Bezdroża internetu – czy pieniądze leżą na ulicy (w internecie)? Wykorzystani...
2017 05-31 wytyczne-mc_spotkanie_mf_v2
1. WYTYCZNE DLA KONTROLI
DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH
W DOBIE NOWYCH
ZAGROŻEŃ BEZPIECZEŃSTWA
Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
adam.mizerski@isaca.katowice.pl
2. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Audytor systemów teleinformatycznych w Departamencie Audytu
Wewnętrznego Getin Noble Bank S.A., ekspert ds. bezpieczeństwa (twórca
portalu http://www.itsecurity24.info/) oraz metod zintegrowanej analizy
ryzyka jak również zarządzania IT. Specjalista z obszaru informatyki w zakresie
wyceny środków trwałych oraz wartości niematerialnych i prawnych wartości
spółek giełdowych. Wieloletni „karbowy XXI wieku” czyli szef działu IT.
Prezes „ISACA Katowice Chapter” – Stowarzyszenia Audytu, Bezpieczeństwa
i Kontroli Systemów Informacyjnych (afiliacja w ISACA International),
wiceprezes Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego,
członek Zarządu Głównego PTI oraz Rzeczoznawca Izby Rzeczoznawców PTI.
Adam Mizerski –ksiądz -architekt
3. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
„Stowarzyszenie audytu, kontroli
i bezpieczeństwa systemów informacyjnych”
powstało w 2011 roku, z inicjatywy członków
ISACA z Małopolski i Śląska. W lutym 2012 r.,
jako ISACA Katowice Chapter uzyskało afiliację
od ISACA International - organizacji działającej
od 1967 roku, której członkami na całym świecie
jest ponad 110 000 profesjonalistów.
4. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Celami Statutowymi Stowarzyszenia ISACA Katowice Chapter są:
promowanie wiedzy dotyczącej norm, standardów i dobrych praktyk
zarządzania systemami informacyjnymi,
działalność edukacyjna i naukowa służąca podnoszeniu oraz rozwijaniu
wiedzy i umiejętności w zakresie zarządzania, audytu i zapewnienia
bezpieczeństwa systemów informacyjnych – w tym organizacja szkoleń
przygotowujących na egzaminy umożliwiające uzyskanie prestiżowych
certyfikatów CISA, CISM, CRISC, CGEIT, CSX,
świadczenie usług opiniodawczych i doradczych w dziedzinie zarządzania,
audytu i kontroli systemów informacyjnych oraz bezpieczeństwa informacji.
5. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
W W Y N I K U I N T E N S Y W N E G O R O Z W O J U I S A C A K AT O W I C E C H A P T E R ,
W R O K U 2 0 1 3 C H A P T E R S U P P O R T C O M M I T T E E P R Z Y Z N A Ł I S A C A
K AT O W I C E N A G R O D Ę W K AT E G O R I I M A Ł E G O O D D Z I A Ł U Z A
O S I Ą G N I Ę C I E 4 2 % W Z R O S T U L I C Z B Y C Z Ł O N K Ó W – 2 0 1 3 G R O W T H
A W A R D W I N N E R F O R S M A L L C H A P T E R , K T Ó R A Z O S TA Ł A
W R Ę C Z O N A P R E Z E S O W I Z A R Z Ą D U , W R A M A C H
M I Ę D Z Y N A R O D O W E J K O N F E R E N C J I L I D E R Ó W I S A C A W L A S V E G A S ,
W 2 0 1 4 R .
ZAPRASZAMY DO WSPÓŁPRACY
WIĘCEJ INFORMACJI NA STRONIE
WWW.ISACA.KATOWICE.PL
J E D N O C Z E Ś N I E P R Z E K R A C Z A J Ą C L I C Z B Ę S T U C Z Ł O N K Ó W, I S A C A K AT O W I C E
P R Z E S U N Ę Ł A S I Ę D O G R U P Y M E D I U M C H A P T E R S .
