Kategoria: KRI

Informacje na temat Rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

Opublikowane w

PROCES TWORZENIA I ZARZĄDZANIA SYSTEMEM BEZPIECZEŃSTWA INFORMACJI SZBI

Współczesne organizacje coraz bardziej polegają na systemach informatycznych i cyfrowych zasobach, co sprawia, że ochrona informacji staje się kluczowym elementem zarządzania. Normy i przepisy prawa dostarczają kompleksowych wytycznych, które pozwalają na skuteczne zarządzanie systemem bezpieczeństwa informacji. Poniższy artykuł omawia kluczowe etapy tego procesu w oparciu o modelowy cykl życia systemu.

PROCES TWORZENIA I ZARZĄDZANIA SYSTEMEM BEZPIECZEŃSTWA INFORMACJI SZBI

1. Faza identyfikacji

Pierwszy etap stanowi fundament każdego systemu bezpieczeństwa informacji. Celem jest zrozumienie zasobów organizacji, procesów oraz ryzyk, jakie jej zagrażają.

  • Zarządzanie aktywami

Każda organizacja powinna zidentyfikować swoje zasoby, takie jak dane, urządzenia, oprogramowanie czy infrastrukturę. Kluczowe jest stworzenie rejestru aktywów i przypisanie do nich właścicieli odpowiedzialnych za ich ochronę.

  • Zarządzanie procesami

Analiza procesów biznesowych pozwala zrozumieć, jak informacje są przetwarzane, przechowywane i przesyłane. Optymalizacja procesów może przyczynić się do zminimalizowania ryzyk.

  • Ocena środowiska biznesowego

Kluczowe jest zrozumienie kontekstu działania organizacji, w tym wymagań prawnych, regulacyjnych i oczekiwań interesariuszy. To pozwala na dopasowanie systemu bezpieczeństwa do specyfiki organizacji.

  • Ocena ryzyka

Identyfikacja zagrożeń i słabości, a także analiza ich wpływu i prawdopodobieństwa, pozwala zbudować profil ryzyka organizacji. W tym celu stosuje się metodyki takie jak analiza SWOT czy OCTAVE.

  • Strategia zarządzania ryzykiem

Na podstawie wyników oceny ryzyka tworzony jest plan zarządzania ryzykiem, który obejmuje środki zapobiegawcze, minimalizujące lub akceptujące ryzyko.

2. Faza ochrony

W tej fazie organizacja wdraża środki techniczne, proceduralne i organizacyjne, które mają na celu ochronę jej zasobów informacyjnych.

  • Szkolenia

Podstawowym elementem ochrony jest edukacja pracowników na temat zagrożeń, polityk i procedur bezpieczeństwa.

  • Kontrola dostępu

Skuteczne zarządzanie tożsamością i uprawnieniami użytkowników pozwala na ograniczenie dostępu do zasobów wyłącznie do osób upoważnionych.

  • Fizyczne bezpieczeństwo danych

Ochrona fizyczna obejmuje zabezpieczenie budynków, serwerowni oraz nośników danych przed nieautoryzowanym dostępem i zagrożeniami fizycznymi.

  • Proces i procedury ochrony informacji

Opracowanie i wdrożenie polityk oraz procedur, takich jak polityka czystego biurka czy szyfrowanie danych, zapewnia spójność działań ochronnych.

  • Technologia proaktywna

Wdrażanie narzędzi takich jak firewalle, systemy wykrywania intruzów (IDS) czy zaawansowane oprogramowanie antywirusowe minimalizuje ryzyko ataków.

3. Faza wykrycia

Nie można zapobiec wszystkim incydentom, dlatego istotne jest szybkie wykrywanie zagrożeń.

  • Proces i procedury wykrywania podatności

Regularne audyty bezpieczeństwa i testy penetracyjne pomagają w identyfikacji słabości systemu.

  • Rejestrowanie anomalii i zdarzeń

Automatyczne rejestrowanie nietypowych zdarzeń w systemach pozwala na szybką reakcję na potencjalne zagrożenia.

  • Ciągłe monitorowanie bezpieczeństwa

Systemy SIEM (Security Information and Event Management) zapewniają bieżącą analizę działań w sieci.

4. Faza reagowania

Skuteczna reakcja na incydenty ogranicza ich skutki i pozwala na szybkie przywrócenie normalnego funkcjonowania.

  • Plan reakcji na incydent

Organizacja powinna posiadać szczegółowy plan, który określa role, obowiązki i procedury w przypadku wystąpienia incydentu.

  • Komunikacja wewnętrzna i zewnętrzna

Jasne zasady komunikacji podczas incydentu minimalizują dezinformację i eskalację problemu.

  • Łagodzenie skutków incydentu – działania korekcyjne

Kluczowe jest szybkie ograniczenie szkód, na przykład poprzez izolowanie zainfekowanych systemów.

