KPB.410.004.05.

2015
Nr ewid. 42/2016/P/15/042/KPB

Informacja owynikach kontroli

ZAPEWNIENIE BEZPIECZESTWA
DZIAANIA SYSTEMW INFORMATYCZNYCH
WYKORZYSTYWANYCH DO REALIZACJI
ZADA PUBLICZNYCH

DEPARTAMENT PORZDKU
I BEZPIECZESTWA WEWNTRZNEGO

MARZEC

01

MISJ

Najwyszej Izby Kontroli jest dbao ogospodarno iskuteczno wsubie

publicznej dla Rzeczypospolitej Polskiej

WIZJ

Najwyszej Izby Kontroli jest cieszcy si powszechnym autorytetem

najwyszy organ kontroli pastwowej, ktrego raporty bd oczekiwanym
i poszukiwanym rdem informacji dla organw wadzy ispoeczestwa

Dyrektor Departamentu Porzdku

i Bezpieczestwa Wewntrznego:
Marek Biekowski

Zatwierdzam:
Krzysztof Kwiatkowski

Prezes Najwyszej Izby Kontroli

Warszawa, dnia

Najwysza Izba Kontroli

ul.Filtrowa 57
02-056 Warszawa
T/F +48 22 444 50 00
www.nik.gov.pl

Spis treci
WPROWADZENIE6
1. ZAOENIA KONTROLI7
2. PODSUMOWANIE WYNIKW KONTROLI9

2.1. Oglna ocena kontrolowanej dziaalnoci 9

2.2. Synteza wynikw kontroli10
2.3. Uwagi i wnioski17

3. WANIEJSZE WYNIKI KONTROLI 18

3.1. Charakterystyka obszaru objtego kontrol18

3.1.1. Oglne informacje dot. obszaru objtego kontrol18
3.1.2. Organizacja bezpieczestwa informacji18
3.1.3. Obszar objty kontrol wwietle wynikw dotychczasowych kontroli NIK21
3.1.4. Metodyka bada kontrolnych dot. bezpieczestwa
systemw informatycznych22
3.2. Wyniki kontroli w ujciu przedmiotowym23
3.2.1. redni stopie dojrzaoci badanych procesw
wjednostkach objtych kontrol23
3.2.2. Zarzdzanie bezpieczestwem IT24
3.2.3. Plan zapewnienia bezpieczestwa26
3.2.4. Testowanie, nadzorowanie i monitorowanie bezpieczestwa26
3.2.5. Zarzdzanie kluczami kryptograficznymi27
3.2.6. Ochrona przed zoliwym oprogramowaniem27
3.2.7. Bezpieczestwo sieciowe28
3.2.8. Zarzdzanie tosamoci i kontami uytkownikw28
3.2.9. Ochrona technologii zabezpiecze29
3.2.10. Wymiana wraliwych danych29
3.3. Wyniki kontroli w ujciu podmiotowym29
3.3.1. Zestawienie poszczeglnych ocen kontrolowanych jednostek29
3.3.2. Kasa Rolniczego Ubezpieczenia Spoecznego30
3.3.3. Ministerstwo Sprawiedliwoci32
3.3.4. Ministerstwo Skarbu Pastwa33
3.3.5. Narodowy Fundusz Zdrowia35
3.3.6. Komenda Gwna Stray Granicznej36
3.3.7. Ministerstwo Spraw Wewntrznych37

4. INFORMACJE DODATKOWE 39

4.1. Postpowanie kontrolne i dziaania podjte po zakoczeniu kontroli39

5. ZACZNIKI 44

Zdjcie na okadce:
tashatuvango Fotolia.com

Wyk az stosowanych sk rtw, sk rtowcw ipoj

Akceptowane
ryzyka
Aktywa

Ogoszona decyzja opodjciu okrelonego ryzyka; akceptowane ryzyka

podlegaj monitorowaniu iprzegldowi.
Wszystko, codla instytucji stanowi warto.

Analiza ryzyka

Proces dcy dopoznania charakteru ryzyka oraz okrelenia poziomu

ryzyka.

Autentyczno

Waciwo polegajca natym, e pochodzenie lub zawarto danych

opisujcych obiekt stakie, jak deklarowane.

Bezpieczestwo
informacji

Zachowanie poufnoci, integralnoci idostpnoci informacji.

COBIT

Control Objectives for Information and related Technology zbir dobrych

praktyk pomagajcy optymalizowa inwestycje zwizane ztechnologiami
informatycznymi (IT) izapewnia dostpno usug oraz dostarczajcy
miernikw i modeli dojrzaoci umoliwiajcych ocen wynikw
proceswIT iokrelenie odpowiednich obowizkw wacicieli procesw
biznesowychiIT. Wniniejszej kontroli wykorzystano przetumaczon
najzyk polski wersj 4.1 tego standardu.

Cyberprzestrze

Przestrze przetwarzania iwymiany informacji tworzona przez systemy

teleinformatyczne, okrelone wart.3 pkt3 ustawy zdnia 17lutego 2005 r.
oinformatyzacji dziaalnoci podmiotw realizujcych zadania publiczne1,
wraz zpowizaniami pomidzy nimi oraz relacjami zuytkownikami.

Dostpno

Cecha bycia dostpnym i uytecznym na danie autoryzowanego

podmiotu.

Incydent zwizany
zbezpieczestwem
informacji
(incydent
bezpieczestwa)

Pojedyncze, niepodane lub niespodziewane zdarzenie zwizane

zbezpieczestwem informacji lub seria takich zdarze, ktre stwarzaj
znaczne prawdopodobiestwo zakcenia dziaa biznesowych izagraaj
bezpieczestwu informacji.

Integralno

Waciwo polegajca natym, e zasb systemu teleinformatycznego nie

zosta zmodyfikowany wsposb nieuprawniony.

IT

Technologia informacyjna, stanowi poczenie zastosowa informatyki

i telekomunikacji, obejmuje rwnie sprzt komputerowy oraz
oprogramowanie, a take narzdzia i inne technologie zwizane
ze zbieraniem, przetwarzaniem, przesyaniem, przechowywaniem,
zabezpieczaniem iprezentowaniem informacji.

Kontrola dostpu

rodki majce na celu zapewnienie, e dostp do aktyww jest

autoryzowany i ograniczony w oparciu o wymagania biznesowe
iwymagania bezpieczestwa.

KRI

Krajowe Ramy Interoperacyjnoci stanowi zbir zasad isposobw

postpowania podmiotw wcelu zapewnienia systemom informatycznym
interoperacyjnoci dziaania, rozumianej jako zdolno tych systemw oraz
wspieranych przez nie procesw dowymiany danych oraz dodzielenia si
informacjami iwiedz.

1 Dz. Uz 2014 r. poz.1114.

Kryteria ryzyka

Poziomy odniesienia, wzgldem ktrych okrela si wano ryzyka.

Model dojrzaoci

Stosowana wmetodyce Cobit 4.1 metoda oceny zarzdzania isprawowania

kontroli nad procesami IT. Stopie dojrzaoci organizacji moe by oceniony
wskali od0 (brak) do5 (optymalna).

Ocena ryzyka

Proces porwnywania wynikw analizy ryzyka zkryteriami ryzyka wcelu

stwierdzenia, czy ryzyko i/lub jego wielko sakceptowalne lub tolerowane.

Polityka

Zamierzenia i kierunek organizacji formalnie wyraone przez jego

kierownictwo.

Poufno

Waciwo polegajca natym, e informacja nie jest udostpniana ani

ujawniana nieautoryzowanym osobom, podmiotom lub procesom.

Poziom ryzyka

Wielko ryzyka wyraona wkategoriach kombinacji nastpstw oraz ich

prawdopodobiestw.

Przegld

Dziaanie podejmowane wcelu okrelenia przydatnoci, adekwatnoci oraz

skutecznoci wdziedzinie osigania ustalonych celw.

Rozporzdzenie KRI

Rozporzdzenie Rady Ministrw zdnia 12kwietnia 2012 r. wsprawie

Krajowych Ram Interoperacyjnoci, minimalnych wymaga dla rejestrw
publicznych iwymiany informacji wpostaci elektronicznej oraz minimalnych
wymaga dla systemw teleinformatycznych2.

Ryzyko

Wpyw niepewnoci nacele. Nastpstwem jest odchylenie odoczekiwa,

ktre moe by pozytywne lub negatywne. Niepewno tostan, rwnie
czciowy, niedoboru informacji zwizanej zezrozumieniem lub wiedz
na temat zdarzenia jego nastpstw lub prawdopodobiestwa jego
wystpienia.

SZBI
Szacowanie ryzyka

System Zarzdzania Bezpieczestwem Informacji.

Caociowy proces wyszukiwania, rozpoznawania iopisywania ryzyka,
poznania jego charakteru oraz okrelenia poziomu zakoczony analiz
ryzyka iporwnywaniem wynikw zkryteriami ryzyka wcelu stwierdzenia,
czy ryzyko i/lub jego wielko sakceptowalne lub mog by tolerowane.

Uwierzytelnienie

Pewno, e deklarowana charakterystyka podmiotu jest poprawna.

Waciciel ryzyka

Osoba lub podmiot odpowiedzialne zazarzdzanie ryzykiem iuprawniony

dozarzdzania nim.

Zabezpieczenie

rodek, ktry modyfikuje ryzyko. Zabezpieczenia obejmuj procesy, polityk,

urzdzenia, praktyki lub inne dziaania modyfikujce ryzyko. Zabezpieczenia
nie zawsze wywieraj zamierzony lub zakadany wpyw.

Zdarzenie zwizane
zbezpieczestwem
informacji

Stwierdzone wystpienie stanu systemu, usugi lub sieci, ktry wskazuje

namoliwe naruszenie polityki bezpieczestwa informacji lub bd
zabezpieczenia, lub nieznan dotychczas sytuacj, ktra moe by zwizana
zbezpieczestwem informacji.

2 Dz.U. z2016 r. poz.113.

WPROWADZENIE
Sprawna realizacja coraz wikszej liczby zada postawionych przed administracj pastwa zwizana
jest z koniecznoci wykorzystania nowoczesnych technologii. Instytucje realizujce zadania
publiczne aktualnie korzystaj zszeregu rnych, czsto bardzo skomplikowanych, systemw
teleinformatycznych. Coraz wicej istotnych informacji dotyczcych funkcjonowania pastwa
iycia jego obywateli jest gromadzonych nanonikach cyfrowych iprzetwarzanych wsystemach
administrowanych przez organy pastwowe. Dane tena szerok skal szbierane, przechowywane,
modyfikowane, przesyane iusuwane. Zapewnienie im odpowiedniego poziomu bezpieczestwa,
wtym zabezpieczenie przed kradzie, utrat, nieuprawnion modyfikacj, wymaga podjcia
wielokierunkowych dziaa, take odpowiedniego sprztu, oprogramowania, rodkw cznoci,
personelu oraz organizacji.
Wrd przekazywanych przez media informacji wskazuje si coraz czciej nanowe zagroenia
dotyczce nie tylko komputerw prywatnych, ale rwnie bdcych wdyspozycji instytucji
publicznych, ktre wostatnim okresie niejednokrotnie poniosy wymierne straty zwizane
zprzestpstwami dokonanymi zapomoc narzdzi imetod informatycznych.
Przeprowadzona w2015 r. przez NIK kontrola pt. Realizacja przez podmioty pastwowe zada
wzakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej wykazaa, e administracja pastwowa
nie podja dotychczas dziaa, majcych nacelu zapewnienie bezpieczestwa teleinformatycznego
Polski. Stwierdzono, e dziaania podmiotw publicznych zwizane zochron cyberprzestrzeni byy
prowadzone wsposb rozproszony ibez wizji systemowej. Kierownictwo najwaniejszych instytucji
publicznych nie byo wiadome niebezpieczestw zwizanych zfunkcjonowaniem cyberprzestrzeni
oraz wynikajcych ztego faktu nowych zada administracji publicznej. Wrezultacie stwierdzono
brak spjnych isystemowych dziaa majcych nacelu monitorowanie, przeciwdziaanie
zagroeniom wystpujcym wcyberprzestrzeni RP oraz minimalizowanie skutkw ewentualnych
incydentw. Spowodowane tobyo brakiem:
narodowej strategii ochrony cyberprzestrzeni, stanowicej podstaw dla dziaa
podnoszcych bezpieczestwo teleinformatyczne;
struktury iram prawnych krajowego systemu ochrony cyberprzestrzeni, definicji obowizkw
iuprawnie jego uczestnikw oraz przydzielenia zasobw niezbdnych doskutecznej
realizacji zada;
procedur reagowania wsytuacjach kryzysowych zwizanych zcyberprzestrzeni.
Powysze, alarmujce ustalenia, odnoszce si dopoziomu strategicznego, wywoay pytania
natemat tego jak wsytuacji braku centralnych rozwiza zapewniane swarunki bezpieczestwa
konkretnych, istotnych dla funkcjonowania pastwa systemw informatycznych.
W zwizku zpowyszym, wramach niniejszej kontroli NIK podja prb szczegowego zbadania
czy instytucje administrujce systemami informatycznymi sucymi dorealizacji istotnych zada
publicznych zapewniaj warunki dla bezpiecznego ich dziaania. Istotnym byo rwnie zbadanie,
wjakim stopniu organy pastwa zabezpieczaj dane, ktrymi administruj.

ZAOENIA KONTROLI

Kontrola planowa nrP/15/042 Zapewnienie bezpieczestwa dziaania systemw informatycznych

wykorzystywanych dorealizacji zada publicznych.

Cel gwny kontroli

Ocena czy wkontrolowanych jednostkach zapewnione jest bezpieczestwo danych gromadzonych
wsystemach przeznaczonych dorealizacji istotnych zada publicznych.

Cele czstkowe
Cele czstkowe zostay podzielone nadwa obszary poddane ocenie, wramach ktrych dono
douzyskania odpowiedzi napytania szczegowe.
1) W obszarze wspierania bezpieczestwa IT napoziomie caej organizacji badano czy:
prowadzone jest zarzdzanie bezpieczestwem IT,
wdroono plany zapewnienia bezpieczestwa IT,
testuje si, nadzoruje imonitoruje bezpieczestwo IT,
zdefiniowano incydenty zwizane zbezpieczestwem IT,
zarzdza si kluczami kryptograficznymi,
wdroono ochron przed zoliwym oprogramowaniem, jego wykrywanie idystrybucj
poprawek,
zapewniono bezpieczestwo sieciowe.
2) W obszarze wspierania bezpieczestwa napoziomie wybranego systemu badano czy:
zarzdza si tosamociami ikontami uytkownikw,
chroni si technologie zabezpiecze iwraliwe dane.

Podstawa prawna, kryteria iprzyjta metodyka oceny kontrolowanej dziaalnoci

Kontrol przeprowadzono napodstawie art.2 ust.1 ustawy zdnia 23grudnia 1994r. o Najwyszej
Izbie Kontroli3 (ustawa oNIK), zgodnie zkryteriami okrelonymi wart.5 ust.1 ustawy, tj.legalnoci,
gospodarnoci, celowoci irzetelnoci.
Wobec braku centralnych zalece i wymaga dotyczcych bezpieczestwa informacji
przetwarzanych wsystemach teleinformatycznych NIK przyja jako wyznaczniki suce ocenie
kontrolowanej dziaalnoci wskazania wynikajce zPolskich Norm4, literatury fachowej idobrych
praktyk dotyczcych tego obszaru oraz minimalne wymagania dla systemw teleinformatycznych
zawarte wrozporzdzeniu KRI. Przedmiotem kontroli nie byo jednak weryfikowanie zastosowanych
dla zapewnienia bezpieczestwa rozwiza technicznych, ale ocena warunkw ipodstaw,
wszczeglnoci formalnych, stworzonych wcelu zapewnienia tego bezpieczestwa.
W zwizku zezoon tematyk oraz brakiem szczegowych regulacji prawnych dot. kontrolowanej
dziaalnoci, aw szczeglnoci wcelu obiektywnej ijednorodnej oceny poziomu zarzdzania
procesami zapewnienia bezpieczestwa poszczeglnych systemw teleinformatycznych,
zastosowano model ocen opisowych opierajcy si nastosowanym wmetodyce COBIT modelu
dojrzaoci. 
[szerzej otej metodyce str. 2223 Informacji]

3 Dz. U. z2015 r. poz. 1096.

4 PN-ISO/IEC 27001:2007.

ZAOENIA KONTROLI

Badania kontrolne objy swym zakresem gwne elementy systemu bezpieczestwa informacji,
tj.obszary zesfery: planuj, wykonaj, sprawdzaj, doskonal5 (obszary te, wraz zpowizaniami midzy
nimi, przedstawiaj diagramy zawarte nastr. 3941 Informacji).

