Jednostki samorządu terytorialnego zostały zobligowane używać systemów teleinformatycznych spełniających minimalne wymagania na mocy ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Regulacje Krajowych Ram Interoperacyjności wydane w 2012 przez Radę Ministrów stanowią akt wykonawczy do powyższej ustawy i obligują podmioty do poprawy systemu cyberbezpieczeństwa. W pierwszej części KRI w JST zostały omówione wymagania dotyczące dokumentacji i aktualizacji regulacji wewnętrznych, jak również coroczne wewnętrzne audyty bezpieczeństwa informacji. W kolejnej odsłonie tego cyklu przybliżone zostaną następne wymagania dla systemów informatycznych w podmiotach publicznych.
Czy utrzymujemy aktualną inwentaryzację sprzętu i oprogramowania?
Niełatwo jest właściwe zarządzać środowiskiem informatycznym bez znajomości jego komponentów, a dbałość o bezpieczeństwo jest wręcz niemożliwa. Rozporządzenie KRI (par. 20 ust. 2 pkt 2) nakłada na najwyższe kierownictwo podmiotu obowiązek prowadzenia aktualnej inwentaryzacji sprzętu i oprogramowania z podziałem na ich rodzaj i konfigurację. Warto zwrócić uwagę na ten podstawowy wymóg, który powinien być punktem wyjściowym do dalszych analiz. Właściwie opracowana inwentaryzacja odpowie bowiem na pytania związane z zapotrzebowaniem na nowy sprzęt i oprogramowanie oraz pozwoli lepiej zaplanować budżet na najbliższe lata. Ponadto wskaże drogę do cyfrowej poprawy organizacji, określi istotność danych aktywów i wyłoni kluczowe dla bezpieczeństwa i ciągłości działania organizacji zasoby. Do przeprowadzenia takiego spisu można posłużyć się programami, które pozwolą utrzymać aktualność inwentaryzacji i zapewnią podstawowy monitoring elementów systemu teleinformatycznego.
Czy właściwie zarządzamy uprawnieniami?
Osoby zaangażowane w proces przetwarzania informacji powinny posiadać stosowne uprawnienia i uczestniczyć w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji, a ponadto powinno się dokonać bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań tych osób (par. 20 ust. 2 pkt 4, 5 KRI). Zgodnie z wewnętrznymi procedurami powinno odbywać się nadawanie i odbieranie uprawnień. Dla każdego pracownika lub stanowiska wskazane jest przypisanie konkretnej roli i uprawnień w systemach informatycznych. Korzystanie z kont uprzywilejowanych powinno zostać zarezerwowane dla administratorów lub firm świadczących outsourcing IT, a ponadto należałoby dysponować aktualną listą osób odpowiedzialnych za bezpieczeństwo. Warto nadmienić, że właściwe regulacje i kontrola uprawnień nie tylko pozwoli zwiększyć bezpieczeństwo danego systemu, ale również ograniczy nadużycia.
Czy planujemy i realizujemy obowiązkowe szkolenia z bezpieczeństwa?
Analizując przyczyny incydentów i naruszeń bezpieczeństwa informacji, nie sposób nie zgodzić się z popularnym powiedzeniem, że najsłabszym ogniwem w bezpieczeństwie systemów jest człowiek. Zgodnie z Rozporządzeniem KRI (par. 20 ust. 2 pkt 6) należy zaplanować regularne szkolenia obejmujące swoim zakresem możliwe zagrożenia bezpieczeństwa informacji, ponadto skutki, konsekwencje i odpowiedzialność prawną naruszeń zasad bezpieczeństwa oraz środki zapewniające bezpieczeństwo, wliczając w to oprogramowanie minimalizujące ryzyko błędów ludzkich. Na zakończenie, warto dokonać przeglądu aktualności inwentaryzacji sprzętu i oprogramowania w organizacji oraz udzielonych pracownikom uprawnień. W kolejnych częściach zostaną przybliżone dalsze wymagania i obowiązki dla jednostek samorządu terytorialnego postawione w Rozporządzeniu KRI oraz ustawie o krajowym systemie cyberbezpieczeństwa.