  • Analiza incydentu

Dokładne badanie przyczyn i skutków incydentu pozwala na lepsze przygotowanie na przyszłość.

  • Wnioski i działania korygujące na przyszłość

Wnioski z analizy powinny wpływać na aktualizację polityk i procedur bezpieczeństwa.

  • Poprawa planów reagowania

Stałe doskonalenie planów zapewnia skuteczniejszą reakcję w przyszłości.

5. Faza odzyskiwania

Ostatni etap koncentruje się na przywróceniu normalnego funkcjonowania organizacji po incydencie.

  • Plan ciągłości działania

Planowanie awaryjne obejmuje procedury zapewniające ciągłość działania kluczowych procesów.

  • Poprawa planów odzyskiwania

Doświadczenia zdobyte podczas incydentu powinny służyć do udoskonalenia planów na przyszłość.

  • Komunikacja wewnętrzna i zewnętrzna
Opublikowane w

PORADNIK, JAK I PO CO WDROŻYĆ WYMAGANIA PRZEPISÓW KRAJOWYCH RAM INTEROPERACYJNOŚCI

Biurko w kancelarii prawnej z komputerem i książkami

 

KRAJOWE RAMY INTEROPERACYJNOŚCI TO NIE RODO

Krajowe Ramy Interoperacyjności (KRI) to zbiór standardów i wytycznych, które mają na celu zapewnienie spójności i efektywności działania systemów teleinformatycznych w administracji publicznej. Ich wdrożenie jest kluczowe dla poprawy jakości usług publicznych, zwiększenia bezpieczeństwa informacji oraz ułatwienia współpracy między różnymi podmiotami administracji.

Pierwszym krokiem w procesie wdrażania KRI jest dokładne zapoznanie się z obowiązującymi przepisami prawnymi, w tym z Rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności. Dokument ten określa minimalne wymagania dla rejestrów publicznych, wymiany informacji w postaci elektronicznej oraz systemów teleinformatycznych. Zrozumienie tych wymogów pozwala na właściwe przygotowanie się do ich implementacji.

Kolejnym etapem jest przeprowadzenie analizy obecnego stanu systemów informatycznych w danej jednostce (PONIŻEJ GOTOWA AUTODIAGNOZA). Audyt bezpieczeństwa informacji, zgodnie z wytycznymi KRI, umożliwia identyfikację potencjalnych luk i obszarów wymagających poprawy. Regularne audyty są nie tylko zalecane, ale w wielu przypadkach obligatoryjne, co podkreśla ich znaczenie w utrzymaniu wysokiego poziomu bezpieczeństwa danych.

Wdrażanie KRI wiąże się również z koniecznością opracowania i aktualizacji dokumentacji dotyczącej polityki bezpieczeństwa informacji. Dokumenty te powinny precyzować procedury postępowania w sytuacjach kryzysowych, zasady dostępu do danych oraz inne istotne aspekty związane z ochroną informacji. Szczególną uwagę należy zwrócić na zgodność z normą PN-ISO/IEC 27005, która opisuje wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji. Gov.pl

Szkolenie pracowników to kolejny kluczowy element wdrażania KRI. Personel powinien być świadomy znaczenia bezpieczeństwa informacji oraz znać procedury i zasady obowiązujące w organizacji. Regularne szkolenia podnoszą kompetencje pracowników i minimalizują ryzyko błędów ludzkich, które mogą prowadzić do naruszeń bezpieczeństwa.

Warto również zwrócić uwagę na techniczne aspekty wdrożenia KRI. Obejmuje to m.in. aktualizację oprogramowania, konfigurację systemów zgodnie z wytycznymi oraz implementację odpowiednich mechanizmów ochrony, takich jak firewalle czy systemy wykrywania intruzów. Wszystkie te działania mają na celu zapewnienie integralności, poufności i dostępności przetwarzanych informacji.

Wdrożenie KRI przynosi wiele korzyści. Przede wszystkim zwiększa poziom bezpieczeństwa informacji, co jest kluczowe w dobie rosnących zagrożeń cybernetycznych. Ponadto, ujednolicenie standardów w administracji publicznej ułatwia wymianę informacji między różnymi podmiotami, co przekłada się na sprawniejszą realizację zadań publicznych. Dodatkowo, spełnienie wymogów KRI może podnosić zaufanie obywateli do instytucji publicznych, które dbają o ochronę ich danych.

Podsumowując, wdrożenie Krajowych Ram Interoperacyjności to proces wymagający zaangażowania na wielu płaszczyznach – od analizy i planowania, przez szkolenia, po techniczne dostosowanie systemów. Jednakże korzyści płynące z tego przedsięwzięcia, zarówno w kontekście bezpieczeństwa informacji, jak i efektywności działania administracji publicznej, są nieocenione.