6. WYTYCZNE DLA KONTROLI
DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH
W DOBIE NOWYCH
ZAGROŻEŃ BEZPIECZEŃSTWA
Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
adam.mizerski@isaca.katowice.pl
8. WYTYCZNE DLA KONTROLI
DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH
UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
9. WYTYCZNE DLA KONTROLI
DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH
UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
10. WYTYCZNE DLA AUDYTU
DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH
UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
12. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
K R I
https://openclipart.org/detail/18269/crow-flying-down
K r A
K r A
https://openclipart.org/detail/192510/2-fliegende-kraehen
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji
w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
13. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
http://www.itsecurity24.info
14. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
http://www.itsecurity24.info
15. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Czytając raport NIK można stwierdzić, że kontrolowane
urzędy skoncentrowały się głównie na ochronie danych
osobowych, jednak „nie wprzęgły” ochrony danych
osobowych w kompleksowy System Zarządzania
Bezpieczeństwem Informacji:
http://www.itsecurity24.info
16. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Opracowanie dostępne jest bezpłatnie – w wersji drukowanej i elektronicznej (na
licencji Creative Commons Uznanie Autorstwa 3.0 Polska).
http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
17. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
NIK objął kontrolą 24 urzędy, a badanie
PTI realizowane w postaci ankiety
w formie wniosku o udostępnienie
informacji publicznej objęło 339
urzędów.
18. WYTYCZNE DLA AUDYTU
DZIAŁANIA SYSTEMÓW
TELEINFORMATYCZNYCH
UŻYWANYCH DO REALIZACJI
ZADAŃ PUBLICZNYCH
Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
20. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Zgodnie z zamysłem autorów wytycznych (Departament Kontroli, Skarg i
Wniosków we współpracy z Departamentem Informatyzacji oraz
Departamentem Społeczeństwa Informacyjnego), ich celem „jest
zapewnienie wsparcia dla kontroli, w tym wskazanie jednolitych
kryteriów merytorycznych realizacji obowiązku określonego w art. 25
ust. 1 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne - Dz. U. z 2014 r., poz. 1114
(dalej: ustawa o informatyzacji), dotyczącego przeprowadzania kontroli
działania systemów teleinformatycznych, używanych do realizacji zadań
publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2
ustawy o informatyzacji”. Ustandaryzowanie kryteriów oceny umożliwi
również analizę porównawczą wyników kontroli pomiędzy podmiotami
publicznymi oraz zbudowanie bazy wiedzy dla organizacji w zakresie
okresowej oceny spełniania zgodności z wymogami stawianymi przez
KRI.
21. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
III. ZASADY PROWADZENIA KONTROLI
1. Cel kontroli
Celem kontroli jest dokonanie oceny działania systemów
teleinformatycznych pod względem zgodności z minimalnymi
wymaganiami dla systemów teleinformatycznych lub
rejestrów publicznych i wymiany informacji w postaci
elektronicznej oraz przestrzegania wymagań zawartych
w Krajowych Ramach Interoperacyjności.
2. Tryb kontroli
Kontrola powinna być przeprowadzona w trybie określonym
ustawą o kontroli oraz zgodnie ze Standardami kontroli
w administracji rządowej.
22. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
3. Zespół kontrolny
Zgodnie z wytycznymi w celu zapewnienia wysokiej jakości kontroli
która wymaga specjalistycznej wiedzy, zaleca się powołanie zespołu
kontrolnego którego członkiem może być „pracownik posiadający
wiedzę i doświadczenie w zakresie szeroko rozumianego
bezpieczeństwa informacji (np. pracownika pionu IT)”
Zgodnie ze standardami prowadzenia audytu osoby wykonujące
prace w obszarze podlegającym audytowi nie powinny go
audytować. Regulacje wewnętrzne wynikające z ładu
korporacyjnego mówią nawet o dwu letnim okresie karencji.
23. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
4. Obszary kontroli
Kontrola powinna objąć następujące główne obszary:
Wymianę informacji w postaci elektronicznej, w tym
współpracę z innymi systemami/rejestrami
informatycznymi i wspomagania świadczenia usług drogą
elektroniczną.
Zarządzania bezpieczeństwem informacji w systemach
teleinformatycznych.
Zapewnienia dostępności informacji zawartych na
stronach internetowych urzędów dla osób
niepełnosprawnych.
24. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
5. Przygotowanie kontroli
W celu przygotowania kontroli zaleca się pozyskanie:
Dokumentów ustanawiających SZBI - polityki, instrukcje, procedury;
Dokumentacji analizy ryzyka związanego z BI;
Dokumentacji przeglądów SZBI;
Dokumentacji audytów wewnętrznych SZBI.
Dokumentacji systemu zarządzania jakością usług świadczonych przez
system teleinformatyczny.
Ponadto od kierownika jednostki kontrolowanej należy uzyskać informacje za
pomocą:
Ankiety – wg załączonego wzoru nr 1;
Zestawiania – systemów teleinformatycznych używanych do realizacji zadań
publicznych wg załączonego wzoru nr 2.
27. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
DLACZEGO NIE POWSTAŁO
CENTRALNE
REPOZYTORIUM ???
28. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
6. Techniki kontroli
Zaleca się przeprowadzanie kontroli stosując dwie następujące
techniki:
Zza biurka - analiza zebranej dokumentacji i informacji z
ankiety i wykazu;
Na miejscu - kontrola wspomagana listą kontrolną, w tym
m.in. potwierdzenie informacji z ankiety.
Biorąc pod uwagę, że zgodnie z §286 Ustawy z dnia 27 sierpnia 2009 r.
o finansach publicznych audytorem wewnętrznym może być osoba która
posiada odpowiednie kompetencje poświadczone m.in. posiadaniem
jednego z uznanych na całym świecie certyfikatu dotyczącego audytu,
proponowanie etapu kontroli „zza biurka” jest co najmniej niefortunne
29. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
7. Kryteria kontroli oraz mierniki oceny
Kryterium oceny kontrolowanej działalności jest legalność, tj. zgodność z prawem
powszechnie obowiązującym oraz regulacjami wewnętrznymi dotyczącymi SZBI.
Ocenie podlegają niezależnie 3 główne obszary kontroli, tj. interoperacyjność,
bezpieczeństwo informacji oraz dostosowanie dla osób niepełnosprawnych. Przyjęto 4-
stopnioną skalę ocen:
ocenę pozytywną otrzyma jednostka kontrolowana, gdy w 3 obszarach kontroli uzyska
cząstkowe oceny pozytywne;
ocenę pozytywną z uchybieniami otrzyma jednostka kontrolowana, która uzyska choć
jedną cząstkową ocenę pozytywną z uchybieniami;
ocenę pozytywną z nieprawidłowościami otrzyma jednostka kontrolowana, gdy uzyska
choć jedną cząstkową ocenę pozytywną z nieprawidłowościami;
ocena negatywna zostanie przyznana wtedy, gdy będzie przewaga negatywnych ocen
cząstkowych.
30. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Szkoda, że autorzy nie wykorzystali przyjętych standardów
dotyczących modeli dojrzałości wynikających np. z CMMI (ang.
Capability Maturity Model Integration) lub COBIT (ang. Control
Objectives for Information and related Technology).
31. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana
w szczególności, gdy:
nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej
obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);
nie zarządza się usługami realizowanymi przez systemy teleinformatyczne
na deklarowanym poziomie dostępności usług i w oparciu o
udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki
kontroli);
nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta
została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań
do rejestrów zawierających dane referencyjne w zakresie niezbędnym do
realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki
Ilość organizacji bez
wdrożonej
procedury
Wdrażanie
aktywów
Eksploatacja
aktywów
Testowanie
aktywów
Wycofanie
aktywów
Tabela 9. Procedury wdrożone w badanych urzędach
Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl
32. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana
w szczególności, gdy:
nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej
obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);
nie zarządza się usługami realizowanymi przez systemy teleinformatyczne
na deklarowanym poziomie dostępności usług i w oparciu o
udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki
kontroli);
nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta
została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań
do rejestrów zawierających dane referencyjne w zakresie niezbędnym do
realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki
Ilość organizacji bez
wdrożonej
procedury
Wdrażanie
aktywów
Eksploatacja
aktywów
Testowanie
aktywów
Wycofanie
aktywów
Tabela 9. Procedury wdrożone w badanych urzędach
Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl
Z badania PTI: „ponad połowa (56%) ankietowanych
instytucji nie posiada żadnej procedury z zakresu
wdrażania, eksploatacji, testowania i wycofywania
aktywów”.
33. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania
Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki
kontroli);
nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§
20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);
34. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania
Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki
kontroli);
nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§
20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);
nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności
lub poufności informacji oraz nie są podejmowane działania minimalizujące to
ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3
rozporządzenia; pkt 2.2 tematyki kontroli);
35. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
(…) pozytywną ocenę BI może uzyskać system posiadający mało
zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie
przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy
przetwarzający dane powszechnie dostępne). Jednocześnie
ocenę negatywną może uzyskać system posiadający znaczną
liczbę zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym
ich ilość i jakość) został zastosowany przypadkowo, bez
potwierdzenia poprzez rzetelnie wykonaną analizę ryzyka
i powstały w jej wyniku plan postępowania z ryzykiem. W takiej
sytuacji jednostka nie zarządza właściwie ryzykiem
bezpieczeństwa BI, gdyż system jednostki dla pewnych ryzyk
może posiadać nadmierne, niczym nieuzasadnione
zabezpieczenia, natomiast dla innych całkowity ich brak.
