prowadzenia audytu bezpieczestwa informacji przez komrk audytu wewntrznego" dostpnych na stronach internetowych Ministerstwa Finansw.
Strona 26 z 32
Kontroli podlegaj:
Regulacje wewntrzne, w ktrych okrelono zasady tworzenia, przechowywania oraz
testowania kopii zapasowych danych i systemw podmiotu publicznego, zgodnie 20 ust. 2
pkt 12 lit. b rozporzdzenia KRI.
Dziaania zwizane z wykonywaniem, przechowywaniem i testowaniem kopii zapasowych
danych i systemw oraz dokumentacja tych dziaa.
Dowodami z kontroli s: Dokumentacja wykonywania kopii zapasowych w tym: procedury
wykonywania, przechowywania i testowania kopii zapasowych oraz dokumentacja wykonywania
ww. procedur.
2.11. Projektowanie, wdraanie i eksploatacja systemw teleinformatycznych
Bezpieczestwo systemu teleinformatycznego w duym stopniu zaley od jego budowy. Std
wymagania aby system teleinformatyczny zosta zaprojektowany i zbudowany zgodnie z zasadami BI
opisanymi w obowizujcych normach i standardach przemysowych. Procedury odbioru danego
systemu teleinformatycznego musz zagwarantowa kompleksowe przetestowanie wbudowanych
zabezpiecze pod wzgldem uzyskania zaoonego poziomu BI. Podczas uytkowania systemu
teleinformatycznego konieczne jest monitorowanie jego pracy w celu m.in. dostrzeenia wszelkich
nieprawidowoci w jego pracy i podejmowania bezporednich dziaa korygujcych. Powysze
wymagania dotycz take wszelkich zmian w systemach teleinformatycznych aktualnie
eksploatowanych w urzdzie.
Kontroli podlegaj:
Zapewnienie warunkw dla uzyskania odpowiedniej funkcjonalnoci, niezawodnoci,
uywalnoci, wydajnoci, przenaszalnoci i pielgnowalnoci systemw informatycznych
w fazie ich projektowania, wdraania i eksploatacji, zgodnie z 15 ust. 1 rozporzdzenia KRI;
Regulacje wewntrzne opisujce wymagania w zakresie projektowania systemw
teleinformatycznych w urzdzie dotyczce architektury systemu, sposb licencjonowania
i wykorzystania praw autorskich, zgodnoci z obowizujcym prawem (m.in. ustaw
o iriformatyzacji), sposobu i poziomu zabezpiecze, zastosowania norm i standardw
przemysowych, zastosowania rozwiza funkcjonalnych odpowiednich dla osignicia
zaoonych celw, prezentacji treci dla osb niepenosprawnych, wydajnoci, poziomu
niezawodnoci w tym parametrw SLA na usugi serwisowe, mechanizmw kontroli i audytu;
Regulacje wewntrzne opisujce wymagania w zakresie wdraania systemw
teleinformatycznych w urzdzie dotyczce: sposobu dostarczenia i instalacji systemu
teleinformatycznego, wymaga sprztowych i rodowiskowych dla systemu, sposobu
i zakresu testw odbiorowych oraz rodzaju i zakresu dokumentacji a take warunkw
i kryteriw odbioru;
Strona 27 z 32
Regulacje wewntrzne opisujce sposb przeprowadzania zmian w systemach
teleinformatycznych (w trakcie ich eksploatacji) w tym opis: sposobu zgaszania zmiany,
analizy zmiany pod ktem wykonalnoci, kosztw, ryzyk, a take okrelenia sposobu
wykonania i odbioru zmiany;
Regulacje wewntrzne opisujce proces monitorowania systemw teleinformatycznych
i rodowiska ich pracy pod ktem wydajnoci i pojemnoci w celu zapobieenia ewentualnym
problemom z tym zwizanych wobec wzrostu iloci systemw teleinformatycznych, iloci
przetwarzanych danych, iloci uytkownikw poprzez podejmowanie dziaa
zapobiegawczych;
Dziaania zwizane z wdraaniem nowych systemw teleinformatycznych oraz
wprowadzaniem zmian w systemach eksploatowanych;
Dziaania zwizane z monitorowaniem systemw teleinformatycznych i rodowiska ich pracy
pod ktem wydajnoci i pojemnoci;
Dziaania zapobiegawcze bdce wynikiem dostrzeonych problemw podczas
monitorowania ich pracy.
