AUDYT KRI
KRAJOWE RAMY INTEROPERACYJNOŚCI
&
AUDYT SZBI
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
Audyt KRI (Krajowych Ram Interoperacyjności) & SZBI | Czym jest?
Audyt KRI (Krajowych Ram Interoperacyjności) & SZBI | Kogo dotyczy?
Audyt KRI & SZBI dotyczy każdej jednostki realizującej zadania publiczne. Szczegółowa odpowiedź znajduje się w art. 2 ust. 1 oraz 2 Ustawy z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Wskazane jednostki to:
Audyt KRI (Krajowych Ram Interoperacyjności) & SZBI | Co ile się go wykonuje?
Odpowiedź brzmi: nie rzadziej niż raz na rok. Jeżeli chcesz się dowiedzieć o zakresie i sposobach jego przeprowadzania ‑ zapraszamy na nasze szkolenie KRI.
Wynika to z Rozporządzenia Krajowych Ram Interoperacyjności (KRI) ‑ §19 ust. 2 pkt 14 tj.:
„Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: […] zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.
Audyt KRI & SZBI | Kto może przeprowadzić?
Odpowiedź na to pytanie została zamieszczona we wspólnym stanowisku Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji:
„[…] decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu”.
Jednocześnie w przedmiotowym dokumencie wskazano kryteria wyboru wobec osoby przeprowadzającej audyt:
„[…] odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego”.
Reasumując, może być to osoba/y z wewnątrz jednostki (np. Administrator Systemu teleinformatycznego [ASI] + Inspektor Ochrony Danych [IOD]), audytor finansów publicznych, audytor wewnętrzny lub osoba/organizacja zewnętrzna. W przepisach nie zostało doprecyzowane czy ma to być wg nomenklatury ISO audytor wewnętrzny (osoba, która ukończyła szkolenie na audytora wewnętrznego) czy też wiodący (osoba, która ukończyła szkolenie i zdała egzamin na audytora wiodącego).
UWAGA
Coraz częściej administrator jednostki decyduje się na zewnętrzną osobę/organizację, która jest/dysponuje audytorem wiodącym. Warto zwrócić uwagę, iż w przypadku uprawnień nawiązujących do normy ISO 27001 audytor wiodący może uzyskać certyfikację (zdać egzamin) w jednostkach o różnorodnej akredytacji. W polskim systemie prawnym wskazana jest certyfikacja uzyskana w jednostce akredytowanej przez Polskie Centrum Akredytacji (PCA). Lista akredytowanych jednostek przez PCA znajduje się pod tym linkiem. Oczywiście w Rozporządzeniu KRI nie jest obligatoryjnym, aby audyt KRI przeprowadzał audytor wiodący, który uzyskał certyfikację zgodnie z krajową akredytacją, jednakże mając na uwadze takie projekty jak „Cyfrowa Gmina”, „Cyfrowy Powiat”, „Cyfrowe Województwo”, „Cyberbezpieczny Samorząd” takowa akredytacja jest wskazana bezpośrednio. Wskazana jest też w zakresie audytów Krajowego Systemu Cyberbezpieczeństwa (KSC) w jednostkach będących operatorem usługi kluczowej oraz dostawcą usług cyfrowych.
Audyt KRI & SZBI | Jaka jest podstawa prawna do jego przeprowadzenia ?
Odpowiedź jest w dwóch miejscach, tj.:
- Rozporządzenie Krajowych Ram Interoperacyjności (KRI) ‑ §19 ust. 2 pkt 14:
„Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: […] zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.
„Przepis § 20 Rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zwanego dalej rozporządzeniem, określa ciążące na kierownictwie podmiotu publicznego obowiązki związane z systemem zarządzania bezpieczeństwem informacji. Jednym z nich jest wskazany w § 20 ust. 2 pkt 14 Rozporządzenia obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.