36. Jest RYZYKO
Jest ZABAWA
Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
PN-ISO/IEC 27005:2014-01 - wersja polska
PN-ISO 31000:2012 - wersja polska
COBIT 5 for Risk Polski (Polish)
37. Jest RYZYKO
Jest ZABAWA
Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
PN-ISO/IEC 27005:2014-01 - wersja polska
PN-ISO 31000:2012 - wersja polska
COBIT 5 for Risk Polski (Polish)
K
O
N
T
R
O
L
A
Z
A
R
Z
Ą
D
C
Z
A
38. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
2.2.1
Czy przeprowadzana jest okresowa analiza ryzyka
utraty integralności, dostępności lub poufności
informacji oraz czy podejmowane są działania
minimalizujące to ryzyko, stosownie do wyników
przeprowadzonej analizy?
§ 20 ust. 2 pkt 3
rozporządzenia
KRI
• Regulacje wewnętrzne opisujące sposób zarządzania ryzykiem BI.
• Dokumentacja z przeprowadzania okresowej analizy ryzyka utraty
integralności, poufności lub dostępności informacji, w tym rejestr ryzyka,
zawierający informacje o zidentyfikowanych ryzykach, ich poziomie, sposobie
postępowania z ryzykami oraz plan postępowania z ryzykiem.
• Działania minimalizujące ryzyko zgodnie z planem postępowania z
ryzykiem, stosownie do analizy ryzyka.
39. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Procesc Opis
Zapewnienie i utrzymanie
ładu w organizacji
Nadzór nad ryzykiem i zarządzanie nim wymaga ustanowienia odpowiedniej metodyki
nadzoru w celu wdrożenia struktur, zasad, procesów i praktyk.
Zapewnienie przejrzystości
dotyczącej interesariuszy
Zarządzanie ryzykiem w organizacji wymaga przejrzystego pomiaru wydajności
i zgodności za pomocą celów i mierników zatwierdzonych przez interesariuszy.
Zarządzanie budżetem i
kosztami
Niezbędne jest określenie budżetu związanego z szacowaniem
ryzyka.
Zarządzanie zasobami
ludzkimi
Zarządzanie ryzykiem wymaga właściwej liczby osób posiadających
kompetencje i doświadczenia.
Zarządzanie jakością Proces zarządzania ryzykiem powinien być oceniany zgodnie z systemem zarządzania
jakością w organizacji.
Zarządzanie wiedzą W procesie zarządzania ryzykiem należy zapewnić wiedzę wymaganą do wspierania
pracowników w ich działaniach.
40. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
4.3. Analiza ryzyka
Niewiele instytucji opracowało analizę ryzyka. Z deklaracji
wynika, że zrobiły to 81 jednostki (23,89%)
Znamiennym jest, że respondenci nie umieli ustalić bądź nie znali nazw użytych metodyk.
Wymieniali następujące nazwy, których większość, oznaczonych kolorem czerwonym, nie jest
nazwami metodyk analizy ryzyka:
• burza mózgów (Starostwo Powiatowe w W.), (???)
• FMEA,
• Prince 2 (Starostwo Powiatowe w S.), (???)
• arytmetyczna (Starostwo Powiatowe w K.), (???)
• CMMI for Services v. 1.3, (???)
• PMI (Urząd Gminy Ni., (???)
• CRAMM,
• delficka (Urząd Miasta Bydgoszcz),
• indukcyjna (Urząd Miasta i Gminy T…, Urząd Gminy w L.), (???)
• MEHARI,
• ręczna (Urząd Miejski w Ł.). (???)
41. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
RODO
W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu
z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni
oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak
szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni
poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy
technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych
osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa
danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych
osobowych – takie jak przypadkowe lub niezgodne
z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub
nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych
lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do
uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO
I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r.
42. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
RODO
Aby poprawić przestrzeganie niniejszego rozporządzenia, gdy operacje
przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub
wolności osób fizycznych, należy zobowiązać administratora do dokonania
oceny skutków dla ochrony danych w celu oszacowania
w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki
oceny należy uwzględnić przy określaniu odpowiednich środków, które
należy zastosować, by wykazać, że przetwarzanie danych osobowych
odbywa się zgodnie z niniejszym rozporządzeniem. Jeżeli ocena skutków dla
ochrony danych wykaże, że operacje przetwarzania powodują wysokie
ryzyko, którego administrator nie może zminimalizować odpowiednimi
środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia,
przed przetwarzaniem należy skonsultować się z organem nadzorczym.
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO
I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r.
43. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania
Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki
kontroli);
nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§
20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);
nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności
lub poufności informacji oraz nie są podejmowane działania minimalizujące to
ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3
rozporządzenia; pkt 2.2 tematyki kontroli);
44. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania
Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki
kontroli);
nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§
20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);
nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności
lub poufności informacji oraz nie są podejmowane działania minimalizujące to
ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3
rozporządzenia; pkt 2.2 tematyki kontroli);
nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku
(§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);
nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający,
że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym
procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków
mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4
rozporządzenia; pkt 2.4 tematyki kontroli);
45. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2
pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
46. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2
pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były
bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie
podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki
kontroli);
nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich
ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia;
pkt 2.12 tematyki kontroli);
nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie
działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12
tematyki kontroli).
47. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2
pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były
bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie
podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki
kontroli);
nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich
ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia;
pkt 2.12 tematyki kontroli);
nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie
działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12
tematyki kontroli).
Z badania PTI: „Ponad połowa (53,69%) respondentów
zadeklarowała prowadzenie rejestru incydentów, jednakże
134 pozostają puste, gdyż nie zarejestrowano w nim żadnego
incydentu.” PTI „Stan wdrożenia wybranych wymagań …
48. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Centrum Systemów Informacyjnych Ochrony Zdrowia: WYNIKI II EDYCJI BADANIA
ANKIETOWEGO 2016 R. „BADANIE STOPNIA PRZYGOTOWANIA PODMIOTÓW
WYKONUJĄCYCH DZIAŁALNOŚĆ LECZNICZĄ DO OBOWIĄZKÓW WYNIKAJĄCYCH Z USTAWY
Z DNIA 28 KWIETNIA 2011 R. O SYSTEMIE INFORMACJI W OCHRONIE ZDROWIA”
http://prawo.gazetaprawna.pl/artykuly/995326,giodo-dane-medyczne-
niezabezpieczone.html
http://www.tokfm.pl/Tokfm/7,102433,21016429,informatyzacja-szpitali-po-polsku-
dane-o-naszych-chorobach.html
Informatyzacja szpitali po polsku.
Dane o naszych chorobach nie są
zabezpieczane nawet hasłem
49. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Centrum Systemów Informacyjnych Ochrony Zdrowia: WYNIKI II EDYCJI BADANIA
ANKIETOWEGO 2016 R. „BADANIE STOPNIA PRZYGOTOWANIA PODMIOTÓW
WYKONUJĄCYCH DZIAŁALNOŚĆ LECZNICZĄ DO OBOWIĄZKÓW WYNIKAJĄCYCH Z USTAWY
Z DNIA 28 KWIETNIA 2011 R. O SYSTEMIE INFORMACJI W OCHRONIE ZDROWIA”
50. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Centrum Systemów Informacyjnych Ochrony Zdrowia: WYNIKI II EDYCJI BADANIA
ANKIETOWEGO 2016 R. „BADANIE STOPNIA PRZYGOTOWANIA PODMIOTÓW
WYKONUJĄCYCH DZIAŁALNOŚĆ LECZNICZĄ DO OBOWIĄZKÓW WYNIKAJĄCYCH Z USTAWY
Z DNIA 28 KWIETNIA 2011 R. O SYSTEMIE INFORMACJI W OCHRONIE ZDROWIA”
51. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
W 96% średnich i dużych przedsiębiorstw działających w Polsce
w ostatnich 12 miesiącach doszło do ponad 50 cyberataków.
Najczęściej wykorzystywaną metodą był atak phishingowy.
Jednocześnie, aż 41% firm przemysłowych, obawia się, że
w wyniku ataku hakerskiego może dojść do uszkodzenia
infrastruktury – wynika z raportu PwC „Ochrona biznesu
w cyfrowej transformacji”, przygotowanego na podstawie 4. edycji
dorocznego badania „Stan bezpieczeństwa informacji w Polsce”.