Dowodami z kontroli s: Dokumentacja wdroe nowych systemw teleinformatycznych,
dokumentacja wprowadzanych zmian w systemach eksploatowanych, dokumentacja monitorowania
systemw teleinformatycznych oraz dziaa zapobiegawczych bdcych wynikiem dostrzeonych
problemw podczas monitorowania.
2.12. Zabezpieczenia techniczno-organizacyjne dostpu do informacji
W celu uzyskania odpowiedniego poziomu BI przy jednoczesnym zapewnieniu waciwego do nich
dostpu przez uprawnionych uytkownikw stosowany jest szereg zabezpiecze informatycznych.
Celem zabezpiecze jest uzyskanie ochrony przetwarzanych informacji przed ich kradzie,
nieuprawnionym dostpem, uszkodzeniami lub zakceniami, a take np. kradzie rodkw
przetwarzania informacji. Zastosowane zabezpieczenia powinny by opisane w planie postpowania
z ryzykiem i adekwatne do poziomu ryzyka wynikajcego z analizy ryzyka BI.
Kontroli podlegaj:
Regulacje wewntrzne, w ktrych ustalono zasady postpowania z informacjami zapewniajce
minimalizacj wystpienia ryzyka kradziey informacji i rodkw przetwarzania informacji,
oraz urzdze mobilnych, w tym plan postpowania z ryzykiem, zgodne z 20 ust. 2 pkt 11
rozporzdzenia KRI;
Regulacje wewntrzne dotyczce zapewnienia ochrony przetwarzanych informacji przed ich
kradzie, nieuprawnionym dostpem, uszkodzeniami lub zakceniami poprzez ustalenie
zabezpiecze informacji w sposb uniemoliwiajcy nieuprawnionemu jej ujawnienie,
modyfikacje usunicie lub zniszczenie, zgodnie z 20 ust. 2 pkt 7 i 9 rozporzdzenia KRI;
Strona 28 z 32
Dziaania zwizane z monitorowaniem dostpu do informacji np. w systemie informatycznym
odnotowujcym w bazie danych wszystkie dziaania uytkownikw i administratorw
dotyczce systemw teleinformatycznych podmiotu publicznego. Dziaania zwizane
z monitorowaniem ruchu osobowego w urzdzie, zgodnie z 20 ust. 2 pkt 7 lit a)
rozporzdzenia KRI;
Czynnoci zmierzajce do wykrycia nieautoryzowanych dziaa zwizanych z przetwarzaniem
informacji poprzez kontrol logw systemw, kontrol wej i wyj do pomieszcze
serwerowni, analiz rejestru zgosze serwisowych, analiz rejestru incydentw naruszenia
BI, zgodnie z 20 ust. 2 pkt 7 lit b) rozporzdzenia KRI;
Dziaania zwizane z zapewnieniem rodkw uniemoliwiajcych nieautoryzowany dostp
na poziomie systemw operacyjnych usug sieciowych i aplikacji poprzez stosowanie systemu
kontroli dostpu do pomieszcze serwerowni, systemu autoryzacji dostpu do systemw
operacyjnych, sieci i aplikacji, stosowanie zabezpiecze kryptograficznych, stosowanie
systemw antywirusowych i antyspamowych, stosowanie zapr sieciowych typu firewall
zgodnie z wynikami analizy ryzyka i planem postpowania z ryzykiem, zgodnie z 20 ust. 2
pkt 7 lit c) rozporzdzenia KRI;
Dziaania zwizane z ochron fizyczn informacji zapewniajce minimalizacj wystpienia
ryzyka kradziey informacji i rodkw przetwarzania informacji, w tym urzdze mobilnych,
zgodne z wynikami analizy ryzyka i planem postpowania z ryzykiem;
Dziaania zwizane z utylizacj sprztu informatycznego i nonikw danych a take zwizane
z przekazywaniem sprztu informatycznego do naprawy w sposb gwarantujcy zachowanie
BI.
