AUDYT KRI
KRAJOWE RAMY INTEROPERACYJNOŚCI

AUDYT SZBI
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Audyt KRI (Krajowych Ram Interoperacyjności) & SZBI | Czym jest?

Audyt KRI (Krajowych Ram Interoperacyjności) to kompleksowa analiza płaszczyzny organizacyjnej oraz systemów informatycznych używanych w jednostce administracji publicznej. Celem jest sprawdzenie, czy wszystkie obszary są zgodne z określonymi standardami i wymogami interoperacyjności, umożliwiając efektywną wymianę informacji między różnymi instytucjami. Proces oceny obejmuje identyfikację potencjalnych problemów, rekomendacje poprawek, oraz wsparcie w doskonaleniu technologii. Audyt KRI (Krajowych Ram Interoperacyjności) jest kluczowy dla zapewnienia transparentności, efektywności oraz dostępności usług publicznych dla obywateli i przedsiębiorstw.

Audyt KRI (Krajowych Ram Interoperacyjności) dotyczy 3 poziomów interoperacyjności. Mowa o interoperacyjności organizacyjnej, semantycznej oraz technologicznej. Wszystkie 3 są niezwykle ważne.

Audyt KRI obejmuje system informatyczny jednostki, obszar aktywu ludzkiego oraz wewnętrzne procedury (polityki, regulaminy, kodeksy itd…. wchodzące w skład SZBI – Systemu Zarządzania Bezpieczeństwem Informacji).

System SZBI może opierać się o normę ISO 27001 albo być własnym wypracowanym podejściem, jednakże w większości przypadków każdy administrator danych czy też Inspektor Ochrony Danych (IOD) w pewnym stopniu nawiązuje do przedmiotowej normy (czy tego chce czy nie :-)). Stąd też często mówi się o audycie SZBI, który jest bliskoznaczny z audytem KRI, chyba że odnosimy się literalnie do normy ISO 27001 (np. w jednostkach które dokonały certyfikacji normy ISO 27001). Wtedy audyt ten jest bardziej rozbudowany niż audyt KRI jednakże wspólny mianownik jest bardzo duży.

Audyt KRI (Krajowych Ram Interoperacyjności) & SZBI | Kogo dotyczy?

Audyt KRI & SZBI dotyczy każdej jednostki realizującej zadania publiczne. Szczegółowa odpowiedź znajduje się w art. 2 ust. 1 oraz 2 Ustawy z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Wskazane jednostki to:

Organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki organizacyjne prokuratury, a także jednostki samorządu terytorialnego i ich organy.

Samodzielne publiczne zakłady opieki zdrowotnej oraz spółki wykonujące działalność leczniczą w rozumieniu przepisów o działalności leczniczej.

Państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu realizacji zadań publicznych.

Jednostki budżetowe oraz samorządowe zakłady budżetowe.

Instytuty badawcze, instytuty działające w ramach Sieci Badawczej Łukasiewicz.

Zakład Ubezpieczeń Społecznych, Kasa Rolniczego Ubezpieczenia Społecznego.

Federacje podmiotów systemu szkolnictwa wyższego i nauki.

Jednostki organizacyjne tworzone przez Polską Akademię Nauk.

Narodowy Fundusz Zdrowia.

Fundusze celowe.

Uczelnie.

Polska Komisja Akredytacyjna.

Rada Doskonałości Naukowej.

Podmioty, którym podmiot publiczny powierzył lub zlecił realizację zadania publicznego, jeżeli w związku z realizacją tego zadania istnieje obowiązek przekazywania informacji do lub od podmiotów niebędących organami administracji rządowej (np. prywatne szkolnictwo realizujące zadania publiczne).

Audyt KRI (Krajowych Ram Interoperacyjności) & SZBI | Co ile się go wykonuje?

Odpowiedź brzmi: nie rzadziej niż raz na rok. Jeżeli chcesz się dowiedzieć o zakresie i sposobach jego przeprowadzania – zapraszamy na nasze szkolenie KRI.
Wynika to z Rozporządzenia Krajowych Ram Interoperacyjności (KRI) – §20 ust. 2 pkt 14 tj.:

„Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: […] zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.

Audyt KRI & SZBI | Kto może przeprowadzić?

Odpowiedź na to pytanie została zamieszczona we wspólnym stanowisku Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji:

„[…] decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu”.

Jednocześnie w przedmiotowym dokumencie wskazano kryteria wyboru wobec osoby przeprowadzającej audyt:

„[…] odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego”.

Reasumując, może być to osoba/y z wewnątrz jednostki (np. Administrator Systemu teleinformatycznego [ASI] + Inspektor Ochrony Danych [IOD]), audytor finansów publicznych, audytor wewnętrzny lub osoba/organizacja zewnętrzna. W przepisach nie zostało doprecyzowane czy ma to być wg nomenklatury ISO audytor wewnętrzny (osoba, która ukończyła szkolenie na audytora wewnętrznego) czy też wiodący (osoba, która ukończyła szkolenie i zdała egzamin na audytora wiodącego).

