nasza oferta i usługi

Audyt KRI jest jednym z wymogów wynikających z rozporządzenia o Krajowych Ramach Interoperacyjności. Przedmiotem audytu jest weryfikacja bezpieczeństwa informacji i systemów informatycznych.

Krajowe Ramy Interoperacyjności (KRI) to rozporządzenie Rady Ministrów z dnia 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t. j. Dz. U. z 2017 r. poz. 2247), które skierowane jest do instytucji publicznych. Przepisy prawne KRI określają wymagania dotyczące wymiany informacji w postaci elektronicznej i systemów IT. Rozporządzeniem objęte są: urzędy miejskie, urzędy gminne, starostwa powiatowe, powiatowe urzędy pracy, placówki oświatowe, ZUS, organy administracji rządowej, sądy, prokuratury organy kontroli państwowej i wiele innych podmiotów – nie tylko publicznych, ale i tych, które realizują zadania publiczne.

Rozporządzenie KRI określa minimalne wymagania dla rejestrów publicznych i przepisy dot. wymiany informacji w postaci elektronicznej. Rozporządzenie nakłada na podmioty publiczne liczne obowiązki w 3 podstawowych obszarach:

• polityka bezpieczeństwa,
• minimalne wymagania dla systemów informatycznych,
• wytyczne z zakresu bezpieczeństwa sieci informatycznych.

Zgodnie z paragrafem 20 rozporządzenia KRI należy opracować, wdrożyć, utrzymywać i doskonalić system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji zgodnie z wytycznymi. Wymagania dla systemu zarządzania bezpieczeństwem informacji uznaje się za spełnione, jeżeli system został opracowany na podstawie normy ISO 27001 z uwzględnieniem ISO 27002 (w odniesieniu do ustanawiania zabezpieczeń) i ISO 27005 (w odniesieniu do zarządzania ryzykiem).

KRI obligują podmioty do corocznego przeprowadzania audytu, który ma służyć weryfikacji i sprawdzeniu bezpieczeństwa danych. Audyt ten należy przeprowadzić minimum raz do roku. Można zrobić to samodzielnie lub skorzystać z firmy zewnętrznej.

Audyt KRI weryfikuje obszary powiązane z bezpieczeństwem informacji. Zakresem audytu zostaną zatem objęte środki techniczne i organizacyjne, z uwzględnieniem ich wpływu na kwestie utraty poufności, dostępności oraz integralności danych przetwarzanych w ramach organizacji.

Oferujemy przeprowadzenie w Państwa organizacji audytu KRI, który skupi się na przeanalizowaniu ryzyka utraty integralności, poprawności działania systemów teleinformatycznych, rejestrów publicznych oraz poufności informacji.

Podczas audytu zbadamy, czy proces wymiany informacji przebiega prawidłowo, a osoby zajmujące się tymi działaniami posiadają odpowiednie uprawnienia. Ponadto sprawdzimy, czy dane są odpowiednio zabezpieczone przed włamaniem lub nieuprawnionym, nieautoryzowanym dostępem.

Celem audytu jest maksymalne ograniczenie ryzyka, które ciąży na podmiocie. Usługa ta ma zapobiegać utracie danych w wyniku włamania, czy awarii, a także chronić przed błędami poprzez zastosowanie mechanizmów kryptograficznych.

Szczegółowy zakres audytu obejmuje zbadanie organizacji pod kątem:

1. zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
2. utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
3. przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
4. podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
5. bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
6. zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
   a) zagrożenia bezpieczeństwa informacji,
   b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
   c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
7. zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
   a) monitorowanie dostępu do informacji,
   b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
   c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
8. ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
9. zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
10. zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
11. ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
12. zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    a) dbałości o aktualizację oprogramowania,
    b) minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    e) zapewnieniu bezpieczeństwa plików systemowych,
    f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
13. bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.

Na koniec sporządzimy raport, który podsumowuje działania badanego podmiotu. Opracowane sprawozdanie będzie zawierać uporządkowane obszary podlegające badaniu, określenie co wpływa na spełnienie wymogu, określenie stanu faktycznego oraz ocena czy spełnia on określony wymóg.  Sprawozdanie kończy się podsumowaniem zawierającym wskazanie obszarów, które uznano, na podstawie stanu faktycznego za niespełniające kryteriów zgodności.

Prawidłowo przeprowadzony audyt bezpieczeństwa KRI daje kierownictwu jednostki publicznej szereg korzyści. Do najważniejszych należy zaliczyć: sprawdzenie bezpieczeństwa działania systemów teleinformatycznych pod kątem bezpieczeństwa informacji w celu ewentualnego podjęcia czynności eliminujących zagrożenia oraz zwiększenie odporności na ataki hakerskie, prowadzące do utraty danych, wycieku danych osobowych lub nawet utraty środków finansowych.