Zakres podmiotowy iprzedmiotowy kontroli

Kontrol objto sze wybranych instytucji realizujcych wane zadania publiczne, tj.Ministerstwo
Skarbu Pastwa, Ministerstwo Spraw Wewntrznych, Ministerstwo Sprawiedliwoci, Komend
Gwn Stray Granicznej, Narodowy Fundusz Zdrowia oraz Kas Rolniczego Ubezpieczenia
Rolniczego6.
W kadej zpowyszych instytucji wybrano poanalizie jeden zistotnych systemw informatycznych
iobjto go szczegowym badaniem.
Wykaz kontrolowanych podmiotw iwybranych dobada kontrolnych systemw informatycznych
przedstawia ponisza tabela.
Tabela nr1
Jednostka

System objty badaniem

Zadania publiczne realizowane zapomoc systemu

Ministerstwo
Skarbu Pastwa
(MSP)

Zintegrowany System
Informatyczny (ZSI)

Podstawowym systemem informatycznym, ktry

wspomaga funkcjonowanie ministerstwa (ksigowo,
kadry, rachuba pac, itd.) oraz obsuguje ustawowe
zadania MSP (gospodarowanie mieniem SP,
komercjalizacja iprywatyzacja itd.).

Ministerstwo Spraw
Wewntrznych

Centralna ewidencja
wydanych iuniewanionych
dokumentw paszportowych
(CEWiUDP)

System obsugujcy wydawanie paszportw przez

urzdy wojewdzkie oraz umoliwia pogld dodanych
paszportowych przez upowanione suby.

Ministerstwo
Sprawiedliwoci

Nowa Ksiga Wieczysta

(NKW)

System umolwiajcy gromadzenie, przetwarzanie

iudostpnianie informacji zawartych wksigach
wieczystych (m.in. dane owacicielu istanie prawnym
nieruchomoci).

Komenda Gwna
Stray Granicznej

Centralna Baza Danych Stray

Granicznej (SI NKW)

System ktrego jednym zpodstawowych zada jest

wspomaganie realizacji podstawowych, statutowych
zada, naoonych naStra Graniczn przepisami prawa
polskiego lub umowami midzynarodowymi wzakresie
odprawy granicznej ikontroli realizowanych przez
funkcjonariuszy SG.

Narodowy Fundusz
Zdrowia

Elektroniczna
Weryfikacja Uprawnie
wiadczeniobiorcw (eWU)

System pozwalajcy szerokorozumianej subie zdrowia

naweryfikacj posiadanych przez pacjenta praw
dowiadcze opieki zdrowotnej.

Kasa Rolniczego
Ubezpieczenia
Rolniczego

FARMER

System informatyczny wspomagajcy wypat wiadcze

emerytalno-rentowych dla rolnikw . Wchwili obecnej
wspomaga wypat dla ok. 1,5mln wiadczeniobiorcw.

Okres objty kontrol

Kontrol objto okres od1stycznia 2014 r. do1padziernika 2015 r.

5 Taki, znany model Planuj Wykonuj Sprawdzaj Dziaaj (PDCA) stosuje Norma PN-ISO/IEC 27001. Jest on stosowany docaej

struktury procesw SZBI. Proces wdraania SZBI zosta wtaki sposb zdefiniowany.

Taostatnia
jednostka posiada aktualny certyfikat ISO wzakresie zapewnienia bezpieczestwa informacji.
6

PODSUMOWANIE W YNIKW KON TROLI

2.1 Oglna ocena kontrolowanej dziaalnoci

W ocenie Najwyszej Izby Kontroli, stopie przygotowania oraz wdroenia Systemu
Zapewnienia Bezpieczestwa Informacji nie zapewnia akceptowalnego 7 poziomu
bezpieczestwa danych zgromadzonych wsystemach informatycznych wykorzystywanych
dorealizacji istotnych zada publicznych.
Procesy zapewnienia bezpieczestwa informacji realizowane byy wsposb chaotyczny
i wobec braku procedur intuicyjny. Spord szeciu skontrolowanych jednostek tylko KRUS
wdroya Systemu Zapewnienia Bezpieczestwa Informacji (SZBI), chocia naley zauway,
i jego funkcjonowanie byo rwnie obarczone istotnymi nieprawidowociami. Wwikszoci
zbadanych jednostek (wszystkich poza KRUS) prace nad zapewnieniem odpowiednich warunkw
bezpieczestwa informacji przetwarzanych wsystemach informatycznych nie osigny waciwego
poziomu zostay niedawno rozpoczte iznajduj si nawstpnym etapie, obejmujcym
opracowanie niezbdnych podstaw formalnych polityk bezpieczestwa ipowizanych znimi
szczegowych procedur.
W zwizku zpowyszym, wskontrolowanych podmiotach (z wyjtkiem KRUS) opierano
si nauproszczonych lub nieformalnych zasadach wynikajcych zdobrych praktyk
lub dotychczasowych dowiadcze pracownikw dziaw IT. Zdaniem NIK, takie dorane
dziaania nie zapewniay adekwatnego dozagroe zarzdzania bezpieczestwem danych.
Kontrola wykazaa wtym obszarze braki dotyczce m.in.: wadliwych planw zapewnienia
bezpieczestwa oraz ograniczonego zakresu nadzoru, testowania imonitorowania bezpieczestwa.
Zgodnie zmetodologi Cobit 4.1, poziom zarzdzania procesem zapewnienia bezpieczestwa
wposzczeglnych kontrolowanych jednostkach waha si pomidzy pocztkowy/dorany(1)
azdefiniowanym (3), wskali odzera dopiciu, gdzie pi stanowi warto maksymaln.
Gwny ciar zapewnienia bezpieczestwa IT wkontrolowanych jednostkach spoczywa
nakoordynatorze ds. bezpieczestwa, ktry jednak nie posiada wpraktyce kompetencji
wzakresie zarzdzania caym procesem. Czsto te zadania tebyy realizowane jednoosobowo.
Powoywano wprawdzie zespoy specjalistw lub zawierano umowy zwykonawcami zewntrznymi,
jednake nie sporzdzano niezbdnych analiz, czy usugi wiadczone przez nich zaspakajaj
potrzeby jednostki wzakresie bezpieczestwa.
wiadomo potrzeby zapewnienia bezpieczestwa informatycznego bya wkontrolowanych
jednostkach fragmentaryczna iograniczona. Chocia same systemy informatyczne oraz
przeprowadzane audyty dostarczay informacji dotyczcych stanu bezpieczestwa, todane tenie
byy odpowiednio analizowane iwykorzystywane. Bezpieczestwo danych byo postrzegane
gwnie jako przedmiot odpowiedzialnoci idomena dziau IT, anie wszystkich komrek
realizujcych zadania statutowe, cow duej mierze utrudniao wypracowanie spjnych dla caej
instytucji systemw zarzdzania bezpieczestwem informatycznym. Wprawdzie polityka dotyczca
bezpieczestwa bya cay czas rozwijana, tojednak nie towarzyszyy jej adekwatne umiejtnoci
pracownikw irozwj narzdzi niezbdnych dojej realizacji. Wewszystkich jednostkach
sprawozdawczo dotyczca bezpieczestwa IT bya niekompletna, nierzetelna, aw niektrych
przypadkach obarczona bdami.
7 Wprzypadku systemw IT, zewzgldu naszybki rozwj technologii, nie mona mwi ozapewnieniu penego bezpieczestwa.

Celem podmiotw publicznych powinno by natomiast denie dominimalizacji ryzyka utraty danych lub zakcenia
funkcjonowania systemw IT dopoziomu akceptowalnego, ktry topoziom powinien by indywidualnie okrelany dla
poszczeglnych systemw.

P O D S U M O WA N I E W Y N I K W KO N T R O L I

Porwnujc jako realizacji obowizkw dotyczcych zapewnienia bezpieczestwa

informacji z punktu widzenia caych organizacji i wybranych systemw stwierdzi
naley, e wtym drugim obszarze realizacja zada bya nanieco wyszym poziomie.
Wocenie NIK moe towynika zwpywu, jaki nazapewnienie bezpieczestwa miaa praktyczna
wiedza izaangaowanie redniego personelu technicznego oraz zcoraz powszechniejszego
wykorzystywania wadministracji pastwowej komercyjnych systemw informatycznych, opartych
ostandardowe narynku, nowoczesne rozwizania wspierajce zapewnianie bezpieczestwa. Dziki
wykorzystaniu tych rozwiza oraz dotychczasowych dowiadcze idobrych praktyk, moliwe byo
utrzymywanie pewnego poziomu bezpieczestwa funkcjonowania poszczeglnych systemw
wwarunkach ograniczonych zasobw, brakw organizacyjnych lub niefunkcjonujcych regulacji,
jednake wocenie NIK nie jest tostan, ktry powinien by traktowany jako skuteczne rozwizanie
docelowe. Wdobie bowiem dynamicznego wzrostu zagroe zapewnienie bezpieczestwa
systemw IT nie moe by oparte nachaotycznie zarzdzanych, ukierunkowanych jedynie
naprzezwycianie aktualnych trudnoci, dziaaniach.

rdo: Fotolia.com.

2.2 Synteza wynikw kontroli

System zarzdzania bezpieczestwem informacji
Podmiot realizujcy zadania publiczne, zgodnie z20 ust.1 rozporzdzenia KRI8, opracowuje
iustanawia, wdraa ieksploatuje, monitoruje iprzeglda oraz utrzymuje idoskonali system
zarzdzania bezpieczestwem informacji zapewniajcy poufno, dostpno iintegralno
informacji z uwzgldnieniem takich atrybutw, jak autentyczno, rozliczalno, niezaprzeczalno
iniezawodno9.
Spord szeciu skontrolowanych podmiotw, KRUS by jedyn, wktrej formalnie wdroono
System Zarzdzania Bezpieczestwem Informacji.

8 Rozporzdzenie Rady Ministrw zdnia 12kwietnia 2012 r. wsprawie Krajowych Ram Interoperacyjnoci minimalnych wymaga dla

10

rejestrw publicznych iwymiany informacji wpostaci elektronicznej oraz minimalnych wymaga dla systemw teleinformatycznych
(Dz.U. z2016 r. poz.113).

Kwestie
tezostay szczegowo omwione wpkt3.1.2 Organizacja bezpieczestwa informacji, str. 16 in.
9

P O D S U M O WA N I E W Y N I K W KO N T R O L I

W pozostaych zbadanych jednostkach prace nad zapewnieniem odpowiednich warunkw

bezpieczestwa informacji przetwarzanych wsystemach informatycznych nie osigny waciwego
poziomu zostay niedawno rozpoczte iznajduj si nawstpnym etapie, obejmujcym
opracowanie niezbdnych podstaw formalnych polityk bezpieczestwa ipowizanych znimi
szczegowych procedur. Procesy zapewnienia bezpieczestwa informacji realizowane byy
wsposb chaotyczny ipraktycznie wobec braku procedur intuicyjny. Wpodmiotach tych
opierano si nauproszczonych lub nieformalnych zasadach wynikajcych zdobrych
praktyk lub dowiadczenia pracownikw dziaw IT. Zdaniem NIK takie dorane dziaania
nie zapewniay odpowiedniego, bezpiecznego ispjnego zarzdzania bezpieczestwem
danych. Kontrola wykazaa wtym obszarze braki dotyczce m.in.: wadliwych planw zapewnienia
bezpieczestwa oraz ograniczonego zakresu nadzoru, testowania imonitorowania bezpieczestwa.
Zgodnie zmetodologi Cobit 4.1 poziom zarzdzania procesem zapewnienia bezpieczestwa
wkontrolowanych jednostkach, mierzony wskali odzera dopiciu, mona okreli jako:
zdefiniowany (poziom trzeci) KRUS;
powtarzalny lecz intuicyjny (poziom drugi) Ministerstwo Sprawiedliwoci,
Ministerstwo Skarbu Pastwa, Narodowy Fundusz Zdrowia;
pocztkowy/dorany (poziom pierwszy) Ministerstwo Spraw Wewntrznych iStra
Graniczna.
Kontrola zidentyfikowaa w KRUS wprowadzenie praktycznie wszystkich procesw
wymaganych przez przyjt metodyk bada, czego nie stwierdzono wadnej zpozostaych
kontrolowanych jednostek. Byo tozwizane zdziaaniami podjtymi wcelu uzyskania przez
KRUS certyfikatu ISO 27001. Porwnujc wyniki kontroli dla wszystkich skontrolowanych jednostek,
zarwno posiadajcych jak inieposiadajcych ww. certyfikat, naley wskaza napozytywny wpyw
wymaga procesu certyfikacji nauzyskan ocen warunkw zapewnienia bezpieczestwa IT.
Wkonsekwencji ocena sformuowana dla KRUS bya wyranie wysza ni dla pozostaych jednostek.

[szerzej str. 30 Informacji]

rdo: Fotolia.com.

Jednake rwnie wsystemie funkcjonujcym wKRUS kontrola wykrya nieprawidowoci.

Wskazyway one nawystpowanie bdw wimplementacji wymaga norm stanowicych
podstaw uzyskania certyfikatu. Wocenie NIK niektre znich byy powane imog mie istotny,
negatywny wpyw naszereg procesw zapewnienia bezpieczestwa IT wKRUS. Stwierdzone
nieprawidowoci dotyczyy rozbienoci pomidzy deklarowanym afaktycznym poziomem
zabezpieczenia informacji. By toniepokojcy stan, zwaszcza e podmioty ktre zorganizoway

11

P O D S U M O WA N I E W Y N I K W KO N T R O L I

swj system zarzdzania bezpieczestwem informacji, ustanawianie zabezpiecze, zarzdzanie

ryzykiem oraz audytowanie napodstawie Polskich Norm zostay praktycznie zwolnione
zprzestrzegania szeregu wymaga rozporzdzenia KRI. Wymagania wskazane wNormie
sznacznie szersze iprecyzyjniejsze ni wrozporzdzeniu, jednak stwierdzona w KRUS rozbieno
wskazywaa naistnienie ryzyka niespeniania wymogw okrelonych w rozporzdzeniu. Niezalenie
odpowyszego stwierdzi naley, e System Zarzdzania Bezpieczestwem Informacji wKRUS
funkcjonowa, chocia wystpoway wnim istotne nieprawidowoci. Przykadowo wodniesieniu
dogwnych procedur bezpieczestwa Izba wniosa szereg uwag doich czytelnoci ikompletnoci.
Przyjta koncepcja powierzenia zasobw KRUS wykonawcy zewntrznemu, m.in. wzakresie systemw
sucych realizacji podstawowych ustawowych zada nie zostaa poprzedzona stosowymi analizami
m.in. nie okrelono sposobu szacowania ryzyka zwizanego z utrat informacji wsytuacji
powierzenia zasobw firmie zewntrznej. Coza tym idzie, nie zapewniono odpowiednich
zasobw (przede wszystkim kadrowych10) oraz nie wypracowano realnych narzdzi nadzoru nad
bezpieczestwem informacji przekazanych podmiotom zewntrznym Wstworzonym wKRUS
systemie zarzdzania bezpieczestwem informacji okrelonym celom wzakresie bezpieczestwa
nie przypisano miernika, oraz zasobw niezbdnych doich osignicia. System zbierania
ianalizy incydentw by niekompletny, tj.nie obejmowa m.in. incydentw obsugiwanych przez
administratorw oraz incydentw systemu FARMER.
[szerzej str. 21 in. oraz 30 in. Informacji]
Identyfikacja ryzyka
Kontrolowane jednostki wograniczonym zakresie wykorzystyway metody identyfikacji,
monitorowania i zapobiegania ryzyku zwizanemu z bezpieczestwem informacji
przetwarzanych wsystemach teleinformatycznych. Wniektrych jednostkach proces ten by
zwizany jedynie zrealizacj wymaga Polityki Ochrony Cyberprzestrzeni11, przepisw oochronie
informacji niejawnych lub obowizkw zwizanych zoperowaniem infrastruktur krytyczn.

rdo: Fotolia.com.

Zdaniem NIK tewycinkowe dziaania nie mogy zastpi odpowiednio przygotowanego procesu
szacowania ryzyka przeprowadzonego wodniesieniu dowszystkich posiadanych iprzetwarzanych
informacji, zuwzgldnieniem realizowanych zada ispecyfiki instytucji. Rzetelne przeprowadzenie
procesu szacowania ryzyka powinno by poprzedzone m.in. doborem metodyki prac, zidentyfikowaniem
10 Wedug ustale kontroli minimalny zesp zajmujcy si nadzorem nad realizacj umowy przez wykonawc powinien liczy

12

3 osoby, gdy tymczasem czynnoci wykonywa jeden pracownik, ktremu powierzono rwnie inne zadania.

Strategiczny
dokument przyjty napodstawie uchway Rady Ministrw zdnia 25czerwca 2013 r., ktrego celem jest osignicie
11
akceptowalnego poziomu bezpieczestwa cyberprzestrzeni Pastwa.