Raport PWC "Ochrona biznesu w cyfrowej transformacji"
W przypadku 64% liczba tego typu zdarzeń była większa niż 500.
http://www.pwc.pl/pl/media/2017/2017-03-23-stan-bezpieczenstwa-informacji-w-polsce-2017.html
52. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
(2.35) zdarzenie związane z bezpieczeństwem informacji: stwierdzone wystąpienie
stanu systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki
bezpieczeństwa informacji lub błąd zabezpieczenia lub nieznaną dotychczas sytuację,
która może być związana z bezpieczeństwem informacji
(2.36) Incydent związany z bezpieczeństwem informacji: pojedyncze niepożądane lub
niespodziewane zdarzenie związane z bezpieczeństwem informacji (2.35) lub seria
takich zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań
biznesowych i zagrażają bezpieczeństwu informacji (zachowaniu poufności,
integralności i dostępności)
(2.37) zarządzanie incydentami związanymi z bezpieczeństwem informacji: procesy
(2.61) wykrywania, raportowania, szacowania, reagowania, podejmowania akcji
i wyciągania wniosków z incydentów związanych z bezpieczeństwem informacji (2.36)
Źródło: PN-ISO/IEC 27000:2014-11: Technika informatyczna -- Techniki bezpieczeństwa –
Systemy zarządzania bezpieczeństwem informacji -- Przegląd i terminologia
53. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO
I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych)
( … ) N AT YC H M I A S T P O S T W I E R D Z E N I U N A R U S Z E N I A O C H R O N Y
D A N YC H O S O B OW YC H A D M I N I S T R ATO R P OW I N I E N Z G Ł O S I Ć J E
O R G A N OW I N A D Z O R C Z E M U B E Z Z B Ę D N E J Z W Ł O K I , J E Ż E L I TO
W Y KO N A L N E , N I E P ÓŹ N I E J N I Ż W T E R M I N I E 7 2 G O D Z I N P O
S T W I E R D Z E N I U N A R U S Z E N I A , ( … )
( … ) J E Ż E L I N I E M OŻ N A D O KO N A Ć ZG Ł O S Z E N I A W T E R M I N I E 7 2
G O D Z I N , Z G Ł O S Z E N I U P OW I N N O TOWA R Z Y S Z YĆ W YJA Ś N I E N I E
P R Z YC Z Y N O P ÓŹ N I E N I A , A I N F O R M A C J E M O G Ą BYĆ
P R Z E K A Z Y WA N E S TO P N I OWO, B E Z D A L S Z E J Z B Ę D N E J Z W Ł O K I .
RODO
54. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2
pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były
bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie
podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki
kontroli);
nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich
ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia;
pkt 2.12 tematyki kontroli);
nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie
działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12
tematyki kontroli).
55. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
w szczególności, gdy:
nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2
pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były
bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie
podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki
kontroli);
nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich
ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia;
pkt 2.12 tematyki kontroli);
nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie
działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12
tematyki kontroli).
56. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Ocena negatywna w obszarze nr 3 (dostosowanie dla osób niepełnosprawnych) może
zostać przyznana w szczególności, gdy:
nie zapewniono spełnienia przez system wymagań Web Content Accessibility
Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr
4 do rozporządzenia (§ 19 rozporządzenia; pkt 3 tematyki kontroli).
http://wcag.pti.org.pl/
Od 15 października 2012 roku wytyczne WCAG w wersji 2.0 zyskały status międzynarodowej normy ISO/IEC 40500:2012.
57. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
8. Znaczenie Polskich Norm
Najbardziej zaskakujący jest punkt wytycznych dotyczący Polskich Norm.
Interpretacja prawna zaprezentowana przez autorów wytycznych w konkluzji nie
uznaje stosowania Polskich Norm, jako dokumentów obligatoryjnych ??? Z badania
PTI wynika, że zdecydowana większość instytucji tj. 309, co stanowi ponad 91%
badanych, nie posiada ani jednej normy (!).
Polski Komitet Normalizacyjny jest jednostką publiczną, tak więc przepływy
pieniężne pomiędzy instytucjami publicznymi a PKN realizuje się w ramach jednego
budżetu Państwa.
Być może Ministerstwo Cyfryzacji powinno podjąć działania w celu zmiany modelu
współpracy PKN z instytucjami publicznymi. Warto tu przywołać przykład ITIL (ang.