 

JAKIE SĄ ZAGROŻENIA DLA INSTYTUCJI, KTÓRE BAGATELIZUJĄ BEZPIECZEŃSTWO INFORMACJI

Bagatelizowanie bezpieczeństwa informacji przez instytucje publiczne wiąże się z wieloma poważnymi zagrożeniami, które mogą skutkować zarówno stratami finansowymi, jak i utratą zaufania społecznego. Oto najważniejsze z nich:

  1. Utrata lub wyciek danych wrażliwych
    Instytucje publiczne przetwarzają ogromne ilości danych osobowych, w tym informacje wrażliwe dotyczące obywateli, takie jak dane zdrowotne, finansowe czy socjalne. Wyciek takich informacji może prowadzić do naruszenia prywatności obywateli, a instytucja może ponieść konsekwencje prawne oraz wizerunkowe.
  2. Ataki cybernetyczne
    Bagatelizowanie bezpieczeństwa zwiększa ryzyko skutecznych ataków cybernetycznych, takich jak ransomware, phishing czy DDoS. Takie ataki mogą paraliżować działanie urzędów, powodować utratę danych oraz wymuszać wysokie koszty na przywrócenie działania systemów.
  3. Narażenie na kary finansowe
    Nieprzestrzeganie przepisów dotyczących ochrony danych, takich jak RODO czy Krajowe Ramy Interoperacyjności, może skutkować wysokimi karami finansowymi. W Polsce Urząd Ochrony Danych Osobowych (UODO) może nakładać surowe sankcje na instytucje, które nie dbają o bezpieczeństwo informacji.
  4. Dezinformacja i manipulacja danymi
    Brak odpowiednich zabezpieczeń może umożliwić cyberprzestępcom manipulację danymi przechowywanymi w systemach publicznych, co może prowadzić do chaosu i podważenia wiarygodności instytucji publicznych.
  5. Utrata zaufania społecznego
    Ujawnienie wycieków danych lub innych incydentów związanych z bezpieczeństwem może poważnie zaszkodzić reputacji instytucji publicznej. Obywatele mogą stracić zaufanie do urzędu, co utrudni współpracę i realizację zadań publicznych.
  6. Paraliż infrastruktury krytycznej
    Instytucje publiczne często zarządzają kluczową infrastrukturą, taką jak sieci energetyczne, wodociągi czy transport publiczny. Brak odpowiednich zabezpieczeń może prowadzić do przerw w działaniu tych systemów, co z kolei wpływa na bezpieczeństwo i jakość życia obywateli.
  7. Szpiegostwo i kradzież informacji
    Niedostateczna ochrona danych może ułatwić działalność grup szpiegowskich lub konkurencyjnych podmiotów, które mogą wykorzystać uzyskane informacje do szkodzenia interesom narodowym lub lokalnym.
  8. Problemy operacyjne i utrata danych
    Awaria systemów teleinformatycznych spowodowana brakiem regularnych audytów czy zabezpieczeń może prowadzić do trwałej utraty danych. Tego typu sytuacje mogą być kosztowne i czasochłonne w naprawie. Brak ewidencji i rejestrów może prowadzić do nadużyć ze strony pracowników. Instalacji nielegalnego oprogramowania.
  • odpowiedzialność karna za nielegalne oprogramowanie – art. 278 §2 KK;
  • odpowiedzialność karna za paserstwo art. 293 § 1 KK;
  • zwrot dofinansowania z środków UE – dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004r. w sprawie egzekwowania praw własności intelektualnej uprawnia kontrolerów do sprawdzania projektów i audytu legalności oprogramowania w ciągu 5 lat od zakończenia inwestycji.

 

  1. Narażenie na odpowiedzialność osobistą pracowników
    W przypadku zaniedbań w zakresie ochrony danych, odpowiedzialność może być przypisana konkretnym osobom w instytucji, co może skutkować konsekwencjami zawodowymi i prawnymi.
  • odpowiedzialność administracyjna, w art. 102 ustawy o ochronie danych osobowych, m.in. w wysokości do 100.000 zł w odniesieniu do takich jednostek sektora finansów publicznych jak np. gminy, szkoły, szpitale, uczelnie bądź w wysokości do 10.000 zł dla jednostek sektora finansów publicznych takich jak: biblioteki, domy kultury, muzea itp.
  • odpowiedzialność cywilnoprawna, każda osoba, która poniosła szkodę majątkową lub niemajątkową uprawniona jest do dochodzenia odszkodowania lub zadośćuczynienia – również w wyniku naruszenia przepisów dot. ochrony danych osobowych, zgodnie z art. 82 ust. 1 RODO
  • odpowiedzialność karna – uję­tą przez polskiego prawodawcę w art. 231 1 Kodeksu karnego, w przypadku gdy funkcjonariusz publiczny, który, przekraczając swoje uprawnienia lub nie dopełniając obowiązków, działa na szkodę interesu publicznego lub prywatnego, podlega karze pozbawienia wolności do lat 3.

