Zgodnie z ustawą o informatyzacji działalności podmiotów realizujących zadania publiczne, samorządy są zobowiązane używać systemów teleinformatycznych spełniających minimalne wymagania dla takich systemów. W roku 2012 Rada Ministrów wydała rozporządzenie, które obejmuje regulacjami m. in jednostki samorządu terytorialnego. Krajowe Ramy Interoperacyjności (KRI) nakładają szereg wymogów i obowiązków, które zdają się być kluczowe z punktu widzenia budowy krajowego systemu cyberbezpieczeństwa. W pierwszej części z cyklu KRI w JST przyjrzymy się bliżej dokumentacji i aktualizacjom regulacji wewnętrznych oraz wewnętrznym audytom bezpieczeństwa informacji.
Czy wdrożony przez nas SZBI jest efektywnym zestawem dokumentów?
Istotą Krajowych Ram Interoperacyjności zdaje się być System Zarządzania Bezpieczeństwem Informacji (SZBI), który ma zostać opracowany, ustanowiony, wdrożony i eksploatowany. Ponadto wymaga on monitorowania, przeglądów, właściwego utrzymania no i oczywiście doskonalenia. W par. 20 ust. 2 wymienione zostały działania, za realizację i egzekwowanie których ma odpowiadać najwyższe kierownictwo podmiotu. Z uwagi na zmieniające się otoczenie, przeglądy, audyty oraz przede wszystkim incydenty i naruszenia bezpieczeństwa informacji kierownictwo organizacji powinno zapewnić aktualizację regulacji wewnętrznych (par. 20 ust. 2 pkt.1 KRI). Aby SZBI mógł działać poprawnie kluczowa i niezbędna jest właściwa dokumentacja określająca „zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania” (Par. 2 pkt 15 KRI). Dokumentem najważniejszym w całym zestawie jest Polityka bezpieczeństwa informacji (PBI), która powinna zawierać regulacje dotyczące określonego zakresu przetwarzania danych w jednostce samorządu terytorialnego, opis zabezpieczeń, zasady nadawania i odbierania uprawnień, odpowiedzialność, zasady szkolenia nowych pracowników oraz dokumentację wszystkich podejmowanych działań i naruszeń bezpieczeństwa. Uzupełnieniem dla PBI powinny być stosowne procedury postępowania czy regulaminy. Cała dokumentacja tworzy kompleksowy system, który ma zapewnić poufność, dostępność i integralność informacji, a ponadto uwzględnić przy tym atrybuty jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
Czy śledzimy najnowsze przepisy i nowelizacje ustaw, które mogą wpływać na wymagania bezpieczeństwa systemów?
Nie można rozpatrywać jednak bezpieczeństwa jako stanu uzyskanego raz i kurczowo trzymać się opracowanych przed laty reguł postępowania i zasad obsługi komputera. Podejście do bezpieczeństwa jako do procesu odzwierciedla jego charakter jako dynamiczny i jest bardziej naturalne. Oznacza ono ciągłą i nieprzerwaną działalność organizacji w celu osiągnięcia pożądanego stanu. Stosując takie podejście z łatwością przyjdzie zrozumienie, że wraz z rozwojem technologicznym, wdrożeniem nowych systemów i pojawieniem się nowych zagrożeń, stosowane dotychczas zabezpieczenia mogą nie być właściwe lub wystarczające. Rozporządzenie KRI wymaga zatem, aby wszystkie stosowane procedury i regulaminy były poddawane regularnym aktualizacjom (par. 20 ust. 2 pkt.2 KRI).
Czy planujemy i regularnie przeprowadzamy audyty bezpieczeństwa informacji?
Zwróćmy tutaj szczególną uwagę na punkt dotyczący zapewnienia okresowego wewnętrznego audytu bezpieczeństwa (par. 20 ust. 2 pkt.14 KRI). Audyt ten powinien weryfikować aktualny stan zabezpieczeń organizacji, sprawdzać zgodność z regulacjami oraz wspierać kierownictwo w dążeniu do zapewnienia najwyższego poziomu bezpieczeństwa. W przypadkach, kiedy organizacja nie posiada wewnętrznych struktur czy organów mogących przeprowadzać taką weryfikację, możliwą formą są audyty wykonywane przez firmy zewnętrzne, co jest praktyką powszechną. Audyt, niezależnie od wybranej formy, winien być zakończony raportem z wykonanych prac oraz rekomendacjami do znalezionych nieprawidłowości.
Podsumowując, warto odpowiedzieć na postawione powyżej pytania oraz spróbować przyjrzeć się swojemu SZBI w organizacji. W kolejnych częściach zostaną przybliżone dalsze wymagania i obowiązki dla jednostek samorządu terytorialnego postawione w Rozporządzeniu KRI oraz ustawie o krajowym systemie cyberbezpieczeństwa.