W celu identyfikacji pracownikw w systemach teleinformatycznych urzdw zaleca si stosowanie
mechanizmw uwierzytelnienia zbudowanych w oparciu o architektur PKI wykorzystujcych
certyfikaty X.509 wraz z zastosowaniem kart inteligentnych oraz zintegrowanie powyszych kart
z elektronicznym systemem kontroli dostpu fizycznego do budynku, ponadto w celu zapewnienia
integralnoci i autentycznoci korespondencji elektronicznej e-mail zaleca si stosowanie podpisu przy
uyciu nie kwalifikowanych certyfikatw elektronicznych w standardzie X.509 zbudowanych
w oparciu o architektur PKI podmiotu publicznego11
Dowodami z kontroli s: Dokumenty wprowadzajce stosowanie zabezpiecze, dokumentacja
zabezpiecze, w tym: procedury stosowania zabezpiecze, dokumentacja wykonywania ww. procedur.
11 Rekomendacja Komitetu Rady Ministrw ds. Cyfryzacji pn. rodki identyfikacji w administracji publicznej z kwietnia 2015 r. o sygnaturze MAC/SEC/1/15.
Strona 29 z 32
2.13. Zabezpieczenia techniczno-organizacyjne systemw informatycznych
Aby zapewni bezpieczestwo informacji przetwarzanych przez systemy teleinformatyczne niezbdne
jest stosowanie szeregu zabezpiecze techniczno-organizacyjnych dotyczcych rodowiska
teleinformatycznego pracy danego systemu. Rodzaj i poziom zastosowanych zabezpiecze powinien
wynika z planu postpowania z ryzykiem i powinien by adekwatny do poziomu ryzyka
wynikajcego z analizy ryzyka BI.
Kontroli podlegaj:
Regulacje wewntrzne, w ktrych ustalono zasady w celu zapewnienia odpowiedniego
poziomu bezpieczestwa systemw teleinformatycznych poprzez opisy stosowania
zabezpiecze, w tym plan postpowania z ryzykiem, zgodnie z 20 ust. 2 pkt 12 oraz ust. 4
rozporzdzenia KRI;
Dziaania zwizane z aktualizacj oprogramowama oraz redukcj ryzyk wynikajcych
z wykorzystywania opublikowanych podatnoci technicznych systemw teleinformatycznych
poprzez wdraanie nowych wersji oprogramowania systemowego i uytkowego, poprawek
i uzupenie podnoszcych ich bezpieczestwo, aktualizacj oprogramowania
antywirusowego i antyspamowego, aktualizacj oprogramowania zabezpieczajcego ruch
sieciowy zgodnie z wynikami analizy ryzyka i planem postpowania z ryzykiem;
Dziaania zwizane z minimalizowaniem ryzyka utraty informacji w wyniku awarii oraz
ochron przed bdami, utrat i nieuprawnion modyfikacj a take zapewnienie
bezpieczestwa plikw systemowych poprzez zastosowanie bezpiecznych i redundantnych
rozwiza sprztowych, w tym np.: dwustronnego bezprzerwowego zasilania, redundancji
klimatyzacji, zastosowania klastra serwerw wysokiej dostpnoci, redundancji macierzy
dyskowych i urzdze sieciowych, rwnowaenie obcienia ( ang. load balancing),
monitorowania parametrw rodowiskowych w serwerowni (temperatura, wilgotno,
zadymienie, wyciek wody), zastosowania systemu kopii zapasowych, systemu kontroli
dostpu do zasobw informatycznych, systemu monitorowania funkcjonowania systemw
teleinformatycznych i sieci zgodnie z wynikami analizy ryzyka i planem postpowania
z ryzykiem;
Dziaania zwizane z zastosowaniem mechanizmw kryptograficznych w sposb adekwatny
do zagroe lub wymogw przepisw prawa poprzez stosowanie zabezpiecze
kryptograficznych np.: dla transmisji do urzdze mobilnych, poczty elektronicznej, a take
podpisw kwalifikowanych do autoryzacji dokumentw zgodnie z wynikami analizy ryzyka
i planem postpowania z ryzykiem;
Dziaania podejmowane w zwizku z dostrzeeniem nieujawnionych podatnoci systemw
teleinformatycznych na moliwo naruszenia bezpieczestwa;
Strona 30 z 32
Dziaania zwizane z kontrol zgodnoci systemw teleinformatycznych z odpowiednimi
normami i politykami bezpieczestwa.
Dowodami z kontroli s: plan postpowania z ryzykiem, dokumentacja zabezpiecze, w tym:
procedury stosowania zabezpiecze i dokumentacja wykonywania ww. procedur.