 

  1. Rosnące koszty naprawy po incydentach
    Brak prewencji w postaci odpowiednich zabezpieczeń często skutkuje wyższymi kosztami związanymi z reagowaniem na incydenty. Naprawa szkód, odzyskanie danych czy odbudowa reputacji jest zazwyczaj bardziej kosztowna niż wcześniejsze inwestycje w bezpieczeństwo.

Instytucje publiczne muszą traktować bezpieczeństwo informacji jako priorytet, ponieważ bagatelizowanie tego obszaru niesie ryzyko nie tylko dla nich samych, ale także dla obywateli i całego państwa.

 

KTO MA OBOWIĄZEK STOSOWANIA ZABEZPIECZEŃ ZGODNIE Z KRI?

 

Art.  2.  [Zakres podmiotowy USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne]

  1. Z zastrzeżeniem ust. 2-4, przepisy ustawy stosuje się do realizujących zadania publiczne określone przez ustawy:

1) organów administracji rządowej, organów kontroli państwowej i ochrony prawa, sądów, jednostek organizacyjnych prokuratury, a także jednostek samorządu terytorialnego i ich organów,

2) jednostek budżetowych i samorządowych zakładów budżetowych,

3) funduszy celowych,

4) samodzielnych publicznych zakładów opieki zdrowotnej oraz spółek wykonujących działalność leczniczą w rozumieniu przepisów o działalności leczniczej,

5) Zakładu Ubezpieczeń Społecznych, Kasy Rolniczego Ubezpieczenia Społecznego,

6) Narodowego Funduszu Zdrowia,

7) państwowych lub samorządowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu realizacji zadań publicznych,

8) uczelni,

9) federacji podmiotów systemu szkolnictwa wyższego i nauki,

9a) instytutów badawczych,

9b) instytutów działających w ramach Sieci Badawczej Łukasiewicz,

9c) jednostek organizacyjnych tworzonych przez Polską Akademię Nauk,

10) Polskiej Komisji Akredytacyjnej,

11) Rady Doskonałości Naukowej

– zwanych dalej „podmiotami publicznymi”.

 

SZYBKA ŚCIEŻKA WDROŻENIA KRI

Wykonaj poniższą autodiagnozę aby określić mocne i słabe obszary SZBI w twojej organizacji. Wyciągnij wnioski, zrób analizę ryzyka, opracuj plan naprawczy, szczegółowo opisz działania korygujące, określ przedział czasowy w jakim uzupełnisz braki, wykonaj audyt KRI. Gotowe. 😊

Chętnie pomogę, Witold Bzdęga tel. 606648004

AUTODIAGNOZA

Przykład.

KRI.§19 ust. 2 pkt 7– Zabezpieczania techniczne oraz organizacyjne

Czy zaprojektowano i wdrożono zabezpieczania techniczne oraz organizacyjne ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami?

Czy dostęp do pomieszczeń jest zabezpieczony poprzez bariery fizyczne (drzwi z zamkiem itp.)?

Czy monitorujemy dostęp do pomieszczeń z infrastrukturą krytyczną?

Czy rejestrujemy dostęp do pomieszczeń z infrastrukturą krytyczną?

Czy mamy zainstalowany alarm? Czujniki zalania, pożaru, dymu, temperatury?

Czy mam zasilanie awaryjne (ups/agregat)?

Czy posiadamy środki ochrony przeciwpożarowej?

Czy mamy umowę na ochronę osób i mienia?

Czy monitory są ustawione w sposób uniemożliwiający dostęp do danych osobom trzecim?

Czy jest rejestr kluczy?

Czy jest rejestr wydanych i odebranych kluczy/ automat na karty RFID?

Czy prowadzi się działania związane z monitorowaniem dostępu do informacji ?

Czy prowadzi się działania związane z monitorowaniem ruchu osobowego w podmiocie?

 

KRI.§19 ust. 2 pkt 8 – Przetwarzanie mobilne i praca na odległość

Czy opracowano i wdrożono regulamin pracy mobilnej i zdalnej?

Czy zaszyfrowano wszystkie mobilne nośniki danych?

Czy są zinwentaryzowane i przypisane do osób?

Czy komputery mobilne mają zaszyfrowane dyski?

Czy prowadzony jest rejestr udostępniania komputerów mobilnych?

Czy kierownictwo zapewniło odpowiednie środki?

Czy wyznaczono osobę lub zespół odpowiedzialny za ewidencje i kontrolę urządzeń mobilnych?

Czy udokumentowano proces?

Jeśli chcesz dostać kompletny dokument z autodiagnozą napisz e-mail. 

Źródła:

USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

W przypadku pytań pozostaje do dyspozycji.