Cyberbezpieczny Samorząd | Uprawnienia do audytu:
Coraz częstszą praktyką w projektach takich jak „Cyberbezpieczny Samorząd”, „Cyfrowa Gmina”, „Cyfrowy Powiat”, „Cyfrowe Województwo” jest wskazywanie konkretnych uprawnień do przeprowadzenia audytu Krajowych Ram Interoperacyjności (KRI) w przeciwieństwie do standardowego audytu KRI.
Wykorzystane do tego celu jest Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu. Wskazuje ono na wiele uprawnień, ale w przypadku normy ISO 27001 ma być to audytor wiodący, który zdał egzamin w jednostce akredytowanej przez Polskie Centrum Akredytacji [UWAGA: Nie każda obecnie wskazana jednostka posiadała akredytację w latach wcześniejszych] (link do spisu jednostek). Co więcej, certyfikacja wobec audytora jest czasowa i powinno się ją odnawiać.
Zachęcamy do zapoznania się z naszym wachlarzem usług wobec projektu Cyberbezpieczny Samorząd.
Audyt KRI & SZBI | Zakres:
Zakres audytu KRI & SZBI oparty jest o:
- wymogi Rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (szczegóły poznasz na naszym szkoleniu KRI);
- wytyczne Ministerstwa Cyfryzacji dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych;
- standardy informatyczne RFC (zbiór technicznych oraz organizacyjnych dokumentów mających formę memorandum, związanych z Internetem oraz sieciami komputerowymi).
- „kodeksy” dobrych praktyk z dziedziny informatyki, wskazówki CERT Polska czy też CSiRT;
- stosowne normy ISO (w tym ISO 27001, ISO 27002, ISO 27005/31000, ISO 24762, ISO 22301 itd…);
Ramowy zakres audytu jest podzielony na część:
- formalnoprawną (audyt ustanowienia, wdrożenia, monitorowania, przeglądania, utrzymywania i doskonalenia procedur wynikających z SZBI w jednostce) z elementami badania środowiskowego oraz weryfikacji szacowania ryzyka;
- technologiczną (audyt ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądania, utrzymywania i doskonalenia systemów informatycznych jednostki). Jednocześnie wykonywane są testy infrastruktury IT obejmujące serwery wewnętrzne / chmurowe / kolokowane, punkty styku WAN/LAN, urządzenia brzegowe, komputery, drukarki, oprogramowanie itd…
Audyt KRI & SZBI | Jak go wykonujemy?
- Audyt możemy wykonać zdalnie (technika zza biurka) lub na miejscu w siedzibie jednostki. W każdym przypadku wykonywany jest proces digitalizacji dowodów (procedury, notatki z wywiadów, skany sieci oraz legalności oprogramowania, wyniki testów podatności informatycznych itd…), które są uwzględnione w finalnym protokole poaudytowym.
- W przypadku coraz popularniejszej metody „zza biurka” komunikacja z audytowaną jednostką odbywa się za pomocą:
- – szyfrowanej platformy wideokonferencyjnej;
- – wielopoziomowo szyfrowanego połączenia z naszym sprzętem audytowym, dostarczonym uprzednio do jednostki oraz podłączonym w asyście lokalnego informatyka.
- W przypadku audytu zdalnego czy też lokalnego, zostaje on wykonany przez minimum 2 audytorów (nasza wewnętrzna zasada audytowa podzielona na część formalną i technologiczną).
- Podczas każdego audytu zostanie ustalona technika wykonywanych testów (Black Box, Grey Box, White Box). Jest to określenie sposobu pozyskiwania danych o jednostce. Przykładową techniką jest brak jakichkolwiek wewnętrznych informacji o jednostce, „pół na pół” czy też pełna wiedza o infrastrukturze audytowanej jednostki.
- Podczas każdego rodzaju audytu nasz audytor IT będzie się posiłkował specjalistycznym sprzętem do skanowania sieci wewnętrznej oraz zewnętrznej z uwzględnieniem wszelakich testów informatycznych (testy podatności / testy penetracyjne).
Kontakt ws. audytu KRI & SZBI:
Zadaj pytanie bezpośrednio poprzez formularz kontaktowy:
KLAUZULA INFORMACYJNA