P O D S U M O WA N I E W Y N I K W KO N T R O L I

aktyww iokreleniem ich wartoci. Przygotowanie tych danych wejciowych ma wtym kontekcie
zasadnicze znaczenie dla identyfikowania obszarw zjednej strony najcenniejszych dla jednostki,
az drugiej strony najbardziej zagroonych. Wsytuacji ograniczonych zasobw przeznaczanych
nabezpieczestwo systemw IT szacowanie ryzyka oraz kosztw niezbdnych celem jego ograniczenia
powinno by podstawowym zadaniem osb odpowiedzialnych zaich bezpieczestwo.
Braki wpowyszym zakresie, stanowicym dane wejciowe dobudowy systemu bezpieczestwa
informacji, wskad ktrych wchodz wykazy aktyww oraz wyniki szacowania ryzyka powodowao,
e rodki wydawane nabezpieczestwo informacji przeznaczane byy narealizacj
poszczeglnych zada wsposb intuicyjny.
Zabezpieczenie informacji majcych podstawowe znaczenie dla kontrolowanych jednostek
Istniaa dua dysproporcja pomidzy dziaaniami podejmowanymi dla ochrony
poszczeglnych grup informacji, tj.informacji objtych ustawow ochron (niejawnych
i danych osobowych) oraz innych informacji, ktrych ochrona nie zostaa wprost
usankcjonowana, ale ktre stanowi du warto dla poszczeglnych jednostek, czasem
bdc nawet podstaw ich funkcjonowania. Zdaniem NIK ten stan moe oznacza, e:
uzyskanie odpowiedniego poziomu ochrony informacji nastpuje wkonsekwencji
funkcjonowania konkretnych (dotyczcych wtym przypadku informacji niejawnych
lub danych osobowych) przepisw prawa, ktre wszczegowy sposb okrelaj
metody zapewnienia bezpieczestwa, procedury postpowania, wymagania dla sprztu
iuytkownikw, wskazuj organy uprawnione dokontroli oraz, coistotne, penalizuj
ewentualne bdy, pomyki inaruszenia;
w jednostkach kontrolowanych brak byo wiadomoci, e oprcz informacji, ktrych
szczegowy wymg ochrony zapisany jest wprzepisach prawa istniej take inne
informacje, rwnie wane, oktrych ochron kada jednostka powinna zadba samodzielnie.
W porwnaniu donormatywnie okrelonych wymogw dla ochrony informacji niejawnych
idanych osobowych, zidentyfikowanie wszelkich innych, istotnych informacji oraz wybr metod ich
chronienia jest praktycznie pozostawiony wgestii ich posiadacza. Prowadzi todo sytuacji, wktrych
instytucje, poprzeanalizowaniu aktualnie funkcjonujcych przepisw nie widz koniecznoci
podejmowania innych dziaa zwizanych zbezpieczestwem informacji, ni zapisanych
wustawie oochronie informacji niejawnych oraz ustawie oochronie danych osobowych.
Zdaniem NIK stwierdzona wtrakcie kontroli praktyka ograniczania ochrony dojedynie niektrych
istotnych informacji moe mie powane konsekwencje dla waciwego szacowania ryzyka,
dzielenia zasobw, oraz zapewnienia cigoci dziaania instytucji majcych istotne znaczenie dla
funkcjonowania pastwa.

rdo: Fotolia.com.

13

P O D S U M O WA N I E W Y N I K W KO N T R O L I

Odpowiedzialno zabezpieczestwo danych

W wikszoci kontrolowanych jednostek zagadnienia dotyczce bezpieczestwa informacji
znajdoway si wgestii komrek bezporednio odpowiedzialnych zasystemy informatyczne.
Zdaniem NIK powodowao toograniczenie faktycznego zakresu ochrony informacji jedynie
dosystemw informatycznych inonikw danych. Podejcie tozawao, zprzyczyn
kompetencyjnych, moliwoci budowania systemw ochrony informacji obejmujcych cae
instytucje oraz mogo zmniejsza wielko zasobw angaowanych wochron informacji.
Zdaniem NIK taki model organizacyjny powodowa, e pozostae komrki organizacyjne nie czujc
si wspodpowiedzialnymi zaochron informacji, uznay jej wymagania jako nieuzasadnione
utrudnienia wynikajce jedynie zespecyfiki pracy informatykw. Wkonsekwencji powyszego
rwnie kierownictwa tych instytucji, niejako przekazujc problem dorozwizania
specjalistycznej komrce, wniedostatecznym zakresie uznaway swoj rol wkreowaniu
iosiganiu strategicznych celw dotyczcych bezpieczestwa informacji.
Odpowiedzialno zazapewnienie bezpieczestwa informacji powierzano przede wszystkim
Koordynatorowi ds. tego bezpieczestwa (czsto byo tostanowisko jednoosobowe), ktry nie
posiada dostatecznych uprawnie imoliwoci dodziaania wsferze zarzdzania procesem
iskoordynowania dziaa zwizanych zzapewnieniem bezpieczestwa wskali caej jednostki.

rdo: Fotolia.com.

Audyty bezpieczestwa
Kontrola wykazaa pozytywny wpyw audytw zwizanych zbezpieczestwem informacji
wykonywanych doranie, zinicjatywy wasnej lub corocznie, wzwizku zrealizacj norm
rozporzdzenia KRI. Raporty ztych audytw stanowiy wpraktyce dla kierownictw kontrolowanych
jednostek jedyne istotne rdo informacji orealnym stanie bezpieczestwa, rnych
aspektach jego utrzymania oraz dziaaniach niezbdnych do przeprowadzenia.
Ustalony wkilku jednostkach stan dynamicznego wzrostu zainteresowania ich kierownictw
jakoci wykorzystywanych polityk bezpieczestwa i towarzyszcych im dokumentw,
wdraaniem Systemw Zapewnienia Bezpieczestwa Informacji oraz modyfikowaniem struktur
odpowiedzialnych zabezpieczestwo, wynika bezporednio zotrzymanych raportw, m.in.
obowizkowych audytw wynikajcych zrealizacji rozporzdzenia KRI.

14

P O D S U M O WA N I E W Y N I K W KO N T R O L I

W ocenie Izby prowadzenie przedmiotowych audytw wistotny sposb wpyno nawiadomo

potrzeb zapewnienia bezpieczestwa IT. Negatywnie naley jednak oceni fakt,
eproblematyka takiego bezpieczestwa zyskaa naznaczeniu dopiero wostatnim okresie12.
Istotnym problemem by brak konsekwencji izaangaowania kierownictw kontrolowanych
jednostek wrealizacj zalece audytorw. Wtym zakresie ocena wynikajca zustale
przeprowadzonej kontroli bya zdecydowanie nisza. Wikszo podjtych interwencyjnie
dziaa majcych poprawi stan bezpieczestwa IT utracio pocztkowy impet, powoane
zespoy specjalistyczne zbieray si nieregularnie, przygotowywanie nowych regulacji
przebiegao opieszale, coprzy ograniczonych zasobach wymuszao wpraktyce powrt
dorealizacji jedynie rutynowych zada.

rdo: Fotolia.com.

Odrbnym zagadnieniem, budzcym znaczne kontrowersje, jest problematyka jawnoci

dokumentw wytworzonych wtrakcie prowadzonych audytw. Problemem dotyczy klasyfikowania
dokumentw ipolega nanadawaniu klauzul niejawnoci dokumentom wytworzonym wtrakcie
audytw bezpieczestwa informacji. Zgodnie zwyrokiem Trybunau Konstytucyjnego13 wadze
publiczne powinny udostpnia takie dokumenty kadej osobie, ktra oto poprosi, traktujc jejako
informacj publiczn. Jednostki kontrolowane wskazyway natomiast napotencjalne zagroenia
zwizane zpublikacj informacji dotyczcych funkcjonujcych systemw, wszczeglnoci ich
podatnoci naataki. Wobszarze tym NIK zidentyfikowaa take przypadki wykorzystywania
ochrony informacji poprzez nadawanie klauzul niejawnoci dokumentom sporzdzonym
iwykorzystywanym wczeniej jako jawne, w celu uniemoliwienia wgldu donich
napodstawie przepisw odostpie doinformacji publicznej. Dziaania takie miay rwnie
bezporedni wpyw nasposb prowadzenia bada przez kontrolerw NIK.
W ocenie NIK zagadnienie upubliczniania wynikw audytw bezpieczestwa jest zoone.
Z jednej strony mog one zawiera szereg informacji, atrakcyjnych dla ewentualnego napastnika,
np. dotyczcych charakterystyki rodkw technicznych i organizacyjnych zwizanych
zbezpieczestwem informacji, tj.stwierdzone podatnoci, luki isaboci wraz zich konsekwencjami
oraz zalecenia codo sposobw ich wyeliminowania.
Z drugiej strony ograniczenie dostpu doinformacji ostwierdzonych wtrakcie audytw
nieprawidowociach:
12 Zgodnie zustaleniami kontroli wewszystkich jednostkach (poza KRUS) SZBI by wtrakcie budowy adecyzje orozpoczciu jego
budowy byy podejmowane wokresie objtym kontrol (20142015).

13 Wyrok zdnia 9kwietnia 2015 r. (sygn. akt K 14/13(ZU OTK nr4A/2015, poz.45).

15

P O D S U M O WA N I E W Y N I K W KO N T R O L I

uniemoliwia zapoznanie si z ocen bezpieczestwa systemw ich wszystkim

uytkownikom (wprzypadku realizacji przez tesystemy zada publicznych dotyczy
topotencjalnie wszystkich obywateli);
utrudnia ikomplikuje wykorzystywanie wynikw audytu wjednostce, np.ograniczajc ich
obieg, dostpno iznajomo;
rodzi, wpewnym stopniu faszywe, przekonanie obezpieczestwie oraz poczucie,
enaprawienie stwierdzonych luk ipodatnoci nie jest pilne, bo wiedza onich nie jest
szeroko dostpna, wic solidnie ukryta;
moe by naduywane przez kierownictwo jednostki wzwizku znaturalnym deniem
doprzedstawiania swojej pracy ikierowanej przez siebie jednostki wjak najlepszym wietle,
atym samym zniechca dopodejmowania dziaa naprawczych.
Wsparcie firm zewntrznych
Poowa skontrolowanych jednostek korzystaa przy realizacji procesw zapewnienia bezpieczestwa
informacji wistotnym zakresie zewsparcia firm zewntrznych. Dotyczyo to:
penego przekazania eksploatacji inadzorowania systemu zewntrznemu operatorowi, ktry
zosta zobowizany wumowie dozapewnienia bezpieczestwa systemu iprzetwarzanych
wnim danych (KRUS);
powierzenia budowy systemu bezpieczestwa informacji dla caej instytucji zewntrznej
firmie, ktra zobowizana zostaa doprzeprowadzenia audytu bezpieczestwa, prac
analitycznych, ostatecznego wdroenia SZBI iwsparcie jego dalszego funkcjonowania (SG);
opracowania dokumentw iszablonw dokumentw zwizanych zbezpieczestwem
informacji, zapewnienia bezpieczestwa systemu wtrakcie jego rozbudowy, prowadzenia
audytw obejmujcych rne aspekty bezpieczestwa (MS).
W ocenie NIK wykorzystywanie wsparcia zewntrznego obejmujcego bezpieczestwo
informacji pozwala nazmniejszenie zaangaowania wasnych zasobw, umoliwia
zastosowanie nowoczesnych produktw dostpnych narynku komercyjnym oraz uatwia
zintegrowanie funkcjonalnoci zwizanych zbezpieczestwem systemw ju wtrakcie ich
budowy. Takiedziaanie wie si jednak zwystpowaniem szeregu ryzyk, ktre zadaniem
NIK, mona, przy odpowiednim zarzdzaniu nimi, uzna zaakceptowalne. Wymaga tood jednostki
m.in. opracowania zasad szacowania takiego ryzyka nastyku jednostka firma zewntrzna,
zarzdzania nim, atake wypracowania odpowiednich mechanizmw nadzoru ikontroli. Niestety
wkontrolowanych jednostkach dziaania tenie zostay podjte.

16

rdo: Fotolia.com

P O D S U M O WA N I E W Y N I K W KO N T R O L I

2.3 Uwagi iwnioski

Wyniki tej kontroli, podobnie jak wyniki poprzedniej kontroli NIK pt. Realizacja przez podmioty
pastwowe zada wzakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej wskazuj nabrak
systemowych, kompleksowych rozwiza dotyczcych bezpieczestwa IT. Wkonsekwencji
dziaania podejmowane wzwizku zkoniecznoci zapewniania bezpieczestwa dziaania
systemw informatycznych byy wwikszoci kontrolowanych jednostek chaotyczne, intuicyjne
ifragmentaryczne. Obowizujce przepisy prawne nie dostarczay konkretnych wytycznych
odnonie sposobw spenienia poszczeglnych wymaga gwarantujcych odpowiedni poziom
bezpieczestwa teleinformatycznego, akontrolowane podmioty nie zawsze widziay konieczno
podejmowania innych dziaa zwizanych zbezpieczestwem informacji, ni zapisane wustawie
oochronie informacji niejawnych oraz ustawie oochronie danych osobowych.
W ocenie NIK, konieczne jest zatem opracowanie iwprowadzenie naszczeblu centralnym,
obowizujcych wszystkie podmioty publiczne, generalnych zalece iwymaga dotyczcych
zapewnienia bezpieczestwa IT. Zawzr mogyby posuy np.zalecenia opisane wPolskich
Normach14. Zdaniem NIK zalecenia dla podmiotw publicznych powinny zosta opracowane przez
ministra waciwego wsprawach cyfryzacji.
Ponadto NIK zwraca uwag naproblematyk zwizan zujawnianiem wynikw audytw dotyczcych
bezpieczestwa IT przeprowadzanych wkontrolowanych jednostkach. Wocenie NIK istnieje potrzeba
systemowego rozwizania tej kwestii, wsposb zapewniajcy dostp obywateli doinformacji
odziaalnoci podmiotw publicznych, zjednoczesnym zachowaniem ogranicze wdostpie
dowiedzy ostosowanych rodkach imetodach zapewniajcych bezpieczestwo przetwarzanych
informacji.

rdo: Fotolia.com.

14 PN-ISO/IEC 27001:2007.

17

WA NIE JSZE W YNIK I KON TROLI

3.1 Charakterystyka obszaru objtego kontrol
3.1.1. Oglne informacje dot. obszaru objtego kontrol
W cigu ostatnich kilkunastu lat wznaczcym stopniu wzrs zakres wykorzystywania technik
informatycznych. Coraz czciej mamy doczynienia zdziaalnoci czowieka wspomagan lub
zastpowan poprzez maszynowe przetwarzanie informacji. Rosncy stopie wykorzystania
informatyki przez biznes, instytucje rzdowe iadministracj publiczn spowodowa, oprcz
oferowania nowej jakoci towarw iusug, stopniowe uzalenianie ich dostpnoci odsprawnego
funkcjonowania systemw informatycznych icznociowych. Odwielu ztych zmian nie ma ju
moliwoci odwrotu. Nowe usugi itowary stay si powszechne istandardowe, adotychczasowe
metody ich wiadczenia idostarczania przestarzae oraz nieopacalne.
Analizujc funkcjonowanie instytucji pastwowych mona stwierdzi, e systemy komputerowe
spraktycznie wszechobecne. Rozpoczynajc odszeroko wykorzystywanych programw
biurowych, zapomoc ktrych powstaj wszelkiego rodzaju dokumenty, poprzez systemy
ksigowoci, koczc naogromnych, oglnokrajowych aplikacjach obsugujcych ubezpieczenia
spoeczne izdrowotne, rejestry dokumentw oraz ewidencje prawne lub majtkowe.
Nowe narzdzia uatwiajc dostp doinformacji iszybko ich przekazywania przyczyniy si
rwnie dopowstania nowych zagroe. Dotychczasowe, wypracowane przez wieki dowiadczenia,
sposoby ochrony danych powierzanych administracji pastwowej przestay by wystarczajce.
Prowadzonych obecnie, z wykorzystaniem nowoczesnej technologii, spraw nie mona ju zamkn
wmetalowej szafie, umieci wteczce, przesa wzaklejonej kopercie, aczsto nawet przekaza
doarchiwum. Wymagane s: stosowanie zupenie innych systemw zabezpiecze oraz ochrona
przed zupenie nowymi zagroeniami. Dynamiczna zmiana sposobw zaatwiania spraw przez
administracj spowodowaa powstanie niebezpiecznej luki pomidzy wiadomoci specjalistw
stosujcych nowoczesne rozwizania, awiadomoci kierownictwa okrelajcego bezpieczne
warunki funkcjonowania.
Sytuacja tawymusza konieczno nowego spojrzenia nazasady przechowywania iprzetwarzania
informacji wtych systemach. Istotnym jest rwnie waciwe usytuowanie procesu zapewnienia
bezpieczestwa worganizacji. Nie moe by on jedynie domen specjalistw IT musz bra
wnim udzia rwnie uytkownicy, waciciele przetwarzanych informacji, aprzede wszystkim
kierownictwo jednostki.
3.1.2. Organizacja bezpieczestwa informacji
Podstawowym aktem prawnym okrelajcym wymogi dla pastwowych systemw irejestrw
informatycznych jest ustawa zdnia 17lutego 2005 r. oinformatyzacji dziaalnoci podmiotw
realizujcych zadania publiczne (ustawa oinformatyzacji). Ustawa taokrela m.in. zasady ustalania:
minimalnych wymaga dla systemw teleinformatycznych uywanych dorealizacji zada
publicznych oraz dla rejestrw publicznych iwymiany informacji wpostaci elektronicznej
zpodmiotami publicznymi,
Krajowych Ram Interoperacyjnoci systemw teleinformatycznych wsposb gwarantujcy
neutralno technologiczn ijawno uywanych standardw ispecyfikacji.

