WDROŻENIA SYSTEMÓW ISO / ODO / KRI 

Wsparcie

Audyty wewnętrzne

Krajowe Ramy Interoperacyjności


Z dniem 30 maja 2012 r. weszło w życie Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 poz. 526), które wymaga od podmiotu realizującego zadania publiczne systemowego podejścia do zarządzania bezpieczeństwem informacji oraz usługami IT, wprowadzając również obowiązek okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji realizowanego w jednostce nie rzadziej niż raz na rok. Na jego mocy, nie później niż w terminie 3 lat od dnia wejścia w życie niniejszego rozporządzenia, wszystkie podmioty realizujące zadania publiczne zostały zobligowane do prowadzenia swoich serwisów zgodnie ze standardami europejskimi, jak również do stałego i usystematyzowanego dostosowania i monitorowania własnej infrastruktury IT.

Rozporządzenie o Krajowych Ramach Interoperacyjności porusza następujące kwestie:

1. Zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia

2. Utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

3. Przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy

4. Podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji

5. Bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4.

6. Zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:

a) zagrożenia bezpieczeństwa informacji

b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna

c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich

7. Zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:

a) monitorowanie dostępu do informacji

b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji

c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

8. Ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość

9. Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

10. Zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

11. ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

12. Zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:

a) dbałości o aktualizację oprogramowania,

b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, 

c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,

d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,

e) zapewnieniu bezpieczeństwa plików systemowych,

f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,

g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,

h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;

13. Bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;

14. Zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok;

15. Rozliczalność w systemach informatycznych

Wspierając podmioty realizujące zadania publiczne oferujemy szeroki zakres usług związanych z bezpieczeństwem informacji – począwszy od szkoleń, poprzez doradztwo, aż po pełne wdrożenie systemu zarządzania bezpieczeństwem informacji.

Wdrożenie wymagań Rozporządzenia o KRI ma na celu:  

  • zapewnienie zgodności z obowiązującym w Polsce i UE prawem,
  • zwiększenie poziomu bezpieczeństwa systemów teleinformatycznych,
  • budowanie skutecznych planów ciągłości działania, dzięki którym zminimalizowane zostaną ryzyka związane z sytuacjami awaryjnymi,
  • zorientowanie usług IT na potrzeby Organizacji oraz użytkowników,
  • podniesienie efektywności procesów związanych z zarządzaniem bezpieczeństwem informacji i usługami IT, 
  • kontrolę kosztów i ryzyk.

 

ZAPRASZAMY DO WSPÓŁPRACY