Jakie są najważniejsze założenia NIK po kontroli w jednostkach publicznych związanej z rozporządzeniem w sprawie Krajowych Ram Interoperacyjności (KRI) ?
NIK zauważyła, że informacje przechowywane i przetwarzane w systemach teleinformatycznych urzędów miast, gmin oraz starostw są słabo chronione.
Pracownicy nie dbają o odpowiednie zapewnienia bezpieczeństwa przetwarzanych informacji. Najwyższa Izba Kontroli zaznacza, że pomimo upływu lat i rozwoju technologicznego w urzędach nie nastąpiła poprawa w tym obszarze.
Zapewnienie bezpieczeństwa informacji na najwyższym poziomie w urzędach staje się jednym z najważniejszych wyzwań, które stoją przed wszelkiego rodzaju administracją publiczną. Niewłaściwe podejście do ochrony danych oraz bezpieczeństwa przetwarzanych informacji może doprowadzić do wycieku, utraty lub nawet sfałszowania danych posiadanych przez jednostkę.
Zgodnie z rozporządzeniem w sprawie Krajowych Ram Interoperacyjności (KRI) (rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. - dotyczące minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych), każdy podmiot publiczny ustanawia, wdraża, opracowuje i eksploatuje, przegląda, utrzymuje, monitoruje i doskonali system zarządzania bezpieczeństwem informacji, po to, aby zapewnić poufność, dostępność i integralność informacji.
Najważniejsze ustalenia kontroli NIK w obszarze związanym z realizacją rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI)
W ocenie NIK, blisko 70 proc. skontrolowanych urzędów (16 z 23 urzędów) nie radziło sobie z zapewnieniem bezpieczeństwa przetwarzania informacji, co Izba oceniła negatywnie.
Kontrolerzy NIK jasno stwierdzili, że w ponad 60 proc. badanych jednostek brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji, ponieważ opracowane regulacje zastane w jednostkach obejmowały głównie ochronę danych, bez uwzględnienia bezpieczeństwa innych informacji. Dodatkowo stwierdzono, że prawie 75 proc. kontrolowanych jednostek nie zapewniało aktualnej informacji o posiadanych zasobach informatycznych, które służą do przetwarzania danych, co świadczy o tym, że w przypadku wystąpienia istotnej awarii, zalania, pożaru lub kradzieży utrudnione będzie szybkie odtworzenie infrastruktury i zapewnienie ciągłości działania usług dla obywateli.
Wyniki kontroli NIK, jasno określają, że o ile w urzędach w większości podjęto działania w celu wdrożenia i dostosowania do RODO, to w dalszym ciągu została przeoczona kwestia związana z wymogami dotyczącymi bezpieczeństwa informacji, które wynikają z obowiązującego od 2012 roku rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI). W ocenie NIK, nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych.
NIK po przeprowadzonych kontrolach wyrazili swoje wnioski do prezydentów miast, burmistrzów oraz wójtów:
- prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji (zgodnie z § 20 ust. 2 pkt 3 rozporządzenia KRI);
- opracowanie i wdrożenie oraz aktualizowanie Systemu Zarządzania Bezpieczeństwem Informacji (zgodnie z § 20 ust. 1 rozporządzenia KRI);
- prowadzenie aktualnej i kompletnej elektronicznej ewidencji sprzętu informatycznego, obejmującej jego rodzaj i konfigurację (zgodnie z § 20 ust. 2 pkt 2 rozporządzenia KRI);
- wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni (zgodnie z § 20 ust. 2 pkt 9 rozporządzenia KRI);
- zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji (zgodnie z § 20 ust. 2 pkt 14 rozporządzenia KRI);
- zapewnienie dokumentowania procesu nadawania uprawnień użytkowników systemów informatycznych;
- przyznawanie pracownikom urzędów uprawnień w systemach informatycznych adekwatnych do realizowanych zadań (zgodnie z § 20 ust. 2 pkt 4 rozporządzenia KRI);
- dostosowanie uregulowań wewnętrznych w zakresie danych osobowych do wymogów RODO;
- prowadzenie rejestru czynności przetwarzania danych (o którym mowa w art. 30 RODO);
- przeprowadzenie analizy i oceny procesów przetwarzania danych (o których mowa w art. 32 ust. 1 RODO).
Zobacz również