18

WA N I E J S Z E W Y N I K I KO N T R O L I

Zgodnie zart.2 ust 1 ustawy oinformatyzacji jej zapisy maj zastosowanie dopodmiotw
realizujcych zadania publiczne okrelone przez ustawy m.in. doorganw administracji rzdowej,
Kasy Rolniczego Ubezpieczenia Spoecznego, Zakadu Ubezpiecze Spoecznych czy Narodowego
Funduszu Zdrowia.
Art.18 ww. ustawy zawiera delegacj ustawow dla Rady Ministrw dookrelenia m.in. Krajowych
Ram Interoperacyjnoci obejmujcych zagadnienia interoperacyjnoci 15, czyli wspdziaania
iwymiany danych, rnych rozwiza informatycznych oraz baz danych.
Realizujc t delegacj Rada Ministrw wydaa rozporzdzenie zdnia 12kwietnia 2012 r.
wsprawie Krajowych Ram Interoperacyjnoci minimalnych wymaga dla rejestrw publicznych
iwymiany informacji wpostaci elektronicznej oraz minimalnych wymaga dla systemw
teleinformatycznych (rozporzdzenie KRI).
W myl 15 ust.1 ww. rozporzdzenia, systemy teleinformatyczne uywane przez podmioty
realizujce zadania publiczne projektuje si, wdraa oraz eksploatuje zuwzgldnieniem ich
funkcjonalnoci, niezawodnoci, uywalnoci, wydajnoci, przenoszalnoci ipielgnowalnoci, przy
zastosowaniu norm oraz uznanych wobrocie profesjonalnym standardw imetodyk.
Podmiot realizujcy zadania publiczne opracowuje iustanawia, wdraa ieksploatuje, monitoruje
iprzeglda oraz utrzymuje idoskonali system zarzdzania bezpieczestwem informacji
zapewniajcy poufno, dostpno iintegralno informacji zuwzgldnieniem takich atrybutw,
jak autentyczno, rozliczalno, niezaprzeczalno iniezawodno (20 ust.1 rozporzdzenia KRI).
Zarzdzanie bezpieczestwem informacji realizowane jest wszczeglnoci poprzez zapewnienie
przez kierownictwo podmiotu publicznego warunkw umoliwiajcych realizacj iegzekwowanie
dziaa wymienionych w20 ust.2 rozporzdzenia KRI, wtym m.in.:
zapewnienia aktualizacji regulacji wewntrznych wzakresie dotyczcym zmieniajcego si
otoczenia (pkt1);
utrzymywania aktualnoci inwentaryzacji sprztu ioprogramowania sucego
doprzetwarzania informacji obejmujcej ich rodzaj ikonfiguracj (pkt2);
przeprowadzania okresowych analiz ryzyka utraty integralnoci, dostpnoci lub poufnoci
informacji oraz podejmowania dziaa minimalizujcych toryzyko, stosownie dowynikw
przeprowadzonej analizy (pkt3);
podejmowania dziaa zapewniajcych, e osoby zaangaowane wproces przetwarzania
informacji posiadaj stosowne uprawnienia iuczestnicz wtym procesie wstopniu
adekwatnym dorealizowanych przez nie zada oraz obowizkw majcych nacelu
zapewnienie bezpieczestwa informacji (pkt4);
bezzwocznej zmiany uprawnie wprzypadku zmiany zada (pkt5);
zapewnienia szkolenia osb zaangaowanych wproces przetwarzania informacji (pkt6);
ustanowienia podstawowych zasad gwarantujcych bezpieczn prac przy przetwarzaniu
mobilnym ipracy naodlego (pkt8);
ustalenia zasad postpowania zinformacjami, zapewniajcych minimalizacj wystpienia
ryzyka kradziey informacji irodkw przetwarzania informacji, wtym urzdze mobilnych
(pkt11);
kontroli zgodnoci systemw teleinformatycznych zodpowiednimi normami ipolitykami
bezpieczestwa (pkt12 lit. h);
15 Definicj ustawow tego okrelenia zawiera art.3 pkt 18 ustawy oinformatyzacji.

19

WA N I E J S Z E W Y N I K I KO N T R O L I

zapewnienia okresowego audytu wewntrznego wzakresie bezpieczestwa informacji,

nierzadziej ni raz narok (pkt14).
Zgodnie z20 ust.3 rozporzdzenia KRI, wymagania, oktrych mowa w20 ust.1 i2 uznaje
si zaspenione, jeeli system zarzdzania bezpieczestwem informacji zosta opracowany
napodstawie Polskiej Normy PN-ISO/IEC 27001, austanawianie zabezpiecze, zarzdzanie
ryzykiem oraz audytowanie odbywa si napodstawie Polskich Norm zwizanych zt norm wtym:
PN-ISO/IEC 17799 wodniesieniu doustanawiania zabezpiecze; PN-ISO/IEC 27005 wodniesieniu
dozarzdzania ryzykiem; PN-ISO/IEC 24762 wodniesieniu doodtwarzania techniki informatycznej
pokatastrofie wramach zarzdzania cigoci dziaania.
W 23 rozporzdzenia KRI wskazano, e systemy teleinformatyczne podmiotw realizujcych
zadania publiczne funkcjonujce wdniu wejcia wycie rozporzdzenia KRI naley dostosowa
dowymaga okrelonych wrozdziale IV rozporzdzenia KRI (minimalne wymagania dla systemw
teleinformatycznych), nie pniej ni wdniu ich pierwszej istotnej modernizacji przypadajcej
powejciu wycie tego rozporzdzenia.
Szczegowe warunki techniczne, jakim powinny odpowiada bezpieczne urzdzenia doskadania
podpisw elektronicznych oraz bezpieczne urzdzenia doweryfikacji podpisw elektronicznych
zostay okrelone wrozporzdzeniu Rady Ministrw zdnia 7sierpnia 2002 r. wsprawie okrelenia
warunkw technicznych iorganizacyjnych dla kwalifikowanych podmiotw wiadczcych usugi
certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatw wydawanych przez tepodmioty
oraz warunkw technicznych dla bezpiecznych urzdze sucych doskadania iweryfikacji podpisu
elektronicznego16 wydanym napodstawie art.10 ust.4, art.17 ust.2 iart.18 ust.3 ustawy zdnia
18wrzenia 2001 r. opodpisie elektronicznym17.
Minister Spraw Wewntrznych iAdministracji wykonujc delegacj zawart wart.39 austawy
zdnia 29sierpnia 1997 r. oochronie danych osobowych18 wyda 29kwietnia 2004 r. rozporzdzenie
w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych
iorganizacyjnych, jakim powinny odpowiada urzdzenia isystemy informatyczne suce
doprzetwarzania danych osobowych19. W6 tego rozporzdzenia okrelono izdefiniowano
trzy poziomy bezpieczestwa przetwarzania danych osobowych wsystemie informatycznym:
podstawowy, podwyszony i wysok i. Opis rodkw bezpieczestwa stosowanych
naposzczeglnych poziomach okrelono wzaczniku doww. rozporzdzenia.
Zapisy ustpw 1 i2 20 rozporzdzenia KRI nie dostarczaj konkretnych wytycznych
odnonie sposobw spenienia poszczeglnych wymaga gwarantujcych odpowiedni
poziom bezpieczestwa. Wustpie 3 tego rozporzdzenia dopuszcza si cakowite odstpienie
odstruktury wymaga okrelonej wustpach 1 i2 narzecz stosowania Polskich Norm. Ustp
4wskazuje, e wymagania zapisane wustpie 2 powinny zosta, wprzypadkach uzasadnionych
wynikami przeprowadzonej analizy ryzyka, uzupenione ododatkowe zabezpieczenia. Stosowanie
20, jako caoci, moe by rwnie wprzypadku konkretnych systemw ograniczone,
wzwizku zokresem ich eksploatacji oraz terminami istotnych modyfikacji.

20

16
17
18
19

Dz.U. Nr128, poz.1094.

Dz.U. z2013 r. poz.262, zezm.
Dz.U. z2015 r. poz.2135, zezm.
Dz.U. Nr100, poz.1024.

WA N I E J S Z E W Y N I K I KO N T R O L I

3.1.3. Obszar objty kontrol wwietle wynikw dotychczasowych kontroli NIK

W Polsce jest eksploatowanych aktualnie kilkaset rnej wielkoci systemw wykorzystywanych
dorealizacji zada publicznych. Pocztki pracy niektrych znich sigaj lat osiemdziesitych
ubiegego wieku. Odponad 20 lat polscy uytkownicy maj moliwo korzystania zsieci internet
ipobierania zniej coraz wikszej iloci danych. Szacuje si, e wtym samym czasie powstay
pierwsze niebezpieczne programy (wirusy komputerowe) wykonujce szkodliwe dziaania
iprzenoszce si pomidzy komputerami bez wiedzy iwiadomoci ich wacicieli. Mona
wic stwierdzi, e wkraju mamy doczynienia zistotnym obszarem dziaalnoci administracji
pastwowej, naraonym oddugiego ju czasu narealne szkody. Obszar ten idotyczce go
zagroenia podlegaj dynamicznemu rozwojowi, tak jeli chodzi oskal (liczb objtych nimi
danych irealizowanych zada), jak izaawansowanie stosowanych narzdzi irozwiza technicznych
(tak postronie przyjaznej jak iwrogiej).
Zgodnie zesporzdzonym przez GUS w2013 roku wykazem Systemy informacyjne administracji
publicznej20 72 instytucje administracji pastwowej eksploatoway 589 rnorodnych
systemw informatycznych21.
Systemy teprzetwarzaj iwymieniaj informacje wwirtualnym, krajowym obszarze zdefiniowanym,
jako cyberprzestrze RP.
NIK, wwyniku zakoczonej w2015 r. kontroli, ocenia negatywnie dziaalno podmiotw
pastwowych wzakresie ochrony cyberprzestrzeni RP.
Administracja pastwowa nie podja dotychczas niezbdnych dziaa, majcych nacelu
zapewnienie bezpieczestwa teleinformatycznego Polski. Pomimo tego, e coraz wiksza cz
usug publicznych oraz istotnych aspektw ycia spoecznego igospodarczego realizowanych jest
obecnie wsieci Internet lub zwykorzystaniem systemw teleinformatycznych, bezpieczestwo
Polski wdalszym cigu jest postrzegane jedynie wsposb konwencjonalny. Nie dostrzeono,
epowstaa nowa kategoria zagroe, wymagajca pilnej reakcji pastwa. Kierownictwo
najwaniejszych instytucji publicznych nie posiada wiadomoci zagroe zwizanych
zfunkcjonowaniem cyberprzestrzeni oraz wynikajcych znich nowych zada administracji
pastwowej.
Nie zostay dotychczas podjte spjne isystemowe dziaania podmiotw pastwowych,
majce na celu monitorowanie i przeciwdziaanie zagroeniom wystpujcym
wcyberprzestrzeni oraz minimalizowanie skutkw incydentw. Przede wszystkim nie
oszacowano ryzyka dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano
narodowej strategii ochrony cyberprzestrzeni, stanowicej podstaw dla dziaa podnoszcych
bezpieczestwo teleinformatyczne. Nie okrelono struktury iram prawnych krajowego systemu
ochrony cyberprzestrzeni, nie zdefiniowano obowizkw iuprawnie jego uczestnikw oraz nie
przydzielono zasobw niezbdnych doskutecznej realizacji zada. Nie przygotowano procedur
reagowania wsytuacjach kryzysowych zwizanych zcyberprzestrzeni.

20 http://bip.stat.gov.pl/gfx/bip/userfiles/_public/bip/psp/bip_systemy_informacyjne_administracji_publicznej_2013.doc
21 Wykaz ten zosta opracowany dla celw statystyki publicznej iw zwizku ztym nie jest wykazem kompletnym. Brak jest obecnie
systemowych rozwiza dotyczcych pozyskiwania informacji ofunkcjonujcych wkraju systemach teleinformatycznych
przeznaczonych dorealizacji zada publicznych. Wynika toz usunicia w2010 r. zustawy oinformatyzacji art.19, obligujcego
ministra waciwego ds. informatyzacji doprowadzenia Krajowej Ewidencji Systemw Teleinformatycznych iRejestrw
Publicznych.

21

WA N I E J S Z E W Y N I K I KO N T R O L I

W rezultacie, dziaania podmiotw pastwowych zwizane zochron cyberprzestrzeni

byy prowadzone wsposb rozproszony ibez spjnej wizji systemowej. Skupiay si one
dodoranym, ograniczonym reagowaniu nabiece wydarzenia oraz dobiernym oczekiwaniu
narozwizania, ktre wtym obszarze zaproponuje Unia Europejska. Kluczowym czynnikiem
paraliujcym aktywno pastwa wtym zakresie, by rwnie brak jednego orodka decyzyjnego,
koordynujcego dziaania innych instytucji publicznych.
Wynikajcy zpowyszych ustale brak centralnych krajowych wymaga izalece dotyczcych
stworzenia bezpiecznego rodowiska dla funkcjonujcych systemw informatycznych
powoduje powstawanie indywidualnych, lokalnych rozwiza zzakresu bezpieczestwa.
Dotychczas nie podjto systemowych dziaa napoziomie krajowym narzecz ujednolicenia
izoptymalizowania napoziomie krajowym metod przeciwdziaania zagroeniom wystpujcym
wcyberprzestrzeni, copowoduje powstawanie indywidualnych, czsto fragmentarycznych
rozwiza zzakresu bezpieczestwa wposzczeglnych podmiotach.
3.1.4. Metodyka bada kontrolnych dot. bezpieczestwa systemw informatycznych
Zoona tematyka oraz brak szczegowych regulacji prawnych, utrudnia wyznaczenie miernikw
iwyznacznikw doprzeprowadzenia kontroli wzakresie bezpieczestwa konkretnych systemw
informatycznych.
Kontrol tego obszaru mona jednak oprze oopis procesu DS5 Zapewnienie bezpieczestwa
systemw wystpujcego wuznanej, midzynarodowej metodyce COBIT 4.1. Pozwala to,
dziki uyciu kompletnego zestawu celw kontrolnych dotyczcych zapewnienia bezpieczestwa,
nadokonanie przekrojowej oceny warunkw zapewnienia bezpieczestwa przy jednoczesnym
ograniczeniu jego szczegowoci. Zastosowanie metodyki umoliwia jednoczenie dokonanie
obiektywnej oceny kontrolowanej dziaalnoci. Dziki zdefiniowanym wniej miernikom oraz
modelowi dojrzaoci wyniki przeprowadzonych bada mog by bezporednio wykorzystane
dosporzdzenia oceny kontrolowanej dziaalnoci.
Stosowanie metodyki COBIT wzakresie kontroli zagadnie informatycznych jest zalecane
wWytycznych wsprawie kontroli wewntrznej wsektorze publicznym INTOSAI GOV 9100
oraz wPodrczniku kontroli systemw informatycznych dla najwyszych organw kontroli
opracowanym przez inicjatyw INTOSAI ds. Rozwoju (IDI).
Zgodnie zt metodyk wyrnia si 6 stopni modelu dojrzaoci:
0 Nieistniejce cakowity brak rozpoznawalnych procesw. Przedsibiorstwo nie dostrzego
nawet istnienia problemu, ktry wymaga rozwizania.
1 Wstpne/dorane Istniej dowody nato, e przedsibiorstwo dostrzego problemy wraz
zkoniecznoci ich rozwizania. Nie sto jednak ustandaryzowane procesy. Zamiast nich,
dorozwizywania poszczeglnych problemw stosuje si dorane podejcie. Oglne podejcie
dozarzdzania nie jest podejciem zorganizowanym.
2 Powtarzalne lecz intuicyjne procesy zostay rozwinite dopoziomu, naktrym rne osoby
wykonujce tosamo zadanie postpuj zgodnie zpodobnymi procedurami. Nie ma formalnych
szkole, standardowe procedury nie zostay zakomunikowane, apodjcie odpowiedzialnoci
pozostawiono jednostkom. Wystpuje wysoki poziom zalenoci odwiedzy poszczeglnych osb,
dlatego prawdopodobne jest wystpowanie bdw.

22

WA N I E J S Z E W Y N I K I KO N T R O L I

3 Zdefiniowane procesy istniej ustandaryzowane iudokumentowane procedury, ktre zostay

zakomunikowane poprzez szkolenie. Pracownicy supowanieni doich stosowania. Jest jednak
mao prawdopodobne, e odstpstwa odstosowania procedur zostan wykryte. Procedury nie
szaawansowane, as raczej formalizacj istniejcych praktyk.
4 Kontrolowane imierzalne kierownictwo monitoruje iocenia zgodno zprocedurami,
atake podejmuje odpowiednie czynnoci, gdy procesy nie dziaaj efektywnie. Procesy sstale
doskonalone istanowi rdo dobrych praktyk. Wograniczony lub fragmentaryczny sposb
wykorzystywane srozwizania zautomatyzowane oraz narzdzia.
5 Zoptymalizowane procesy zostay dopracowane dopoziomu dobrej praktyki woparciu oefekty
cigego doskonalenia imodelowanie dojrzaoci winnych przedsibiorstwach. Technologia
informatyczna jest wykorzystywana wzintegrowany sposb doautomatyzacji toku pracy,
zapewniajc narzdzia suce poprawie jakoci iwydajnoci oraz sprawiajc, e przedsibiorstwo
szybko adaptuje si dozmieniajcych si warunkw.