2.14. Rozliczalno dziaa w systemach informatycznych
Przetwarzanie informacji w systemach teleinformatycznych wymaga dostpu do danych przez
uprawnione osoby i obiekty systemowe (procesy) w ustalonym zakresie. Zapewnienie rozliczalnoci
operacji polega na gromadzeniu informacji o tym, kto, kiedy i co wykona w systemie
teleinformatycznym. Obligatoryjnie podlegaj dokumentowaniu w postaci zapisw w dziennikach
systemw (logi) wszelkie dziaania dostpu do systemu teleinformatycznego z uprawnieniami
administracyjnymi, w zakresie konfiguracji systemu i jego zabezpiecze a take dziaania, gdy
przetwarzanie danych podlega prawnej ochronie (np. zgodnie z ustaw o ochronie danych
osobowych). Z analizy ryzyka moe wynika konieczno rozszerzenia zakresu dokumentowania
w dziennikach systemowych dziaa uytkownikw nieposiadajcych uprawnie administracyjnych,
zdarze systemowych i parametrw rodowiskowych systemu teleinformatycznego. Informacje
zawarte w dziennikach systemowych powinny by regularnie przegldane w celu wykrycia dziaa
niepodanych i powinny by przechowywane w bezpieczny sposb, co najmniej 2 lata.
Kontroli podlegaj:
Regulacje wewntrzne zaw1eraJce zasady prowadzenia i wykorzystania dziennikw
systemowych (logw), w ktrych odnotowuje si obligatoryjnie dziaania uytkownikw lub
obiektw systemowych, zgodnie z 21 rozporzdzenia KRI;
Dziaania zwizane z zapewnieniem rozliczalnoci uytkownikw, szczeglnie posiadajcych
uprawnienia: administrowania systemami uytkowymi, zmiany konfiguracji systemw
operacyjnych i ich zabezpiecze, przetwarzania danych podlegajcych prawnej ochronie;
Dziaania zwizane z zapewnieniem rozliczalnoci dziaa uytkownikw lub obiektw
systemowych a take rejestracji innych zdarze systemowych w zakresie wynikajcym
z analizy ryzyka;
Dziaania zwizane z regularnym przegldaniem logw i ich analiz w celu identyfikacji
dziaa niepodanych;
Okres i sposb przechowywania dziennikw systemowych.
Dowodami z kontroli s: Dokumenty zawierajce analiz ryzyka, dokumentacja dziennikw
systemowych, w tym: procedury prowadzenia i dostpu do dziennikw systemowych oraz
dokumentacja wykonywania ww. procedur.
Strona 31 z 32
3. Zapewnienie dostpnoci informacji zawartych na stronach internetowych
urzdw dla osb niepenosprawnych
Uwzgldniajc potrzeby osb niepenosprawnych podmiot publiczny powm1en zastosowa
w eksploatowanych systemach teleinformatycznych rozwizania techniczne umoliwiajce osobom
niedosyszcym, niedowidzcym lub niewidomym zapoznanie si z treci informacji, m.in. poprzez
powikszenie czcionki, obrazu, zmian kontrastu. Zgodnie z 19 rozporzdzenia KRI w systemie
teleinformatycznym podmiotu realizujcego zadania publiczne suce prezentacji zasobw informacji
naley zapewni spenienie przez ten system wymaga Web Content Accessibility Guidelines
(WCAG 2.0), z uwzgldnieniem poziomu AA, okrelonych w zaczniku nr 4 do rozporzdzenia.
Termin dostosowania systemw teleinformatycznych do prezentacji zasobw informacyjnych
wg powyszego standardu min 30 maja 2015 r.
Kontroli podlegaj:
Sposb prezentacji informacji na stronach internetowych systemw telekomunikacyjnych
podmiotu publicznego, zgodnie z 19 rozporzdzenia KRI.
Dowodami z kontroli s: Opis zastosowanych rozwiza technicznych umoliwiajcych osobom
niedosyszcym lub niedowidzcym zapoznanie si z treci informacji na stronach internetowych
systemw teleinformatycznych podmiotu publicznego, dokumentacja systemu teleinformatycznego.
Wyniki z przeprowadzonych testw razem z ich interpretacj.
