Najczęstsze błędy ujawniane podczas audytów KRI – i jak je skutecznie wyeliminować
Zgodność z Krajowymi Ramami Interoperacyjności (KRI) to obowiązek każdej jednostki sektora publicznego, która przetwarza informacje w systemach teleinformatycznych. Mimo jasno określonych wymagań w rozporządzeniu Rady Ministrów z dnia 21 maja 2024 r. (Dz. U. 2024 poz. 773), wiele instytucji nadal nie realizuje tych wytycznych w sposób wystarczający. Audyty KRI przeprowadzane w różnych placówkach regularnie ujawniają powtarzające się nieprawidłowości, które narażają dane na ryzyko wycieku, utraty lub modyfikacji.
W tym artykule przedstawiamy najczęściej występujące błędy oraz konkretne rozwiązania, które pozwalają uniknąć sankcji i zbudować realny system bezpieczeństwa informacji.
1. Brak aktualnej inwentaryzacji sprzętu i oprogramowania
Problem:
Wiele jednostek nie prowadzi na bieżąco inwentaryzacji posiadanego sprzętu i zainstalowanego oprogramowania. Brakuje wiedzy o tym, co faktycznie znajduje się w infrastrukturze IT oraz w jakiej konfiguracji działa.
Rozwiązanie:
Należy wdrożyć centralny rejestr zasobów IT, który będzie aktualizowany przy każdej zmianie – instalacji nowego oprogramowania, wymianie sprzętu czy konfiguracji. Pomocne będą tu narzędzia do automatycznej inwentaryzacji (np. oprogramowanie klasy ITAM).
2. Brak okresowej analizy ryzyka
Problem:
Placówki pomijają obowiązek cyklicznego przeprowadzania analizy ryzyka dla zasobów informacji, przez co nie są świadome potencjalnych zagrożeń i nie podejmują działań prewencyjnych.
Rozwiązanie:
Analiza ryzyka powinna być dokumentowana co najmniej raz w roku i odnosić się do trzech kluczowych aspektów: poufności, integralności i dostępności informacji. Do oceny można wykorzystać uznane metodyki (np. ISO/IEC 27005, OCTAVE) oraz szablony ułatwiające identyfikację zagrożeń i ich wpływu.
3. Brak szkoleń z zakresu bezpieczeństwa informacji
Problem:
Pracownicy nie otrzymują wymaganych szkoleń dotyczących cyberzagrożeń, odpowiedzialności prawnej czy bezpiecznego korzystania z systemów informatycznych. To zwiększa ryzyko błędów ludzkich – najczęstszej przyczyny incydentów.
Rozwiązanie:
Obowiązkowe szkolenia powinny odbywać się minimum raz w roku i obejmować tematykę zgodną z § 19 ust. 1 rozporządzenia KRI. Warto skorzystać z kursów uwzględniających elementy RODO i cyberbezpieczeństwa, prowadzonych przez certyfikowanych trenerów lub z wykorzystaniem platform e-learningowych.
4. Brak corocznego audytu wewnętrznego
Problem:
Pomijanie obowiązku wykonywania wewnętrznych audytów bezpieczeństwa informacji prowadzi do sytuacji, w której błędy nie są wykrywane na czas, a poziom zabezpieczeń ulega pogorszeniu.
Rozwiązanie:
Audyt należy przeprowadzać nie rzadziej niż raz na 12 miesięcy, zgodnie z wytycznymi KRI i najlepiej w oparciu o standardy ISO/IEC 27001. Można powierzyć to zadanie wyspecjalizowanemu podmiotowi zewnętrznemu lub stworzyć wewnętrzny zespół audytorski.
5. Braki w politykach bezpieczeństwa informacji
Problem:
Brakuje formalnych dokumentów regulujących zasady przetwarzania informacji, uprawnienia użytkowników, sposób reagowania na incydenty czy polityki pracy zdalnej.
Rozwiązanie:
Każda instytucja powinna posiadać pełny zestaw regulacji wewnętrznych, takich jak: Polityka bezpieczeństwa informacji, Instrukcja zarządzania systemem informatycznym, Procedury reagowania na incydenty. Dokumenty te muszą być aktualizowane wraz ze zmianami w środowisku technologicznym i prawnym.
6. Niedostosowane uprawnienia użytkowników
Problem:
Często osoby mają dostęp do danych lub systemów, które nie są niezbędne do ich obowiązków służbowych. Brakuje także procedur zmiany uprawnień po zmianie stanowiska.
Rozwiązanie:
Zastosowanie zasady najmniejszych uprawnień powinno być standardem. Każda zmiana stanowiska musi skutkować natychmiastowym przeglądem i modyfikacją uprawnień w systemach teleinformatycznych.
7. Nieskuteczne mechanizmy ochrony informacji
Problem:
Brak jest adekwatnych zabezpieczeń technicznych, takich jak mechanizmy szyfrowania, firewall’e, systemy antywirusowe, monitorowanie dostępu czy kontrola podatności.
Rozwiązanie:
Placówka powinna zapewnić ochronę danych na każdym etapie przetwarzania – zarówno logicznie (szyfrowanie, hasła, certyfikaty), jak i fizycznie (kontrola dostępu, monitoring, archiwizacja). Wdrożenie regularnego monitoringu systemów i reakcji na incydenty staje się dziś koniecznością.
Dlaczego warto zadbać o zgodność z KRI?
Zgodność z Krajowymi Ramami Interoperacyjności to nie tylko spełnianie wymogów formalnych. To realna ochrona danych osobowych, minimalizacja ryzyka reputacyjnego, a także zwiększenie zaufania społecznego do działania instytucji publicznej. Wdrażając skuteczny system bezpieczeństwa informacji, kierownik jednostki wypełnia swoje obowiązki i chroni organizację przed poważnymi konsekwencjami prawnymi oraz finansowymi.
Skorzystaj ze wsparcia specjalistów
Jeśli Twoja jednostka potrzebuje pomocy w przygotowaniu do audytu KRI, opracowaniu analizy ryzyka, wdrożeniu polityk bezpieczeństwa czy przeprowadzeniu szkoleń – warto sięgnąć po wsparcie ekspertów.
Zespół Eduodo oferuje kompleksowe usługi z zakresu audytów bezpieczeństwa, dokumentacji RODO i cyberbezpieczeństwa oraz szkoleń dostosowanych do wymogów KRI. Dzięki indywidualnemu podejściu i znajomości aktualnych przepisów, pomagamy instytucjom publicznym wdrażać skuteczne systemy bezpieczeństwa informacji i unikać błędów, które mogą kosztować znacznie więcej niż sam audyt.