Information Technology Infrastructure Library) - kodeks postępowania dla działów
informatyk – który został opracowany na zlecenie brytyjskiej administracji rządowej i
stał się standardem zarządzania działów IT w korporacjach na całym świecie.
58. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
https://mc.gov.pl/aktualnosci/standardy-bezpieczenstwa-teleinformatycznego
59. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
IV. TEMATYKA I OBSZARY KONTROLI 15
1. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi
systemami/rejestrami informatycznymi i wspomaganie świadczenia usług drogą
elektroniczną 15
1.1. Usługi elektroniczne 15
1.2. Centralne repozytorium wzorów dokumentów elektronicznych 16
1.3. Model usługowy 17
1.4. Współpraca systemów teleinformatycznych z innymi systemami 17
1.5. Obieg dokumentów w podmiocie publicznym 18
1.6. Formaty danych udostępniane przez systemy teleinformatyczne 19
60. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
1.3. Model usługowy 17
https://www.nik.gov.pl/plik/id,10420,vp,12749.pdf
61. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
2.1. Dokumenty z zakresu bezpieczeństwa informacji 20
2.2. Analiza zagrożeń związanych z przetwarzaniem informacji 22
2.3. Inwentaryzacja sprzętu i oprogramowania informatycznego
23
2.4. Zarządzanie uprawnieniami do pracy w systemach informatycznych 24
2.5. Szkolenia pracowników zaangażowanych w proces przetwarzania
informacji 25
2.6. Praca na odległość i mobilne przetwarzanie danych 25
2.7. Serwis sprzętu informatycznego i oprogramowania 26
2.8. Procedury zgłaszania incydentów naruszenia BI 26
2.9. Audyt wewnętrzny z zakresu bezpieczeństwa informacji 27
2.10. Kopie zapasowe 27
2.11. Projektowanie, wdrażanie i eksploatacja systemów teleinformatycznych
28
2.12. Zabezpieczenia techniczno-organizacyjne dostępu do informacji 29
2.13. Zabezpieczenia techniczno-organizacyjne systemów informatycznych 31
2.14. Rozliczalność działań w systemach informatycznych 32
62. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
A gdzie miejsce na
rekomendacje,
działania korygujące
i mitygujące ryzyka ???
63. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Podsumowując
Publikacja przez Ministerstwo Cyfryzacji „Wytycznych dla kontroli działania
systemów teleinformatycznych używanych do realizacji zadań publicznych” to
krok w dobrym kierunku. Jednak w obliczu współczesnych zagrożeń to dopiero
„pierwszy krok w podróży” której celem jest zapewnienie bezpieczeństwa
systemów informacyjnych przetwarzających dane (niejednokrotnie wrażliwe) nas
wszystkich. Współczesne wyzwania w zakresie bezpieczeństwa wymagają jednak
w wiele więcej, m.in. koncentracji zespołów odpowiedzialnych za bezpieczeństwo
(np. jeden centralny zespół odpowiedzialny za bezpieczeństwo systemów
teleinformatycznych podmiotów publicznych całej gminy), budowy
wyspecjalizowanych zespołów zarządzających incydentami CSIRT (ang. Computer
Security Incident Response Team) czy tworzenia Operacyjnych Centrów
Bezpieczeństwa SOC (ang. Security Operations Center).
64. Spotkanie Koła Audytorów Wewnętrznych JSFP – Ministerstwo Finansów 31.05.2017
Suplement
NIK wydała polskie tłumaczenie międzynarodowego
Podręcznika kontroli systemów informatycznych dla
najwyższych organów kontroli. Przekład został
udostępniony w wersji elektronicznej dla wszystkich
zainteresowanych tą problematyką.
Autorzy podręcznika przyjęli ogólne zasady audytu określone w
Międzynarodowych Standardach Najwyższych Organów Kontroli
(ISSAI). Odwołali się także do innych uznanych na świecie
standardów, w tym do standardu COBIT opracowanego przez ISACA
(międzynarodowe stowarzyszenie osób zajmujących się zawodowo
zagadnieniami dotyczącymi audytu i bezpieczeństwa systemów
informatycznych), standardów Międzynarodowej Organizacji
Normalizacyjnej (ISO) oraz wytycznych i podręczników wybranych
najwyższych organów kontroli. W ten sposób zainteresowani
otrzymali kompletny zestaw wytycznych w zakresie kontroli
systemów informatycznych.
https://www.nik.gov.pl/aktualnosci/podrec
znik-kontroli-systemow-
informatycznych.html