3.2 Wyniki kontroli wujciu przedmiotowym

3.2.1. redni stopie dojrzaoci badanych procesw wjednostkach objtych kontrol22
Ponisze wykresy przedstawiaj rednie oceny kontrolowanych jednostek dla poszczeglnych
obszarw objtych kontrol sformuowane przez NIK przy zastosowaniu metodyki COBIT.
Wykres nr1
Wspieranie bezpieczestwa IT na poziomie caej jednostki

rdo: Opracowanie wasne NIK.

W zakresie wspierania bezpieczestwa IT napoziomie caej jednostki najwysze oceny wystpiy

wobszarze ochrony przed zoliwym oprogramowaniem izarzdzania kluczami kryptograficznymi,
natomiast najnisze wzakresie definiowania incydentu zwizanego zbezpieczestwem.

22 Przyjta skala punktacji zostaa przedstawiona w rozdziale 3.1.4.

23

WA N I E J S Z E W Y N I K I KO N T R O L I

Wykres nr2
Wspieranie bezpieczestwa IT na poziomie wybranego systemu

rdo: Opracowanie wasne NIK.

Najwysze oceny wzakiesie wspierania bezpieczestwa IT napoziomie wybranego systemu

uzyskay kontrolowane jednostki wobszarze ochrony technologii zabezpiecze, anajnisze
wobszarze wymiany wraliwych danych.
3.2.2. Zarzdzanie bezpieczestwem IT
Kierownictwo poszczeglnych kontrolowanych jednostek posiadao wiadomo potrzeby
zapewnienia bezpieczestwa informacji. Przy czym wprzypadku niektrych (5) jednostek
proces uzyskiwania wiedzy codo istnienia zagroe ikoniecznoci przeciwdziaania im
rozpocz si stosunkowo niedawno. Podejcie kierownictwa czci jednostek dozagadnie
bezpieczestwa podlegao dynamicznym zmianom, ktre zachodzc rwnie wtrakcie
dziaa kontrolnych, wpyway nadokonane ustalenia.

24

Stworzone wkontrolowanych jednostkach systemy zapewnienia bezpieczestwa posiaday rne

architektury, nie byy tojednak rozwizania optymalne zpowodu:
braku koordynacji pomidzy komrkami organizacyjnymi realizujcymi rne zadania
zzakresu zapewnienia bezpieczestwa;
niespjnego okrelenia kompetencji poszczeglnych jednostek, co prowadzio
donakadania si odpowiedzialnoci lub pozostawiania niektrych zagadnie praktycznie
bez nadzoru;
ograniczenia odpowiedzialnoci zabezpieczestwo informacji dokomrki odpowiedzialnej
zawdraanie iadministrowanie systemami teleinformatycznymi;
przekazywania znacznego zakresu zada zwizanych zzapewnieniem bezpieczestwa
informacji podmiotom zewntrznym bez zidentyfikowania izredukowania wynikajcych
ztego ryzyk oraz zorganizowania odpowiedniego systemu nadzoru ikontroli realizacji tych
zada;
niedostosowania wielkoci zasobw ludzkich, finansowych iorganizacyjnych doliczby
izoonoci zada zwizanych zbezpieczestwem informacji;
tworzenia samodzielnych, jednoosobowych stanowisk odpowiedzialnych zaistotne
elementy systemu zapewnienia bezpieczestwa bez waciwej analizy pracochonnoci lub
okrelenia zastpstw naczas absencji iurlopw;
niewykorzystywania dowiadcze wynikajcych zezrealizowanych wczeniej przedsiwzi
dotyczcych bezpieczestwa informacji.

WA N I E J S Z E W Y N I K I KO N T R O L I

Cele strategiczne wzakresie bezpieczestwa informacji formuowane byy wadliwie, zpominiciem

niektrych niezbdnych skadnikw tych celw m.in. nie okrelano miernikw sucych
domonitorowania realizacji tych celw, horyzontu czasowego wktrym tecele zostan
zrealizowane, atake nie okrelano zasobw niezbdnych doich realizacji.
Kontrolowane jednostki nie dokonay identyfikacji iewidencji swoich kluczowych zada wraz
zzasobami niezbdnymi doich realizacji.
Identyfikacja informacji wraliwych (tj.zasobw krytycznych dla instytucji) ograniczona bya
doinformacji chronionych ustawowo (wynikajcych zuodo iuoin). Nie identyfikowano informacji,
ktrych ochrona nie jest prawnie wymagana, aktre mog by wykorzystane przeciwko instytucji
poprzez ich ujawnienie, zablokowanie lub zmanipulowanie.
adna zkontrolowanych jednostek nie nie dokonywaa wstpnego szacowania kosztw (w tym
rwnie niematerialnych) ewentualnego naruszenia bezpieczestwa (poufnoci, integralnoci
idostpnoci) informacji, cowynikao przede wszystkim zniepenej identyfikacji iewidencji
informacji wraliwych.
Okresowe informowanie kierownictwa ostanie bezpieczestwa informacji oraz ozwizanych
znim wanych wydarzeniach byo realizowane tylko wniektrych jednostkach. Ponadto ich
przekazywanie nie byo zwizane zcykliczn realizacj odpowiedniego procesu, tylko wynikao
gwnie zprzyczyn wystpujcych doranie, np.incydentu bezpieczestwa.
W kontrolowanych jednostkach istniay znane idostpne dla wszystkich pracownikw rda
informacji ozagadnieniach zwizanych zbezpieczestwem teleinformatycznym bya toprzede
wszystkim korespondencja kierowana dopracownikw zapomoc poczty elektronicznej oraz dane
zamieszczane wportalach intranetowych. Przeprowadzona podczas kontroli analiza tych informacji
wskazaa, e dotyczyy one wewntrznych przepisw (prezentowany stan prawny nie zawsze by
aktualny) iinstrukcji oraz zalece dla pracownikw dotyczcych zagroe, ktre wydarzyy si
wczeniej wdanej instytucji.
Proces szacowania ryzyka wjednostkach kontrolowanych by realizowany wograniczonej skali,
cowynikao m.in. z:
nieokrelenia standardowej metodyki szacowania ryzyka dla jednostek realizujcych zadania
publiczne;
braku waciwego przeszkolenia pracownikw zobowizanych doprowadzenia szacowania
ryzyka, szczeglnie wprzypadkach prowadzenia tego procesu przy pomocy narzdzi
informatycznych;
bdnego utosamiania specyficznego procesu szacowania ryzyka wynikajcego
ztreci Programu Ochrony Cyberprzestrzeni RP (dotyczcego jedynie ryzyk dotyczcych
funkcjonowania cyberprzestrzeni) zprocesem zwizanym zbezpieczestwem informacji,
ktrego zakres jest znacznie szerszy;
nieprzygotowania danych niezbdnych doprzeprowadzenia szacowania ryzyka ijednolitej
dla caej instytucji metodyki pozwalajcej porwnywa poszczeglne ryzyka, wykazu
aktyww wraz zwacicielami ioszacowaniem ich wartoci oraz kryteriw akceptacji ryzyka.

25

WA N I E J S Z E W Y N I K I KO N T R O L I

3.2.3. Plan zapewnienia bezpieczestwa

W adnej zeskontrolowanych jednostek nie opracowano rzetelnego planu zapewnienia
bezpieczestwa.
Cz jednostek nie opracowaa wogle dokumentu penicego rol planu zapewnienia
bezpieczestwa, natomiast cz opracowaa taki dokument, jednake zosta on
wewszystkich przypadkach oceniony przez NIK jako nierzetelny.
Gwne nieprawidowoci polegay natym, e plan ten by:
nieaktualny lub niekompletny kierownictwo instytucji miao wiadomo tych wad
iprowadzono prace majce nacelu opracowanie docelowego planu. Pomimo formuowania
odpowiednich wymaga plany nie byy cyklicznie przegldane iaktualizowane, copowoduje
stopniow utrat aktualnoci zwizan zpostpem technicznym, zmianami organizacyjnymi
izmianami wobowizujcym prawie;
rozproszony plan skada si zwielu niespjnych, wytworzonych niezalenie dokumentw,
instrukcji iprocedur stosowanych doranie ilokalnie. Brakowao powizania tych dokumentw
oraz okrelenia hierarchii ich wanoci;
ograniczony dotyczy jedynie szczeglnych rodzajw danych danych osobowych
lub informacji niejawnych iopracowane byy zgodnie zeszczegowymi wymaganiami
ustawowymi. Podokonaniu, wniektrych jednostkach nawet niewielkich modyfikacji
rozszerzajcych ich zakres przedmiotowy nainne przetwarzane informacje, plany takie
faktycznie nie zapewniay waciwego poziomu bezpieczestwa IT;
niezatwierdzony (w pewnym zakresie) nie obejmowa elementw szczegowych,
opracowanych jako odrbne polityki lub procedury. Niezatwierdzone wersje takich
szczegowych dokumentw byy jednak faktycznie wykorzystywane, wramach stosowania
tzw. dobrych praktyk;
nieadekwatny niektre zplanw zostay opracowane nazlecenie kontrolowanych jednostek
przez podmioty zewntrzne, skutkiem czego byo umieszczenie wtych dokumentach zapisw
niezwizanych zespecyfik danej instytucji, apochodzcych zrnego rodzaju szablonw
wykorzystywanych przez autorw doopracowania planu. Cz specyficznych dla danej
jednostki zagadnie dotyczcych bezpieczestwa IT, nie bya takimi planami objta.
3.2.4. Testowanie, nadzorowanie imonitorowanie bezpieczestwa
Wszystkie kontrolowane jednostki wykorzystyway dobudowy systemw zapewnienia
bezpieczestwa informacji wyniki audytw: wynikajcych zrealizacji obowizku okrelonego
rozporzdzeniem KRI lub wymaganych dla utrzymania certyfikatw dotyczcych
bezpieczestwa informacji, atake zleconych bd wynikajcych zplanowej dziaalnoci
kontrolnej.
Rozporzdzenie KRI wymaga zapewnienia odmaja 2012 r. okresowego audytu wewntrznego
wzakresie bezpieczestwa informacji, powtarzanego nie rzadziej ni raz narok. Wocenie NIK
przekazane kierownictwom instytucji informacje wynikajce zaudytw przeprowadzonych zgodnie
zww. wymaganiami stanowiy istotny impuls dorozpoczcia lub zintensyfikowania prac nad
stworzeniem systemw zapewnienia bezpieczestwa informacji.

26

W adnej zeskontrolowanych jednostek nie stwierdzono prawidowo funkcjonujcego

systemu reagowania naincydenty zwizane zbezpieczestwem informacji. Stwierdzone
nieprawidowoci dotyczyy wszczeglnoci:

WA N I E J S Z E W Y N I K I KO N T R O L I

1) braku definicji incydentu pozwalajcej uytkownikom jednoznacznie zidentyfikowa

iwstpnie oceni zdarzenie, zktrym si zetknli; dotyczyo torwnie braku okrelenia
kryteriw poziomu istotnoci dla incydentu;
2) braku realnie funkcjonujcych procedur dotyczcych sposobw zgaszania incydentw,
ichrejestrowania oraz sposobu reagowania;
3) nieskutecznej struktury rejestru incydentw, prowadzonego niezalenie w rnych
miejscach instytucji lub poczonego z rejestrami dotyczcymi wsparcia, awarii i bdw
technicznych;
4) braku waciwej wsppracy zwykonawcami zewntrznymi, copowodowao:
a) nierejestrowanie incydentw stwierdzanych przez wykonawcw zewntrznych podczas
wykorzystywania infrastruktury instytucji, gdy nie byli oni zobowizywani wumowach
dozgaszania takich incydentw dorejestru;
b) brak wymiany informacji oincydentach pomidzy rejestrami prowadzonymi przez
usugodawcw zewntrznych, akorzystajc zich usug instytucj. Sytuacja taka miaa
rwnie miejsce wprzypadku, gdy wramach outsourcingu istotne zadania instytucji
zwizane zbezpieczestwem realizowane byy przez firm zewntrzn.
Zdaniem NIK towanie powysze braki wsystemie zbierania ianalizy incydentw wgwnej
mierze powoduj niski poziom wiedzy wposzczeglnych jednostkach objtych kontrol,
codo rodzaju icharakteru zagroe jakim podlegaj.
3.2.5. Zarzdzanie kluczami kryptograficznymi23
adna zkontrolowanych jednostek nie posiadaa polityki zabezpiecze kryptograficznych.
Nie prowadzono analiz dotyczcych moliwoci izakresu wykorzystania technik kryptograficznych
dozabezpieczenia istotnych informacji. Wprzypadkach, wktrych korzystano zcertyfikatw
cyfrowych doidentyfikacji uytkownikw wsystemach informatycznych, dostawcy tych
rozwiza opracowywali rwnie niezbdne procedury, instrukcje ipolityki, wdraane nastpnie
wkontrolowanych jednostkach.
W systemach, wktrych dopuszczano dozdalnego dostpu dla celw administracyjnych
iserwisowych, informacje byy zabezpieczane zapomoc rozwiza kryptograficznych.
3.2.6. Ochrona przed zoliwym oprogramowaniem
We wszystkich kontrolowanych jednostkach stosowano zabezpieczenia przed szkodliwym
oprogramowaniem. Wykorzystywane wtym celu narzdzia pochodziy odrnych dostawcw,
posiaday rn funkcjonalno oraz byy zrnym zaangaowaniem konserwowane iobsugiwane
przez pracownikw poszczeglnych jednostek.
Systemy tegeneroway raporty idzienniki, ktre jednak nie wewszystkich przypadkach byy
systematycznie przegldane ianalizowane. Wkontrolowanych jednostkach nie opracowano
formalnych zasad przegldania ianalizowania raportw idziennikw dotyczcych efektw dziaania
zabezpiecze przed szkodliwym oprogramowaniem. Zudzielonych wyjanie wynikao, e takie

23 Jednym znajlepszych sposobw zabezpieczenia informacji jest wykorzystanie technik kryptograficznych, ktre pozwalaj

chroni poufnoci iautentyczno informacji wszczeglnoci podczas jej przesyania np.zapomoc oglnie dostpnych sieci.
Szyfrowanie ideszyfrowanie informacji odbywa si zapomoc kluczy kryptograficznych.

27

WA N I E J S Z E W Y N I K I KO N T R O L I

przegldy ianalizy le wobowizkach poszczeglnych administratorw systemw isieci, jednak

wadnym zkontrolowanych przypadkw nie przedstawiono dokumentw potwierdzajcych ich
przeprowadzanie, opisujcych wyniki izastosowane wich konsekwencji dziaania.
3.2.7. Bezpieczestwo sieciowe
W kontrolowanych jednostkach wzakresie zapewnienia bezpieczestwa sieciowego
stwierdzono brak skutecznych mechanizmw kontrolnych:
nad nieuywanymi lub niepodczonymi portami przecznikw urzdze
dostpowych,
przed nieautoryzowanym podczeniem obcych urzdze dosieci jednostki,
w zakresie przepywu ruchu sieciowego wewntrz sieci jednostki.
Przetwarzanie mobilne posiadao wyranie niszy poziom bezpieczestwa, wynikajcy
zpomocniczej roli jak spenia, coskutkowao tym, e wewszystkich skontrolowanych jednostkach
(poza czci systemw SG) podstawowe systemy wykorzystyway jedynie poczenia przewodowe.
Wystpiy przypadki zobowizania uytkownikw urzdze mobilnych dosamodzielnego
administrowania ich oprogramowaniem antywirusowym, cozdaniem NIK powodowao powstanie
powanego ryzyka, e uytkownicy bd wykonywali teobowizki nierzetelnie.
W jednej z kontrolowanych jednostek stwierdzono, e nieprawidowe eksploatowanie
oprogramowania zabezpieczajcego przed zoliwym oprogramowaniem spowodowao liczne
przypadki zawirusowania stacji roboczych, docierania dopracownikw e-maili zniebezpiecznymi
odnonikami, jak rwnie funkcjonowanie zainstalowanej bez wiedzy uytkownikw sieci
typu botnet obejmujcy 24 komputery biurowe. Przyczynami tych nieprawidowoci byy le
realizowane obowizki administratora oraz brak lub nieaktualne oprogramowanie antywirusowe.
Bezpieczestwo jednego zsystemw objtych kontrol oparte zostao nazaoeniu, e wszystkie
jego elementy sodseparowane odsieci publicznej. Instytucja administrujca tym systemem
nie posiada jednak moliwoci technicznych iprawnych aby weryfikowa cigo ijako tej
separacji. Wtoku kontroli stwierdzono udokumentowany przypadek utraty tej separacji, jednake
nie spowodowao tozmiany przez administratora zasad ipodstaw zapewnienia bezpieczestwa.
3.2.8. Zarzdzanie tosamoci ikontami uytkownikw
We wszystkich kontrolowanych jednostkach funkcjonoway formalne procedury zwizane
znadawaniem uprawnie dodostpu dosystemw objtych kontrol. Przeprowadzona
analiza wskazaa, e wprowadzone procedury nie zabezpieczay dostatecznie przed
wystpieniem nieprawidowoci.
NIK stwierdzia bowiem e:
nie uwzgldniono wstosowanej procedurze opinii waciciela informacji (np.dyrektora
departamentu merytorycznego), doktrych udzielany by dostp. Gwn przyczyn tego
stanu rzeczy byy, wocenie NIK bdy wprocesie identyfikacji zasobw inieprzypisanie
danych zasobw dowaciciela;
nie przeprowadzano okresowych kontroli aktualnoci kont uytkownikw izasadnoci
udzielonych uprawnie, wtym szczeglnie dla kont tzw. uprzywilejowanych;
brak byo specyficznych procedur dotyczcych udzielania uprawnie uprzywilejowanych,
wtym modyfikowania wasnych uprawnie przez administratorw;