Opracowa:
Departament Kontroli, Skarg i Wnioskw we wsppracy z Departamentem Informatyzacji oraz Departamentem Spoeczestwa Informacyjnego
Strona 32 z 32
Zacznik nr 1 do Wytycznych dla kontroli dziaania systemw teleinformatycznych uywanych do realizacji zada publicznych
Ankieta dotyczca dziaania systemw teleinformatycznych uywanych do realizacji zada publicznych
Dokumenty Samoocrn11 Komrka I nr telefoaa do spenieniapotwierdzajate Uwagi i
wymagania*)spelnieuie wyjanienia*) SIN/CS/ND:anla*
6s
I !Wymiana informacji w postaci elektronicznej, w tym wsppraca z innymi systemami/rejestrami informatycznymi i wspomaganie wiadczenia usug drog elektroniczn
1.llUslugi elektroniczne
1.1.llCzy Podmiot publiczny udostpnia elektroniczn art. 16ust. Ja skrzynk podawcz, speniajc standardy ustawy o okrelone i opublikowane na ePUAP przez ministra informatyzacji waciwego do spraw informatyzacji, oraz zapewnia ej obsug? 5 ust. 2 pkt 1
rozporzdzenia KRI Czy interoperacyjno na poziomie organizacyjnym osigana jest przez: 5 ust. 2 pkt ./ - informowanie przez podmioty realizujce zadania rozporzdzenia KRI publiczne, w sposb umoliwiajcy skuteczne zapoznanie si, o sposobie dostpu oraz zakresie uytkowym serwisw dla usug realizowanych przez te podmioty, - publikowanie i uaktualnianie w Biuletynie Informacji Publicznej przez podmiot realizujcy zadania publiczne opisw procedur obowizujcych przy zaatwianiu spraw z zakresu jego waciwoci drog elektroniczn?
1.2ICentralne repozytorium wzorw dokumentw elektronicznych
1.2. l lCzy organ administracji publicznej przekazuje dolar/. 19b mt. 3 centralnego repozytorium (prowadzonego w ramach ustawy o ePUAP przez Ministra waciwego do spraw informatyzacji informatyzacji) oraz udostpnia w Biuletynie Informacji Publicznej wzory dokumentw elektronicznych?
1.31Model usugowy
1.3.1 ICzy zarzdzanie usugami realizowanymi przezl 15 ust. 2 systemy teleinformatyczne ma na celu dostarczanie rozporzdzenia KRI tych usug na deklarowanym poziomie dostpnoci i odbywa si w oparciu o udokumentowane procedury?
~wiadczenie usug w formie elektronicznej z wykorzystaniem ESP Zamieszczenie na gwnej stronie internetowej podmiotu (i/lub na stronie BIP podmiotu), odesania do opisw usug, ktre zawieraj wymagane informacje dotyczce m.in. aktualnej podstawy prawnej wiadczonych usug, nazwy usug, miejsca wiadczenia usug (zoenia dokumentw), terminu skadania i zaatwiania spraw oraz nazwy komrek odpowiedzialnych za zaatwienie spraw.
Wykorzystanie przez urzd wzorw dokumentw elektronicznych przechowywanych w CRWDE, jakie zostay ju wczeniej opracowane i s uywane przez inny urzd. Przekazanie do CRWDE oraz udostpnienie w BIP wzorw dokumentw elektronicznych.
Poziom wspierania modelu usugowego w procesie wiadczenia usug elektronicznych przez systemy teleinformatyczne podmiotu. Weryfikacja sposobu zarzdzania usugami w oparciu o ustalone procedury, w tym: moliwo zidentyfikowania waciciela merytorycznego usug (komrka organizacyjna podmiotu), ustalenie odpowiedzialnoci za utrzymanie usug od strony technicznej, okrelenie poziomu wiadczenia usug, monitorowanie poziomu wiadczenia usug na zadeklarowanym poziomie.