UWAGA

Coraz częściej administrator jednostki decyduje się na zewnętrzną osobę/organizację, która jest/dysponuje audytorem wiodącym. Warto zwrócić uwagę, iż w przypadku uprawnień nawiązujących do normy ISO 27001 audytor wiodący może uzyskać certyfikację (zdać egzamin) w jednostkach o różnorodnej akredytacji. W polskim systemie prawnym wskazana jest certyfikacja uzyskana w jednostce akredytowanej przez Polskie Centrum Akredytacji (PCA). Lista akredytowanych jednostek przez PCA znajduje się pod tym linkiem. Oczywiście w Rozporządzeniu KRI nie jest obligatoryjnym, aby audyt KRI przeprowadzał audytor wiodący, który uzyskał certyfikację zgodnie z krajową akredytacją, jednakże mając na uwadze takie projekty jak „Cyfrowa Gmina”, „Cyfrowy Powiat”, „Cyfrowe Województwo”, „Cyberbezpieczny Samorząd” takowa akredytacja jest wskazana bezpośrednio. Wskazana jest też w zakresie audytów Krajowego Systemu Cyberbezpieczeństwa (KSC) w jednostkach będących operatorem usługi kluczowej oraz dostawcą usług cyfrowych.

Audyt KRI & SZBI | Jaka jest podstawa prawna do jego przeprowadzenia ?

Odpowiedź jest w dwóch miejscach, tj.:

Rozporządzenie Krajowych Ram Interoperacyjności (KRI) – §20 ust. 2 pkt 14:

„Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: […] zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.

Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji – rozdział I:

„Przepis § 20 Rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zwanego dalej rozporządzeniem, określa ciążące na kierownictwie podmiotu publicznego obowiązki związane z systemem zarządzania bezpieczeństwem informacji. Jednym z nich jest wskazany w § 20 ust. 2 pkt 14 Rozporządzenia obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.

Cyberbezpieczny Samorząd | Uprawnienia do audytu:

Coraz częstszą praktyką w projektach takich jak „Cyberbezpieczny Samorząd”, „Cyfrowa Gmina”, „Cyfrowy Powiat”, „Cyfrowe Województwo” jest wskazywanie konkretnych uprawnień do przeprowadzenia audytu Krajowych Ram Interoperacyjności (KRI) w przeciwieństwie do standardowego audytu KRI.

Wykorzystane do tego celu jest Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu. Wskazuje ono na wiele uprawnień, ale w przypadku normy ISO 27001 ma być to audytor wiodący, który zdał egzamin w jednostce akredytowanej przez Polskie Centrum Akredytacji [UWAGA: Nie każda obecnie wskazana jednostka posiadała akredytację w latach wcześniejszych] (link do spisu jednostek). Co więcej, certyfikacja wobec audytora jest czasowa i powinno się ją odnawiać.

Zachęcamy do zapoznania się z naszym wachlarzem usług wobec projektu Cyberbezpieczny Samorząd.

Audyt KRI & SZBI | Zakres:

Zakres audytu KRI & SZBI oparty jest o:

wymogi Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (szczegóły poznasz na naszym szkoleniu KRI);
wytyczne Ministerstwa Cyfryzacji dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych;
standardy informatyczne RFC (zbiór technicznych oraz organizacyjnych dokumentów mających formę memorandum, związanych z Internetem oraz sieciami komputerowymi).
„kodeksy” dobrych praktyk z dziedziny informatyki, wskazówki CERT Polska czy też CSiRT;
stosowne normy ISO (w tym ISO 27001, ISO 27002, ISO 27005/31000, ISO 24762, ISO 22301 itd…);

Ramowy zakres audytu jest podzielony na część:

formalnoprawną (audyt ustanowienia, wdrożenia, monitorowania, przeglądania, utrzymywania i doskonalenia procedur wynikających z SZBI w jednostce) z elementami badania środowiskowego oraz weryfikacji szacowania ryzyka;
technologiczną (audyt ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądania, utrzymywania i doskonalenia systemów informatycznych jednostki). Jednocześnie wykonywane są testy infrastruktury IT obejmujące serwery wewnętrzne / chmurowe / kolokowane, punkty styku WAN/LAN, urządzenia brzegowe, komputery, drukarki, oprogramowanie itd…

Audyt KRI & SZBI | Jak go wykonujemy?

Audyt możemy wykonać zdalnie (technika zza biurka) lub na miejscu w siedzibie jednostki. W każdym przypadku wykonywany jest proces digitalizacji dowodów (procedury, notatki z wywiadów, skany sieci oraz legalności oprogramowania, wyniki testów podatności informatycznych itd…), które są uwzględnione w finalnym protokole poaudytowym.
W przypadku coraz popularniejszej metody „zza biurka” komunikacja z audytowaną jednostką odbywa się za pomocą:
- – szyfrowanej platformy wideokonferencyjnej;
- – wielopoziomowo szyfrowanego połączenia z naszym sprzętem audytowym, dostarczonym uprzednio do jednostki oraz podłączonym w asyście lokalnego informatyka.
W przypadku audytu zdalnego czy też lokalnego, zostaje on wykonany przez minimum 2 audytorów (nasza wewnętrzna zasada audytowa podzielona na część formalną i technologiczną).
Podczas każdego audytu zostanie ustalona technika wykonywanych testów (Black Box, Grey Box, White Box). Jest to określenie sposobu pozyskiwania danych o jednostce. Przykładową techniką jest brak jakichkolwiek wewnętrznych informacji o jednostce, „pół na pół” czy też pełna wiedza o infrastrukturze audytowanej jednostki.
Podczas każdego rodzaju audytu nasz audytor IT będzie się posiłkował specjalistycznym sprzętem do skanowania sieci wewnętrznej oraz zewnętrznej z uwzględnieniem wszelakich testów informatycznych (testy podatności / testy penetracyjne).