28

WA N I E J S Z E W Y N I K I KO N T R O L I

wystpia niezgodno stopnia komplikacji hase dostpu dokont idozwolonej liczby

kolejnych bdnych logowa zwymaganiami formalnymi okrelonymi przez jednostk;
brak byo wymogu zmiany hasa otrzymanego od administratora po pierwszym
zalogowaniu;
nie zapewniono waciwego obiegu informacji wprzypadku dugich nieobecnoci izwolnie
pracownikw, coskutkowao pozostawianiem aktywnych kont uytkownikw dugotrwale
nieobecnych;
tworzono konta grupowe, bez waciwego uzasadnienia, udokumentowania izatwierdzenia;
posugiwano si niezabezpieczon drog mailow doprzesyania informacji odnonie
przyj, zwolnie iabsencji pomidzy dziaem kadr, adziaem IT.
3.2.9. Ochrona technologii zabezpiecze
W adnej zeskontrolowanych jednostek nie wprowadzono formalnie procedury zamiany
domylnych lub tymczasowych hase wuytkowanym iinstalowanym sprzcie podczanym
dosieci. Wniektrych jednostkach pracownicy obsugujcy iinstalujcy taki sprzt zwasnej
inicjatywy zmieniali domylne hasa, opierajc si naswoim dowiadczeniu idobrych praktykach.
W wikszoci kontrolowanych jednostek nie bya prowadzona ewidencja aktyww wspierajcych,
zwizanych zzapewnieniem bezpieczestwa informacji, wzwizku zczym, nie przyporzdkowano
im istotnoci, poziomw ochrony iwacicieli.
Wystpiy przypadki pozostawienia administratorom systemw informatycznych moliwoci
samodzielnego modyfikowania wasnych uprawnie.
W czasie kontroli dokonano przegldu losowej prby umw zdostawcami usug iwykonawcami
produktw zwizanych zobiegiem informacji ifunkcjonowaniem systemw informatycznych.
Wewszystkich przypadkach stwierdzono, e zawieray one klauzule dotyczce zachowania
poufnoci informacji uzyskanych wtrakcie realizacji umowy przez podmiot zewntrzny.
3.2.10. Wymiana wraliwych danych
Problematyka warunkw wymiany, transmisji isporzdzania kopii informacji wraliwych jest cile
powizana zpoziomem wiedzy uytkownikw wzakresie klasyfikowania danych iokrelania ich
wartoci.
W kontrolowanych jednostkach poza zakresami danych wraliwych wynikajcych wprost
zuodo iuoin, praktycznie nie identyfikowano innych danych majcych szczeglne znaczenie
dla instytucji irealizowanych przez nie zada. Ten brak przekada si bezporednio nazakres
zapewnienia bezpieczestwa wzakresie ich wymiany, transmisji isporzdzania kopii.
Nie okrelano formalnie zasad zabezpieczania kryptograficznego kopii bezpieczestwa systemw.
Nie przestrzegano zasady przesyania jednej zkopii bezpieczestwa wmiejsce niezagroone
skutkami ewentualnej katastrofy (w siedzibie instytucji lub orodku przetwarzania danych).

3.3 Wyniki kontroli wujciu podmiotowym

3.3.1. Zestawienie poszczeglnych ocen kontrolowanych jednostek
Ponisza tabela przedstawia oceny kontrolowanych jednostek dla poszczeglnych obszarw
objtych kontrol sformuowane przez NIK przy zastosowaniu metodyki COBIT.

29

WA N I E J S Z E W Y N I K I KO N T R O L I

Tabela nr2

KRUS

MS

MSP

NFZ

SG

MSW

Oglnie

Zarzdzanie bezpieczestwem IT

Plan zapewnienia bezpieczestwa

Testowanie, nadzorowanie
imonitorowanie bezpieczestwa

Definicja incydentu zwizanego

zbezpieczestwem

Zarzdzanie Kluczami
Kryptograficznymi

Ochrona przed zoliwym

oprogramowaniem

Bezpieczestwo sieciowe

Oglnie

Zarzdzanie tosamoci

Zarzdzanie kontami uytkownikw

Ochrona technologii zabezpiecze

Wymiana wraliwych danych

Wspieranie
bezpieczestwa IT
na poziomie
wybranego systemu

Wspieranie bezpieczestwa IT
na poziomie caej jednostki

Ocena oglna

0 niezdefiniowany, 1 pocztkowy/dorany, 2 powtarzalny lecz intuicyjny, 3 zdefiniowany,

4 kontrolowany imierzalny, 5 zoptymalizowany.
rdo: Opracowanie wasne NIK.

Najwysz ocen, jak uzyskaa kontrolowana jednostka wbadanych obszarach bya ocena
napoziomie3. Otrzymao j KRUS. Najnisz ocen uzyskao MSW iSG 1. Ministerstwa
Sprawiedliwoci iSkarbu Pastwa oraz NFZ uplasoway si natym samym poziomie 2.
KRUS otrzymaa ocen napoziomie 3 w6 obszarach. MSW otrzymao ocen napoziomie
0w4obszarach.
3.3.2. Kasa Rolniczego Ubezpieczenia Spoecznego
W oparciu ostosowany wmetodyce COBIT 4.1 Model dojrzaoci, NIK ocenia poziom zarzdzania
procesem zapewnienie bezpieczestwa systemw informatycznych w KRUS jako
zdefiniowany.
KRUS bya jedyn jednostk objt badaniem ktra posiadaa Certyfikat potwierdzajcy, i obsuga
ubezpieczonych iwiadczeniobiorcw wzakresie zada wynikajcych zustawy oubezpieczeniu

30

WA N I E J S Z E W Y N I K I KO N T R O L I

spoecznym rolnikw 24 spenia wymagania normy PN-ISO/IEC 27001:2007 25 (Norma). Objty

szczegow kontrol system FARMER by zarzdzany wmodelu penego outsourcingu, cooznacza,
e zarwno usugi jak iinfrastruktura zostaa powierzona wcaoci wykonawcy zewntrznemu26.
W jednostce tej wprowadzono system bezpieczestwa informacji wramach Zintegrowanego
Systemu Zarzdzania, cozdaniem NIK wiadczy otym, e kierownictwo byo wiadome potrzeby
zapewnienia bezpieczestwa. Wocenie Izby wdroony system wymaga jednak poprawy
iudoskonalenia. WKRUS zdefiniowano gwne procedury bezpieczestwa iw ocenie NIK byy one
wzajemnie kompatybilne, niemniej jednak Izba wniosa szereg uwag doczytelnoci ikompletnoci
tych procedur. Stwierdzono braki wzakresie podmiotowym (nie dowszystkich systemw
opracowano procedury), jak rwnie wzakresie przedmiotowym (nie wszystkie zagadnienia zostay
uregulowane, np.brak byo procedur dotyczcych zawieszania uprawnie dostpu dosystemw).
Przyjta koncepcja powierzenia zasobw KRUS wykonawcy zewntrznemu m.in. wzakresie
systemw sucych realizacji podstawowych ustawowych zada nie zostaa poprzedzona
stosowymi analizami, np.nie okrelono sposobu szacowania ryzyka zwizanego zutrat informacji
wsytuacji powierzenia zasobw firmie zewntrznej. Coza tym idzie, wocenie NIK, nie zapewniono
odpowiednich zasobw (przede wszystkim kadrowych 27 ) oraz nie wypracowano realnych
narzdzi nadzoru nad bezpieczestwem informacji. Przykadowo wumowach zwykonawc nie
przewidziano przeprowadzania testw bezpieczestwa. Dlatego te, zdaniem NIK, istniao wysokie
ryzyko, eusugi wiadczone przez podmioty zewntrzne mogy nie spenia opracowanych
wkontrolowanej jednostce wymaga dotyczcych bezpieczestwa.
W stworzonym wKRUS systemie zarzdzania bezpieczestwem informacji okrelono zasady oceny
procedur iich aktualizacji, aproces zapewnienia bezpieczestwa by monitorowany przez okresowe
audyty. Jednake okrelonym celom wzakresie bezpieczestwa nie przypisano miernika, oraz
zasobw niezbdnych doich osignicia.
Stworzono system zbierania ianalizy incydentw, jednake by on niekompletny, tj.nie obejmowa
m.in. incydentw obsugiwanych przez administratorw oraz incydentw systemu FARMER.
Nierzetelna sprawozdawczo wynikajca zniekompletnego systemu rejestrowania incydentw
jak irwnie stwierdzona wadliwo miernika procesu zarzdzania bezpieczestwem, wocenie NIK,
skutkowao pozbawieniem kierownictwa KRUS podstawowego narzdzia monitorowania poziomu
bezpieczestwa informacji.
W KRUS opracowano Klasyfikacj Informacji wramach procedur Zintegrowanego Systemu
Zarzdzania, jednake NIK stwierdzia, e nie wszystkim informacjom nadano waciwy poziom
zabezpiecze, wszczeglnoci dotyczyo tokodw rdowych. Nie mniej jednak, niezalenie
oduregulowa wewntrznych, zasoby tew praktyce byy waciwie chronione.
W obszarze zarzdzania kontami uytkownikw systemu informatycznego objtego
kontrol stwierdzono nieprawidowoci, ktre wocenie Izby obniaj jego bezpieczestwo.
Nieprawidowoci polegay m.in. nanieprzeprowadzaniu okresowych przegldw aktualnoci
24 Ustawa zdnia 20grudnia 1990 r. (Dz.U. z2016 r. poz.277).
25 Wokresie objtym kontrola funkcjonoway dwa takie certyfikaty Nr. I-19/1/2014 wydany 21listopada 2014 r. oraz NrJKI -2/2/2011
zdnia 22listopada 2011 r.

26 By on utrzymywany iadministrowany worodkach obliczeniowych wykonawcy (firmy Zeto iUnizeto), natomiast pracownicy

KRUS mieli doniego dostp poprzez sie WAN.

27 Wedug ustale kontroli minimalny zesp zajmujcy si nadzorem nad realizacj umowy przez wykonawc powinien liczy
3osoby, gdy tymczasem czynnoci wykonywa jeden pracownik, ktremu powierzono rwnie inne zadania.

31

WA N I E J S Z E W Y N I K I KO N T R O L I

iadekwatnoci uprawnie rwnie wsystemie FARMER, niezawieszaniu uprawnie pomimo

dugotrwaej nieobecnoci, cowynikao, zadaniem NIK, zbraku procedur wtym zakresie,
niezgodnoci maski hasa dosytemu FARMER zprzyjtymi procedurami wewntrznymi.
Przy czym NIK zauwaya, e wKRUS podejmowane byy dziaania zmierzajce dosystemowego
usunicia tych nieprawidowoci.
3.3.3. Ministerstwo Sprawiedliwoci
W oparciu ostosowany wmetodologii COBIT 4.1 model dojrzaoci NIK ocenia wMinisterstwie
Sprawiedliwoci poziom zarzdzania procesem zapewniania bezpieczestwa IT oraz
wspierania bezpieczestwa wodniesieniu dosystemu teleinformatycznego ksig wieczystych
jako powtarzalny lecz intuicyjny.
Funkcjonujca dokumentacja polityki bezpieczestwa bya niedostosowana dospecyfiki
Ministerstwa iniespjna (niejednolita terminologia, rne opisy tych samych terminw, zamienne
stosowanie zupenie odmiennych poj, niejasne iwzajemnie dublujce si uprawnienia
iobowizki). Brakowao rwnie jasnego okrelenia poziomw koniecznego bezpieczestwa dla
poszczeglnych dokumentw skadajcych si nat polityk iich przeznaczenia. Dokumentacja
tazostaa wytworzona przez podmiot zewntrzny iod zatwierdzenia w2012 r. nie bya
aktualizowana.
Stwierdzono rwnie braki dokumentacji potwierdzajcej zapoznawanie si pracownikw
zpolityk oraz chaos organizacyjny dot. przechowywania stosownych owiadcze w2014 r.
Powysze, zdaniem Izby, wskazywao naniespenienie wymogw 20 ust.2 pkt4 rozporzdzenia
KRI wzakresie zapewnienia warunkw umoliwiajcych realizacj iegzekwowanie podejmowania
dziaa zapewniajcych, e osoby zaangaowane wproces przetwarzania informacji uczestnicz
wnim wstopniu adekwatnym dorealizowanych przez nie zada oraz obowizkw majcych nacelu
zapewnienie bezpieczestwa informacji.
Brak realnego wdroenia SZBI wMS powodowa, e wymogi okrelone w20 ust.1 rozporzdzeniaKRI,
zobowizujce podmiot realizujcy zadania publiczne dowdroenia, utrzymywania idoskonalenia
systemu zarzdzania bezpieczestwem informacji zapewniajcy jej poufno, dostpno iintegralno
nie byy spenione.
Na powysze zwracay rwnie uwag przeprowadzone wlatach 20132014 audyty wewntrzne.
Pomimo tego realne dziaania narzecz poprawy tego stanu rzeczy rozpoczto dopiero w2015 r.
Najwysza Izba Kontroli stwierdzia, e opracowana wMS Polityka Ochrony Danych Osobowych
np. nie zawieraa wykazu zbiorw danych osobowych wraz ze wskazaniem programw
zastosowanych doprzetwarzania danych osobowych oraz opisu struktury danych wskazujcych
zawarto poszczeglnych pl informacyjnych.
W MS sporzdzono wprawdzie klasyfikacj aktyww, niemniej jednak bya ona niepena inp.nie
wymieniaa m.in. kluczowych aktyww informacyjnych ministerstwa, niezbdnych dorealizacji
najwaniejszych procesw instytucji, wraz zewskazaniem poziomw ich ochrony.
Podobnie klasyfikacja informacji bya sporzdzona nierzetelnie m.in. nie uwzgldniaa wszystkich
informacji, nie wprowadzono penych zasad oznaczania informacji ipostpowania znimi. Ponadto
nie wszystkie informacje, usugi, aplikacje miay przypisanych wacicieli, copowodowao, e nie
zostaa okrelona odpowiedzialno zaposzczeglne aktywa.

32

WA N I E J S Z E W Y N I K I KO N T R O L I

Zdaniem NIK nazapewnienie bezpieczestwa systemw teleinformatycznych negatywny wpyw

miay braki kadrowe oraz rotacja kadr wDepartamencie Informatyzacji iRejestrw Sdowych.
Wokresie objtym kontrol (22 miesice) kierowao Departamentem szeciu zastpcw dyrektora,
nieobsadzone pozostaway stanowiska dwch naczelnikw wydziaw. Wtym okresie na120
pracownikw departamentu odeszy zpracy 44 osoby (nastpne 4 nadzie 6listopada byy
wokresie wypowiedzenia), costanowio 40 % obsady etatowej, azatrudniono 22 osoby. Zdaniem
NIK skutkiem brakw kadrowych by m.in. fakt, e kady administrator systemu administruje
od2do5 systemami, costwarza ryzyko niewypenienia wymogw okrelonych w20 ust.2pkt12
rozporzdzenia KRI zobowizujcego podmiot realizujcy zadania publiczne dozarzdzania
bezpieczestwem informacji m.in. poprzez stworzenie warunkw umoliwiajcych zapewnienie
odpowiedniego poziomu bezpieczestwa wsystemach teleinformatycznych.
W MS brak byo systemu zarzdzania ryzykiem, wszczeglnoci nie dokonywano okresowych analiz
ryzyka iplanw postpowania zryzykiem, conaruszao 20 ust.2 pkt3 rozporzdzenia KRI, zgodnie
zktrym, kierownictwo podmiotu publicznego realizuje zarzdzanie bezpieczestwem informacji
poprzez zapewnienie warunkw umoliwiajcych przeprowadzenie okresowych analiz ryzyka utraty
integralnoci, dostpnoci lub poufnoci informacji oraz podejmowanie dziaa minimalizujcych
toryzyko, stosownie dowynikw przeprowadzonej analizy.
Wdroone wMS wlipcu 2015 r. zasady zarzdzania incydentami odnosiy si wycznie dozasad ich
dokumentowania, nie zawieray regulacji dot. zbierania zwizanych znimi dowodw.
Ponadto prowadzona wMS ewidencja incydentw wokresie conajmniej dolipca 2015 r.
niezapewniaa odpowiednich warunkw dla analizowania przypadkw naruszania bezpieczestwa
informacji, wcelu doskonalenia systemu zabezpiecze. Nie spenione zostay zatem wymagania
okrelone w20 ust.2 pkt13 rozporzdzenia KRI dot. zapewnienia warunkw umoliwiajcych
realizacj iegzekwowanie obowizku bezzwocznego zgaszania incydentw naruszania bezpieczestwa
informacji wokrelony iz gry ustalony sposb, umoliwiajcy szybkie podjcie dziaa korygujcych.
Dokumentacja polityki nie zawieraa regulacji odnoszcych si dozapobiegania zoliwemu
oprogramowaniu, nie zawarto takich regulacji rwnie winnych dokumentach.
Stosowane wMS zasady przetwarzania mobilnego oraz pracy naodlego nie zapewniay
warunkw penego bezpieczestwa wykonywanych czynnoci, conie speniao wymaga
okrelonych w20 ust.2 pkt8 rozporzdzenia KRI.
W regulacjach wewntrznych administratorzy systemw zobowizani byli doanalizowania logowa
pod ktem kont nieuywanych przez ponad 30 dni. Pomimo tego, conajmniej dokoca 2014 r.
nieprzeprowadzano przegldu aktualnoci kont uytkownikw.
3.3.4. Ministerstwo Skarbu Pastwa
W oparciu ostosowany wmetodyce CobiT 4.1 Model dojrzaoci, NIK ocenia poziom zarzdzania
procesem zapewnienie bezpieczestwa systemw teleinformatycznych wMSP jako
powtarzalny lecz intuicyjny.
W kontrolowanej jednostce istniaa wiadomo potrzeby zapewnienia bezpieczestwa
teleinformatycznego, jednak bya ona fragmentaryczna iograniczona. Wprawdzie rozwijano
polityk dotyczc bezpieczestwa, ale nie towarzyszyy temu adekwatne narzdzia. Chocia
systemy dostarczay informacji dotyczcych bezpieczestwa, todane tenie byy analizowane.