Koiitroll podlepJl
3 "
osoby udzielajatej
odpowiedzi*
'
str.1/7 Strona 1 z 7
1.4.IWsplpraca systemw teleinformatycznych z innymi systemami
1.4. I ICzy interoperacyjno na poziomie semantycznym 5 ust. 3 pkt 3 ;osigana Jest przez stosowarue w reJestrach rozporzdzenia KRI prowadzonych przez podmioty odwoa do rejestrw zawierajcych dane referencyjne w 16 ust. 1 zakresie niezbdnym do realizacji zada? rozporzdzenia KJU
Czy systemy teleinformatyczne uywane przez podmioty realizujce zadania publiczne wyposaa si w skadniki sprztowe lub oprogramowanie umoliwiajce wymian danych z innymi systemami teleinformatycznymi za pomoc protokow komunikacyjnych i szyfrujcych okrelonych w obowizujcych przepisach, normach, standardach lub rekomendacjach ustanowionych przez krajow jednostk normalizacyjn lub jednostk normalizacyjn Unii Europejskiej?
Poziom wsppracy systemw teleinformatycznych z innymi systemami podmiotu lub systemami informatycznymi innych urzdw w tym rejestrami referencyjnymi. Sposb komunikacji z innymi systemami, w tym wyposaenie w skadniki sprztowe lub oprogramowanie umoliwiajce wymian danych z innymi systemami telekomunikacyjnymi za pomoc protokow komunikacyjnych i szyfrujcych zapewniajcych BI.
1.SIObieg dokumentw w urzdzie
1.5.1 ICzy zapewniono zabezpieczenie informacji wsposb uniemoliwiajcy nieuprawnionemu jej ujawnienie, modyfikacje, usunicie lub zniszczenie?
20 ust. 2 pkt 9 rozporzdzenia KRJ
,. Regulacje wewntrzne opisujce sposb zarzdzania obiegiem dokumentw w podmiocie, w tym zakres stosowania elektronicznego obiegu dokumentw.
1.61Formaty danych udostpniane przez systemy teleinformatyczne
1.6.llCzy kodowanie znakw w dokumentach 17 ust.] wysyanych z systemu teleinformatycznego take w rozporzdzenia KRJ odniesieniu do informacji wymienianej przez te systemy z innymi systemami na drodze 18 ust I teletransmisji, odbywa si wedug standardu rozporzdzenia KRJ Unicode UTF-8 okrelonego przez norm ISO/IEC 10646 wraz ze zmianami lub norm j zastpujc? ' 18 ust. 2
rozporzdzenia KRI Czy system teleinformatyczny udostpnia zasoby informacyjne co najmniej w jednym z formatw danych okrelonych w zaczniku nr 2 do rozporzdzenia KRI?
ICzy system teleinformatyczny umoliwia przyjmowanie dokumentw elektronicznych sucych do zaatwiania spraw nalecych do zakresu dziaania podmiotu w formatach danych okrelonych w zacznikach nr 2 i 3 do rozporzdzenia KRI - jeeli z przepisw szczegowych albo opublikowanych w repozytorium interoperacyjnoci schematw XML lub innych wzorw nie wynika inaczej?
Potwierdzenie sposobu kodowania znakw w dokumentach wysyanych i odbieranych z systemw teleinformatycznych podmiotu.
Potwierdzenie sposobu udostpniania zasobw informatycznych z systemw teleinformatycznych podmiotu.
Potwierdzenie sposobu przyjmowania dokumentw elektronicznych przez systemy teleinformatyczne podmiotu.
str.2/7 Strona 2 z 7
2 System zarzdzania bezpieczestwem informacji w systemach teleinformatycznych
Dokumenty z zakresu bezpieczestwa informacji, Zaangaowanie kierownictwa podmiotu 2.1
20 11st. J Dokwnentacja SZBI w tym Polityka BI oraz inne dokwnenty stanowice SZBI, w tym m.in.: Zarzdzania Bezpieczestwem Informacji (SZBI)
Z.I.I Czy opracowano, ustanowiono i wdroono System PBI, dokwnentacja przegldw SZBI, dokumentacja szacowania ryzyka, audyty,
zapewniajcy poufno, dostpno i integralno rozporzdzenia KRI
dokumentacja incydentw naruszenia BI. informacji z uwzglednieniem takich atrybutw, jak 20 I/SI. 2 Stopie zaangaowania kierownictwa podmiotu publicznego w proces ustanawiania BI. autentyczno, rozliczalno, niezaprzeczalno i rozporzdzenia KRI
niezawodno?
Dziaania zwizane z aktualizacj regulacji wewnttznych w zakresie zmieniajcego si przegldom oraz doskonalony? Czy SZBI jest monitorowany, poddawany 20ust. J2.1.2
rozporzdzenia KRJ otoczenia bdce konsekwencj wynikw analizy ryzyka, wnioskw z przegldw SZBI, zalece poaudytowych, wnioskw z analizy incydentw naruszenia BI.
Czy zarzdzanie bezpieczestwem informacji 20 US/. 2 pkt J Stopie zaangaowania kierownictwa podmiotu publicznego w proces zarzdzania BI, realizowane jest w szczeglnoci przez zapewnienie rozporzqdzena (przegldy SZBI, egzekwowanie dziaa zwizanych z BI).
przez kierownictwo podmiotu publicznego
warunkw wnoliwiajcych realizacje i
egzekfowanie dziaa zwizanych z BI?
Czy regulacje wewntrzne w zakresie SZBI s aktualizowane w zakresie dotyczcym zmieniajcego si otoczenia?
Analiza zagroe zwi'IZ"nych z przetwarzaniem informacji 2.2
Czy przeprowadzana jest okresowa analiza ryzyka 20 1/S(. 2 pkt 3 Regulacje wewn!Jzne opisujce sposb zarzdzania ryzykiem BI.
utraty integralnoci, dostpnoci lub poufnoci
2.2.1 rozporzdzenia KRI Dokwnentacja z przeprowadzania okresowej analizy ryzyka utraty integralnoci, poufnoci
informacji oraz czy podejmowane s dziaania lub dostpnoci informacji, w tym rejestr ryzyka, zawierajcy informacje o minimalizujce to ryzyko, stosownie do wynikw zidentyfikowanych ryzykach, ich poziomie, sposobie postpowania z ryzykami oraz plan przeprowadzonej analizy? postpowania z ryzykiem.
Dziaania minimalizujce ryzyko zgodnie z planem postpowania z ryzykiem, stosownie do analizy ryzyka.
Inwentaryzacja sprztu i oprogramowania informatycznego 2.3
2.3.I Czy utrzymywana jest aktualno inwentaryzacji 20 ust. 2 pkt 2 Regulacje wewnttzne opisujce sposb zarzdzania sprztem informatycznym i sprztu i oprogramowania sucego do rozporzdzenia KRI oprogramowaniem (w tym licencjami na oprogramowanie) oraz funkcjonowania rejestru przetwarzania informacji obejmujcej ich rodzaj i zasobw teleinformatycznych (baz konfiguracji CMDB).
konfiguracj? Rejestr zasobw teleinformatycznych (baza konfiguracji CMDB) zawierajcy informacje o
wszystkich zidentyfikowanych aktywach informatycznych, w tym: szczegowe dane o urzdzeniach technicznych, oprogramowaniu i rodkach komunikacji, ich rodzaju, parametrach, aktualnej konfiguracji i relacjach midzy elementami konfiguracji oraz uytkowniku.
Sposb aktualizacji rejestru zasobw teleinformatycznych (bazy konfiguracji CMDB).
str.3n Strona 3 z 7
2.4 Zarzdzanie uprawnieniami do pracy w systemach. informatycznych
2.4.1 Czy osoby zaangaowane w proces przetwarzania 20 ml. 2 pkt 4 Regulacje wewntrzne opisujce zarzdzanie uprawnieniami uytkownikw do pracy w informacji posiadaj stosowne uprawnienia i rozporzdzenia KRI systemach teleinformatycznych w tym do przetwarzania danych osobowych. uczestnicz w tym procesie w stopniu adekwablym Adekwablo poziomu uprawnie do pracy w systemach teleinformatycznych do zakresu do realizowanych przez nie zada oraz obowizkw 20 ust. 2 pkt 5 czynnoci i posiadanych upowanie dostpu do informacji w tym upowanie do majcych na celu zapewnienie bezpieczestwa rozporzdzenia KRI przetwarzania danych osobowych (rejestr wydanych upowanie). informacji? Dziaania w zakresie monitoringu i kontroli dostpu do zasobw teleinformatycznych w tym
przegldy w celu wykrywania nieuprawnionego dostpu, nadmiernych uprawnie, konfliktu Czy zakres uprawnie osb zaangaowanych w interesw czy nadzorowania samego siebie itp. przetwarzanie danych jest bezzwocznie zmieniany, Sposb i szybko odbierania uprawnie byym pracownikom w systemach w przypadku zmiany zada tych osb? informatycznych.