33

WA N I E J S Z E W Y N I K I KO N T R O L I

Bezpieczestwo IT byo postrzegane gwnie, jako przedmiot odpowiedzialnoci idomena

dziauIT, anie zadanie lece wgestii caego Ministerstwa.
W MSP nie zostaa opracowana Polityka Bezpieczestwa zgodnie z20 ust.1 i15 ust.2
rozporzdzenia KRI. Funkcjonujca wMinisterstwie Polityka nie spenia wocenie NIK wymaga
rozporzdzenia, zawieraa bowiem jedynie oglne zasady bezpieczestwa teleinformatycznego,
bez szczegowych procedur inie moga stanowi spjnego systemu ochrony informacji.
Nieuregulowano m.in. kwestii: procedury dostpu doobszarw bezpiecznych, zarzdzania
dostpem dosieci LAN, rejestrowania iwyrejestrowywania uytkownikw, rejestrowania konta
uytkowania, jak rwnie formalnie przyjtej polityki zapobiegania zoliwemu oprogramowaniu.
Podstawy formalne systemu zarzdzania bezpieczestwem informacji byy wtrakcie kontroli
opracowywane wramach budowy System Zarzdzania Bezpieczestwem Informacji, ktr zlecono
wdniu 3listopada 2013 r. zewntrznej firmie. Firma tamiaa przeprowadzi audyt bezpieczestwa
infrastruktury sieciowej iwdroy SZBI. Przeprowadzony audyt potwierdzi, e wMinisterstwie
nie funkcjonuje SZBI oraz wyda zalecenia m.in. odnonie kwerendy infrastruktury IT pod
ktem aktualnoci stosowanego oprogramowania, wdroenia polityki hase iblokowania kont
uytkownikw. Dodnia zakoczenia kontroli powysze rekomendacje byy wtrakcie realizacji.
Brak byo jednolitego zcentralizowanego rejestru incydentw, cow ocenie NIK, uniemoliwiao
rzetelne monitorowanie stanu bezpieczestwa jednostki. Ponadto nie zdefiniowano miernikw
pozwalajcych naidentyfikacj powtarzajcych si rodzajw incydentw iklasyfikacj istotnoci.
Brak jednolitej procedury reagowania naincydenty oraz jednoznacznego wskazania komrki
odpowiedzialnej zareakcj, NIK ocenia jako nierzetelne iwskazujce nanieosignicie
wymogu okrelonego w20 ust.2 pkt. 13 rozporzdzenia KRI, zgodnie zktrym zarzdzanie
bezpieczestwem informacji realizowane jest wszczeglnoci przez zapewnienie przez kierownictwo
podmiotu publicznego warunkw umoliwiajcych realizacj iegzekwowanie bezzwocznego
zgaszania incydentw naruszenia bezpieczestwa informacji wokrelony iz gry ustalony sposb,
umoliwiajcy szybkie podjcie dziaa korygujcych.
Procesy zwizane zdystrybucj oprogramowania antywirusowego, jego aktualizacj oraz
aktualizacj definicji dokonywane byy automatycznie dla stacji roboczych wramach domeny.
Dlakomputerw spoza domeny, instalacja oprogramowania wykonywana bya przez pracownikw
IT, aproces aktualizacji oprogramowania, jak idefinicji, konfigurowany by automatycznie. Wtoku
kontroli nie przekazano dokumentacji potwierdzajcej przeprowadzenie ww. weryfikacji oraz
nie wskazano, wjaki sposb zapewniono aby wszystkie komputery spoza domeny posiaday
zainstalowane oprogramowanie antywirusowe.
Prowadzona bya ewidencja aktyww wspierajcych dotyczca infrastruktury sieciowej jednake
nie przypisano im poziomw ochrony.
Zapisy wdziennikach systemu (logach) nie speniay wymaga, oktrych mowa w21 ust.2
rozporzdzenia KRI, zgodnie zktrym wdziennikach systemw odnotowuje si obligatoryjnie
dziaania uytkownikw lub obiektw systemowych polegajce nadostpie do:
1) systemu zuprawnieniami administracyjnymi,
2) konfiguracji systemu, wtym konfiguracji zabezpiecze,
3) przetwarzanych wsystemach danych podlegajcych prawnej ochronie wzakresie wymaganym
przepisami prawa.

34

WA N I E J S Z E W Y N I K I KO N T R O L I

Dzienniki systemowe prowadzone byy w sposb nierzetelny i niezgodny z 21 ust. 1

rozporzdzenia KRI, zgodnie zktrym rozliczalno wsystemach teleinformatycznych podlega
wiarygodnemu dokumentowaniu wpostaci elektronicznych zapisw wdziennikach systemw (logach).
Powysze potwierdziy nieprawidowoci wykryte wwyniku badania logw systemu przykadowo
stwierdzono ponad 1400 logowa, wktrych wmiejscu nazwy uytkownika domeny pojawiao si
puste pole.
3.3.5. Narodowy Fundusz Zdrowia
W oparciu ostosowany wmetodyce COBIT 4.1 Model dojrzaoci, NIK ocenia poziom zarzdzania
procesem zapewnienie bezpieczestwa systemw informatycznych wCentrali NFZ jako
powtarzalne lecz intuicyjne.
W kontrolowanej jednostce istniaa wiadomo potrzeby zapewnienia bezpieczestwa
teleinformatycznego, jednak bya ona fragmentaryczna iograniczona. Rozwijana bya wprawdzie
polityka dotyczca bezpieczestwa, ale nie towarzyszyy jej adekwatne narzdzia. Chocia systemy
dostarczay informacji dotyczcych bezpieczestwa, dane tenie byy analizowane.
W ocenie NIK brak jednolitego ikompleksowego systemu zarzdzania bezpieczestwem informacji
wCentrali NFZ utrudnia waciw ich ochron. Nieaktualizowanie od2010 r.28 regulacji dotyczcych
bezpieczestwa danych przetwarzanych wNFZ powodowao, e stosowane rozwizania nie
naday zazmianami wsystemie prawnym, aw konsekwencji rwnie mogy przyczynia si
doosabienia tej ochrony. Wtym kontekcie Izba pozytywnie ocenia podjte przez Fundusz
dziaania wcelu opracowania iwdroenia29 Zintegrowanego Systemu Zarzdzania czcego System
Zarzdzania Ryzykiem, System Zarzdzania Bezpieczestwem Informacji oraz System Zarzdzania
Cigoci Dziaania.
W NFZ brak byo caociowej polityki bezpieczestwa informacji. Przyjte zarzdzenie z2010 roku
wsprawie bezpieczestwa danych przetwarzanych wNFZ dotyczyo systemw przetwarzajcych
dane osobowe. Regulacje tenie byy aktualizowane, costanowio naruszenie wymogw okrelonych
w20 ust.2 pkt1 rozporzdzenia KRI. Zgodnie ztym przepisem zarzdzanie bezpieczestwem
informacji realizowane jest wszczeglnoci przez zapewnienie aktualizacji regulacji wewntrznych
wzakresie dotyczcym zmieniajcego si otoczenia. NIK, jako dziaanie nierzetelne ocenia fakt,
ewCentrali NFZ brak byo skutecznie dziaajcego systemu zarzdzania bezpieczestwem
informacji.
Przeprowadzony w2013 r. audyt bezpieczestwa systemu informacyjnego eWU wskaza,
eaplikacja tabya podatna naznane bdy bezpieczestwa oraz ujawni istnienie ryzyk wobszarze
bezpieczestwa informacji. Przeprowadzony potrzech miesicach audyt sprawdzajcy wykaza,
enie usunito 40% podatnoci a32% usunito czciowo.
W NFZ nie by prowadzony zcentralizowany rejestr incydentw, cozdaniem NIK uniemoliwiao
kierownictwu stworzenie odpowiednich warunkw domonitorowania stanu bezpieczestwa
jednostki. Procedury zawierajce definicje incydentu, szczegowe zasady zgaszania rejestrowania
ianalizowania incydentw byy wtrakcie opracowywania. Brak jednolitej procedury reagowania
naincydenty ijednoznacznego wskazania komrki odpowiedzialnej zareakcj, byo zdaniem NIK
28 Wprowadzone Zarzdzeniem Nr12/2010/POIN Prezesa NFZ zdnia 29stycznia 2010 r. wsprawie bezpieczestwa danych
przetwarzanych wNarodowym Funduszu Zdrowia.

Zgodnie
zharmonogramem projektu wdroenia ZSZ przeprowadzenie penego wdroenia ZSZ planowane byo dokoca 2016 r.
29

35

WA N I E J S Z E W Y N I K I KO N T R O L I

dziaaniem nierzetelnym oraz stanowicym naruszenie wymogu okrelonego w20 ust.2 pkt 13
rozporzdzenia KRI. Wobszarze ochrony przed zoliwym oprogramowaniem NIK nie stwierdzia
nieprawidowoci. Systemem ochrony przed zoliwym oprogramowaniem objto komputery
stacjonarne iprzenone. WNFZ nie prowadzono klasyfikacji aktyww, wzwizku zpowyszym
niemaj one przyporzdkowanych parametrw istotnoci ipoziomw ochrony.
W dziennikach systemu eWU (logach), wokresie objtym kontrol, ponad 180 razy pojawia si
uytkownik root30. Wczasie trwania kontroli wdraany by system uniemoliwiajcy korzystanie
ztego konta, ktry zapewni, e zmiany konfiguracyjne bd wykonywane wycznie przez
uytkownikw imiennych. Wocenie NIK powysza nieprawidowo wskazuje nanaruszenie
21ust.1 rozporzdzenia KRI zgodnie zktrym rozliczalno wsystemach teleinformatycznych podlega
wiarygodnemu dokumentowaniu wpostaci elektronicznych zapisw wdziennikach systemw (logach).
W zakresie zarzdzania kontami uytkownikw stwierdzono, e obowizujce wNFZ procedury
zobowizyway komrk kadrow docomiesicznego przekazywania informacji odugotrwaych
absencjach pracownikw. Jednake stwierdzono dziaania niezgodne zpowysz regulacj.
Wokresie objtym kontrol komrka kadrowa nie przekazaa 13 takich informacji. Zaniechanie
poinformowania dziau IT o zmianach kadrowych niesie ze sob ryzyko dostpu osb
nieuprawnionych dozasobw Centrali NFZ.
W regulacjach wewntrznych poza oglnymi zapisami, e wNFZ przetwarzane sdane osobowe
(w tym wraliwe) oraz inne dane prawnie chronione, wszczeglnoci: medyczne, finansowe
ikadrowe nie uregulowano zasad postpowania zdanymi innymi ni osobowe. Wpraktyce
regulacje teokrelay przede wszystkim przetwarzanie danych osobowych, nie reguloway
za szczegowo informacji chronionych rozumianych jako, informacje nie podlegajce
obligatoryjnemu obowizkowi ochrony, ale ktre powinny by chronione zewzgldu nadobrze
pojty interes NFZ, pracownikw NFZ lub podmiotw iinstytucji, zktrymi NFZ wsppracuje.
Wpowyszej dokumentacji nie dokonano klasyfikacji informacji przetwarzanych wNFZ, wtym
nie zidentyfikowano danych (nie sporzdzono ewidencji informacji idanych), ktrych ochrona nie
jest prawnie wymagana, amogyby one zosta wykorzystane przeciwko NFZ poprzez ujawnienie,
zablokowanie lub zmanipulowanie. Wbadanym okresie wNFZ formalnie nie okrelono zasad
identyfikacji ioznaczania danych oraz informacji, wtym danych wraliwych czy chronionych.
Zwyjanie uzyskanych wtrakcie kontroli wynika, e takie zasady byy wtrakcie opracowywania.
NIK ocenia jako nierzetelne nieprzypisanie informacjom odpowiedniego poziomu ochrony,
zgodnego zich wag dla Centrali NFZ.
3.3.6. Komenda Gwna Stray Granicznej
W oparciu ostosowany wmetodyce CobiT 4.1 Model dojrzaoci, NIK ocenia poziom zarzdzania
procesem zapewnienia bezpieczestwa systemw teleinformatycznych wKomendzie
Gwnej Stray Granicznej jako pocztkowy/dorany.
W jednostce tej dotychczas nie utworzono formalnych podstaw dozapewnienia bezpieczestwa
wszczeglnoci rzetelnej polityki bezpieczestwa IT. Komendant Gwny Stray Granicznej nie
wprowadzi podstawowych uregulowa dotyczcych zarzdzania procesem bezpieczestwa
pomimo, e opracowanie takich procedur zalecali audytorzy wewntrzni KGSG ju wpadzierniku

36

30 Tradycyjna nazwa uniksowego konta, ktre ma pen kontrol nad systemem.

WA N I E J S Z E W Y N I K I KO N T R O L I

2013 r. NIK negatywnie ocenia dwuletni zwok wrealizacji zalece ww. audytu. WKGSG
bezpieczestwo IT nie podlegao pomiarowi ze wzgldu na nieokrelenie miernikw
bezpieczestwa informacji izasad jego monitorowania.
Zapewnienie bezpieczestwa oparte byo gwnie napowszechnie obowizujcych przepisach
dotyczcych ochrony danych osobowych iinformacji niejawnych. KGSG dopiero wII kwartale 2015 r.
realnie rozpocza budow formalnych podstaw systemu zapewnienia bezpieczestwa informacji.
Powysze przedsiwzicie realizowane byo wewsppracy zNASK (Naukow iAkademick Sieci
Komputerow). Zdaniem NIK wdroenie tego systemu wymagao przeprowadzania rzetelnej
analizy ryzyka utraty informacji (po uprzednim wprowadzeniu formalnych podstaw szacowania
ipostpowania zryzykiem) oraz okrelenia iwdroenia systemu monitorowania procesw
zwizanych zbezpieczestwem informacji.
W KGSG nie dokonano szczegowej analizy przetwarzanych informacji wraz zprzypisaniem im
istotnoci dla funkcjonowania SG. Najwaniejsze dla SG informacje byy chronione napodstawie
ustawy oochronie informacji niejawnych.
Komendant Gwny Stray Granicznej nie opracowa inie wdroy metodologii procesu szacowania
ryzyka bezpieczestwa informacji oraz postpowania ztym ryzykiem, wtym systematycznego jego
monitorowania ianalizy.
Ustalono, e incydenty bezpieczestwa dotyczce infrastruktury technicznej byy gromadzone
ianalizowane. Jednake wKGSG nie zbudowano formalnych podstaw systemu zbierania ianalizy
incydentw bezpieczestwa, costanowio naruszenie 20 ust.2 pkt13 rozporzdzenia KRI, zgodnie
zktrym kierownictwo zapewnia bezzwoczne zgaszanie incydentw naruszenia bezpieczestwa
informacji wokrelony iz gry ustalony sposb, umoliwiajcy szybkie podjcie dziaa korygujcych.
3.3.7. Ministerstwo Spraw Wewntrznych
W oparciu ostosowany wmetodyce COBIT 4.1 Model dojrzaoci, NIK ocenia poziom zarzdzania
bezpieczestwem systemw teleinformatycznych jako pocztkowy/dorany.
MSW dostrzegao potrzeb zapewnienia bezpieczestwa IT, jednake byo ono zapewniane
nadoranych zasadach, zaleao gwnie odpojedynczych osb inie podlegao pomiarowi.
W MSW nie wprowadzono formalnych podstaw doSystemu Zarzdzania Bezpieczestwem
Informacji, pomimo, e istniaa wtej jednostce wiadomo potrzeby zapewnienia bezpieczestwa
teleinformatycznego. W MSW bezpieczestwo informacji nie podlegao pomiarowi.
Nieuszeregowano hierarchicznych celw wzakresie bezpieczestwa, pozwalajcych naosignicie
wokrelonym czasie oczekiwanych poziomw bezpieczestwa informacji, nie przypisano im
niezbdnych zasobw, nie opracowano rwnie miernikw. Nie powoano waciwej komrki
odpowiedzialnej zazarzdzanie bezpieczestwem systemw teleinformatycznych, pomimo
ewyniki przeprowadzonych audytw rekomendoway powoanie jednej komrki organizacyjnej
wtym zakresie. Zagadnienia zawizane zbezpieczestwem IT byy rozproszone pomidzy kilka
komrek, aw trakcie kontroli stwierdzono spory kompetencyjne pomidzy tymi komrkami.
W MSW nie przeprowadzono procesu identyfikacji zasobw istotnych dla realizowanych zada,
nieprzypisano im istotnoci iniezbdnych poziomw ochrony.
W MSW nie okrelono procedur reagowania naincydenty, anawet nie wprowadzono jednoznacznej
definicji incydentu bezpieczestwa. Nie okrelono rwnie komrki, ktra miaaby reagowa