2.5 Szkolenia pracownikw zaangaowanych w proces przetwarzania informacji
2.5.1 Czy zapewniono szkolenie osb zaangaowanych w 20 11st. 2 pkt 6 Regulacje wewntrzne dotyczce przeprowadzania szkole uytkownikw zaangaowanych proces przetwarzania informacji, ze szczeglnym rozporzdzenia KRI w procesie przetwarzania informacji w systemach teleinformatycznych. uwzgldnieniem takich zagadnie, jak: Dokumentacja z przeprowadzonych szkole pod ktem zakresu tematycznego, w tym a) zagroenia bezpieczestwa informacji, aktualnoci informacji o zagroeniach, skutkach i zabezpieczeniach, wskanik liczby osb b) skutki naruszenia zasad bezpieczestwa przeszkolonych w stosunku do wszystkich osb uczestniczcych w procesie przetwarzania informacji, w tym odpowiedzialno prawna, informacji, a take cyklicznoci szkole. c) stosowanie rodkw zapewniajcych bezpieczestwo informacji, w tym urzdzenia i oprogramowanie minimalizujce ryzyko bdw ludzkich?
.2.6 Praca na odlego i mobilne przetwarzanie danych
2.6.1 Czy ustanowiono podstawowe zasady gwarantujce 20 11st. 2 pkt 8 Regulacje wewntrzne, w ktrych okrelono zasady bezpiecznej pracy uytkownikw przy bezpieczn prac przy przetwarzaniu mobilnym i rozporzdzeniaKRI wykorzystaniu urzdze przenonych i pracy na odlego. pracy na odlego? Dziaania w zakresie stosowania zasad bezpiecznej pracy uytkownikw przy
wykorzystaniu urzdze przenonych i pracy na odlego, w tym stosowania zabezpiecze i procedur bezpieczestwa przez uytkownikw urzdze przenonych i pracy na odlego.
2,7 Serwis sprztu informatycznego i oprogramowania
2.7.1 Czy umowy serwisowe podpisane ze stronami 20 11st. 2 pkt JO Regulacje wewntrzne, w ktrych okrelono zasady wsppracy z podmiotami trzecimi zawieraj zapisy gwarantujce odpowiedni rozporzdzenia KRI zewntrznymi w zakresie serwisu i rozwoju systemw teleinformatycznych, w tym wymagane poziom bezpieczestwa informacji? klauzule prawne dotyczce BI.
Umowy serwisowe oraz umowy dotyczce rozwoju systemw teleinformatycznych w zakresie zapisw gwarantujcych odpowiedni poziom BI.
2.8 Procedury zgaszania incydentw naruszenia BI
2.8.1 Czy incydenty naruszenia bezpieczestwa~ar. 20 ust. 2 pkt 13 Regulacje wewntrzne, w ktrych okrelono zasady zgaszania i postpowania z informacji s bezzwocznie zgaszane w okrelony i rozporzdzenia KRI incydentami naruszenia bezpieczeshva informacji. z gry ustalony sposb, umoliwiajcy szybkie Sposb zgaszani i postpowania z incydentami (dziaania korygujce), rejestr incydentw podjcie dziaa korygujcych? naruszenia BI, wpyw analizy incydentw na SZBI, ewentualna wsppraca z CERT.
str.417 Strona 4 z 7
2.91Audyt wewntrzny z zakresu bezpieczestwa Informacji
2.9.1 ICzy przeprowadzany jest audyt wewntrzny wzakresie BI co najmniej raz w roku?
20 ust. 2 pkt U rozporzdzenia KRI
Regulacje wewntrzne, w ktrych okrelono zasady przeprowadzania wewntrznych w zakresie BI. Sprawozdania z audytu wewntrznego w zakresie bezpieczestwa informacji. Dziaania podjte w wyniku zalece poaudytowych.
audytw
2.1012.10. Kopie zapasowe
2.10.IICzy zapewniono odpowiedni poziombezpieczestwa w systemach teleinformatycznych, polegajcy w szczeglnoci na minimalizowaniu ryzyka utraty informacji w wyniku awarii.
i 20 ust. 2 pkt 12 lit. b rozporzdzenia KRI
Regulacje wewntrzne, w ktrych okrelono zasady tworzenia, przechowywania oraz testowania kopii zapasowych danych i systemw podmiotu. Dziaania zwizane z wykonywani