37

WA N I E J S Z E W Y N I K I KO N T R O L I

naincydenty, nie prowadzono rwnie rejestru incydentw. Zarzdzanie problemami odbywao

si nazasadach doranych, czego przykadem moe by fakt, e z55 incydentw dotyczcych
MSW zarejestrowanych przez zesp CERT.GOV.PL w8 przypadkach Ministerstwo nie byo wstanie
zidentyfikowa adnych szczegw incydentu ipoda sposobu reakcji. Powysze, wocenie NIK,
stanowio naruszenie wymogu okrelonego w20 ust.1 rozporzdzenia KRI, wedug ktrego
podmiot realizujcy zadania publiczne opracowuje iustanawia, utrzymuje idoskonali system
zarzdzania bezpieczestwem informacji zapewniajcy poufno, dostpno iintegralno informacji.
Polityka zapobiegania zoliwemu oprogramowaniu nie zostaa wsposb formalny okrelona,
co w ocenie Izby przyczynio si do wystpienia przypadkw braku oprogramowania
antywirusowego na stacjach roboczych pracownikw MSW lub nieaktualno takiego
oprogramowania. Logi zprogramw antywirusowych byy przegldane, jednake obowizek taki
nie zosta sformalizowany.
Brak byo wMSW ewidencji aktyww wspierajcych, dotyczcych infrastruktury sieciowej.
NIK ocenia poziom zarzdzania procesem bezpieczestwa teleinformatycznego wybranego
systemu Centralnej Ewidencji Wydanych iUniewanionych Dokumentw Paszportowych jako
nieistniejcy, tj.organizacja nie dostrzegaa potrzeby zapewnienia bezpieczestwa, zakadajc e
uzyskanie oczekiwanego poziomu bezpieczestwa moliwe bdzie dziki cakowitej separacji sieci
systemu odsieci publicznej. Tymczasem ABW stwierdzia przypadek korzystania przez uytkownika
CEWiUDP zestacji poczonej zsieci publiczn. MSW nie miao moliwoci sprawdzenia tej
separacji, m.in.nie posiadao moliwoci automatycznego wykrywania przypadkw braku separacji
tych sieci. Nie sporzdzano zapasowej, drugiej kopii danych CEWIUDP, atamy zkopiami danych
nie byy zabezpieczone kryptograficznie. Naruszono rwnie przepis 21 ust.4 rozporzdzenia KRI,
zgodnie zktrym informacje wdziennikach systemw powinny by przechowywane przez minimum
2 lata, gdy tymczasem byy przechowywane przez 30 dni.

38

I N F O R M A C J E D O D AT K O W E

4.1 Postpowanie kontrolne idziaania podjte pozakoczeniu kontroli

Pomimo e nie istniej rozwizania gwarantujce stabiln istuprocentow skuteczno ochrony
informacji, jednake zapewnienie bezpieczestwa informacji nazakadanym poziomie jest
moliwe tylko poprzez systemow, cig realizacj odpowiednich procesw.
Zdaniem NIK powinno si toodbywa wedug poniszego schematu przedstawiajcego gwne
elementy systemu bezpieczestwa informacji31.

rdo: Opracowanie wasne NIK.

Ograniczone zasoby finansowe, kadrowe iczasowe, ktrymi dysponuj podmioty publiczne

nie pozwalaj nauzyskanie idealnego stanu, wktrym wszystkie teelementy uzyskayby swj
najwyszy poziom. Wedug NIK wbadanym obszarze konieczna jest wic ciga analiza potrzeb
izagroe; metodyczne podejmowanie decyzji owyborze najwaniejszych wdanym
momencie celw; odpowiednie planowanie pozwalajce nasukcesywne denie doich
osigniecia, refleksja nad uzyskanymi efektami ipowrt dorozpoczynajcej kolejny
cykl analizy. Taki schemat postpowania daje szanse zarwno optymalnego dysponowania
ograniczonymi zasobami, jak rwnie elastyczne reagowanie nazmieniajce si warunki.
W ramach przedmiotowej kontroli NIK obja kontrol wszystkie elementy systemu bezpieczestwa
informacji wedug schematu: planuj, wykonaj, sprawdzaj, doskonal zgodnie zpowyszym
schematem.
Ponisze diagramy przedstawiaj gwne obszary objte kontrol wramach poszczeglnych
elementw systemu wraz zpowizaniami midzy nimi.

31 Cykl Deminga (okrelany te jako cykl PDCA zang. Plan-Do-Check-Act lub cykl P-D-S-A zang. Plan-Do-Study-Act lub koo

Deminga) schemat ilustrujcy podstawow zasad cigego ulepszania (cigego doskonalenia, Kaizen), stworzon przez
Williama Edwardsa Deminga, amerykaskiego specjalist statystyka pracujcego wJaponii.

39

I N F O R M A C J E D O D AT K O W E

Diagram nr1

Diagram nr2

40

I N F O R M A C J E D O D AT K O W E

Diagram nr3

Diagram nr4

rdo: Opracowanie wasne NIK.

Postpowania kontrolne zostay przeprowadzone wokresie od1czerwca 2015 r. do 28grudnia 2015 r.

W procesie opracowywania programu kontroli (zwaszcza wczci dot. metodyki dziaa), formuowania
wwystpieniach pokontrolnych ocen zapomoc metodyki COBIT oraz opracowania Informacji
owynikach kontroli NIK korzystaa zewsparcia eksperta zdziedziny objtej kontrol.
Dziaajc napodstawie art.29 ust.1 pkt2 lit. f ustawy oNIK, kontrolerzy wtrakcie kontroli wMinisterstwie
Spraw Wewntrznych uzyskali dodatkowe informacje odSzefa Agencji Bezpieczestwa Wewntrznego
wsprawie informacji oincydentach zwizanych znaruszeniem bezpieczestwa informacyjnego
wkontrolowanych instytucjach, pozyskanych przez Rzdowy Zesp Reagowania naIncydenty
Komputerowe CERT.gov.pl. Zesp przekaza list 267 incydentw bezpieczestwa dotyczcych
jednostek kontrolowanych zarejestrowanych wokresie kontroli.

41

I N F O R M A C J E D O D AT K O W E

W 6 wystpieniach pokontrolnych skierowanych dokierownikw kontrolowanych jednostek

sformuowano cznie 19 wnioskw pokontrolnych, zmierzajcych dowyeliminowania stwierdzonych
nieprawidowoci, ztego 11 jest wtrakcie realizacji, a8 nie zostao zrealizowanych.
Do Ministra Sprawiedliwoci NIK wniosa o:
Uporzdkowanie iuproszczenie struktury zarzdzania bezpieczestwem informacji
wMinisterstwie Sprawiedliwoci, napoziomie organizacyjnym oraz dokumentacji
polityk bezpieczestwa, wtym rozwaenie powoania Penomocnika odpowiedzialnego
zanadzorowanie bezpieczestwa informacji, wyposaonego wzasoby finansowe iosobowe
grup ludzi ornych kompetencjach izakresie wiedzy zobszaru bezpieczestwa
informacji.
Dokoczenie, zapocztkowanego w2015 r., procesu wiadomego budowania systemu
zarzdzania bezpieczestwem informacji opartego naidentyfikacji aktyww, identyfikacji
zagroe dla poszczeglnych aktyww oraz szacowaniu ryzyka tak, aby przygotowana
dokumentacja SZBI wpeni odpowiadaa specyfice Ministerstwa Sprawiedliwoci, dziau IT
iinnych komrek organizacyjnych.
Proceduralne ifaktyczne rozdzielenie procesu zgaszania, ewidencjonowania ireagowania
naincydenty zwizane zbezpieczestwem informacji odzdarze dotyczcych pomocy
uytkownikom wobsudze stacji roboczych iinnych urzdze IT oraz wykorzystanie analizy
tych incydentw dozarzdzania bezpieczestwem informacji wskali danego systemu
iwskali caej instytucji.
Zoptymalizowanie korzystania zustale izalece audytw wsferze bezpieczestwa
teleinformatycznego, wcelu uniknicia zastpowania audytami (w szczeglnoci
zewntrznymi) rzeczywistych dziaa podejmowanych narzecz doskonalenia systemu
zarzdzania bezpieczestwem informacji.
Do Ministra Spraw Wewntrznych NIK wniosa o:
Wprowadzenie zmian worganizacji MSW, wcelu powierzenia caoci zada zzakresu
bezpieczestwa IT iodpowiedzialnoci zaich realizowanie jednej komrce;
Opracowanie iwdroenie, zgodnego zpowszechnie przyjtymi standardami, Systemu
Zarzdzania Bezpieczestwem Informacji.
Do Ministra Skarbu Pastwa NIK wniosa o:
Kontynuowanie dziaa zwizanych z wdroeniem w MSP Systemu Zarzdzania
Bezpieczestwem Informacji, wszczeglnoci wzakresie przyjcia kompletnej ispjnej
polityki bezpieczestwa systemw informatycznych.
Zapewnienie penej rozliczalnoci Zintegrowanego Systemu Zarzdzania.
Prowadzenie jednego kompletnego rejestru incydentw.
Do Prezesa KRUS NIK wniosa o:
Przeprowadzenie kwerendy obowizujcych procedur zmierzajcej dodalszego ich
udoskonalenia, zwikszenia czytelnoci, integralnoci ikompletnoci.
Podjcie czynnoci zmierzajcych dowzmocnienia nadzoru nad realizacj umw wmodelu
outsourcingu wpowizaniu zrzeteln analiz ryzyka wtym obszarze.
Wypracowanie rzetelnego narzdzia monitorowania bezpieczestwa informacji poprzez
uszczelnienie iujednolicenie systemu gromadzenia informacji oincydentach bezpieczestwa
przy jednoczesnej modyfikacji miernika procesu zarzdzania bezpieczestwem informacji.

42

I N F O R M A C J E D O D AT K O W E

Podjcie skutecznych dziaa narzecz systematycznego irzetelnego przeprowadzania

przegldu adekwatnoci uprawnie.
Kontynuowanie dziaa zmierzajcych dozbudowania penego wykazu aktyww
wspierajcych.

Do Prezesa Narodowego Funduszu Zdrowia NIK wniosa o:

Kontynuowanie dziaa zwizanych zwdroeniem wNFZ Zintegrowanego Systemu
Zarzdzania, w szczeglnoci w zakresie przyjcia kompletnej i spjnej polityki
bezpieczestwa systemw informatycznych.
Przekazywanie informacji oabsencjach przekraczajcych 30 dni zgodnie zprzyjtymi
uregulowaniami wewntrznymi.
Zapewnienie penej rozliczalnoci systemw teleinformatycznych poprzez wyeliminowanie
przypadkw stosowania typowych lub domylnych loginw administratora np.root.
Do Komendanta Gwnego Stray Granicznej NIK wniosa o:
Opracowanie iwdroenie, zgodnego zpowszechnie przyjtymi standardami, Systemu
Zarzdzania Bezpieczestwem Informacji uwzgldniajcego wprowadzenie miernikw
procesu zarzdzania bezpieczestwem.
Opracowanie iwdroenie procesu szacowania ryzyka wbezpieczestwie informacji oraz
procesu postpowania ztym ryzykiem.
Zastrzeenia dowystpienia pokontrolnego NIK zgosi tylko Minister Sprawiedliwoci.
Kolegium Najwyszej Izby Kontroli wdniu 17lutego 2016 r. oddalio tezastrzeenia wcaoci.

43

ZACZNIK NR 1
Wykaz osb zajmujcych wokresie objtym kontrol stanowiska kierownicze
wbadanych jednostkach
Lp.

Osoby kierujce kontrolowan dziaalnoci

Marek Biernacki

1.

2.

Minister Spraw
Wewntrznych

3.

Minister Skarbu
Pastwa

4.

Prezes KRUS

5.

6.

44

Minister
Sprawiedliwoci

Szef NFZ

Komendant Gwny SG

Okres sprawowania funkcji

6maja 2013 r.

22wrzenia 2014 r.

Cezary Grabarczyk

22wrzenia 2014 r.

30kwietnia 2015 r.

Ewa Kopacz

30kwietnia 2015 r.

4maja 2015 r.

Borys Budka

4maja 2015 r.

16listopada 2015 r

Baromiej Sienkiewicz

25lutego 2013 r.

1stycznia 2014 r.

Teresa Piotrowska

1stycznia 2014 r.

16listopada 2015 r.

Andrzej Czerwiski

16czerwca 2015 r.

16listopada 2015 r.

Wodzimierz Karpiski

24kwietnia 2013 r.

16czerwca 2015 r.

Artur Brzska

5stycznia 2012 r.

8grudnia 2015 r.

Marcin Pakulski

23grudnia 2013 r.

28lutego 2014 r.

Wiesawa Anna Kos

1marca 2014 r.

2czerwca 2014 r.

Tadeusz Jdrzejczyk

3czerwca 2014 r.

do chwili obecnej

11kwietnia 2012 r.

31grudnia 2015 r.

gen. dyw. SG Dominik

Tracz

ZACZNIK NR 2
Wykaz aktw prawnych dotyczcych kontrolowanej dziaalnoci
Ustawa zdnia 17lutego 2005 r. oinformatyzacji dziaalnoci podmiotw realizujcych zadania
publiczne (Dz.U. z2014 r. poz.1114).
Ustawa zdnia 18wrzenia 2001 r. opodpisie elektronicznym (Dz.U. z2013 r. poz.262, zezm.).
Ustawa zdnia 29sierpnia 1997 r. oochronie danych osobowych (Dz.U. z2015 r. poz.2135, zezm.).
Ustawa zdnia 20grudnia 1990 r. oubezpieczeniu spoecznym rolnikw ( Dz.U. z2016 r. poz.277).
Rozporzdzenie Rady Ministrw zdnia 12kwietnia 2012 r. wsprawie Krajowych Ram
Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych iwymiany informacji
wpostaci elektronicznej oraz minimalnych wymaga dla systemw teleinformatycznych (Dz.U.
z2016 r. poz.113); szczeglnie 20, 21 i23.
Rozporzdzenie Rady Ministrw zdnia 7sierpnia 2002 r. wsprawie okrelenia warunkw
technicznych iorganizacyjnych dla kwalifikowanych podmiotw wiadczcych usugi
certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatw wydawanych przez
tepodmioty oraz warunkw technicznych dla bezpiecznych urzdze sucych doskadania
iweryfikacji podpisu elektronicznego (Dz.U. Nr128, poz.1094); szczeglnie rozdzia 2.
Rozporzdzenie Ministra Spraw Wewntrznych iAdministracji zdnia 29kwietnia 2004 r.
wsprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych
iorganizacyjnych, jakim powinny odpowiada urzdzenia isystemy informatyczne suce
doprzetwarzania danych osobowych (Dz.U. Nr100, poz.1024); szczeglnie 3, 4, 5, 6, 7
izacznik.

45

ZACZNIK NR 3
Wykaz organw, ktrym przekazano informacj owynikach kontroli
1. Prezydent Rzeczypospolitej Polskiej
2. Marszaek Sejmu Rzeczypospolitej Polskiej
3. Marszaek Senatu Rzeczypospolitej Polskiej
4. Prezes Rady Ministrw Rzeczypospolitej Polskiej
5. Prezes Trybunau Konstytucyjnego
6. Rzecznik Praw Obywatelskich
7. Minister Cyfryzacji
8. Minister Spraw Wewntrznych iAdministracji
9. Minister Skarbu Pastwa
10. Minister Sprawiedliwoci
11. Minister Koordynator Sub Specjalnych
12. Prezes Narodowego Funduszu Zdrowia
13. Prezes Kasy Rolniczego Ubezpieczenia Spoecznego
14. Komendant Gwny Stray Granicznej
15. Szef Agencji Bezpieczestwa Wewntrznego
16. Dyrektor Rzdowego Centrum Bezpieczestwa
17. Sejmowa Komisja Cyfryzacji, Innowacyjnoci iNowoczesnych Technologii
18. Sejmowa Komisja Administracji iSpraw Wewntrznych
19. Sejmowa Komisja doSpraw Kontroli Pastwowej
20. Senacka Komisja Praw Czowieka, Praworzdnoci iPetycji
21. Senacka Komisja Samorzdu Terytorialnego iAdministracji Pastwowej

46