Professional Documents
Culture Documents
2015
Nr ewid. 42/2016/P/15/042/KPB
ZAPEWNIENIE BEZPIECZESTWA
DZIAANIA SYSTEMW INFORMATYCZNYCH
WYKORZYSTYWANYCH DO REALIZACJI
ZADA PUBLICZNYCH
DEPARTAMENT PORZDKU
I BEZPIECZESTWA WEWNTRZNEGO
MARZEC
01
MISJ
WIZJ
Zatwierdzam:
Krzysztof Kwiatkowski
Spis treci
WPROWADZENIE6
1. ZAOENIA KONTROLI7
2. PODSUMOWANIE WYNIKW KONTROLI9
4. INFORMACJE DODATKOWE 39
5. ZACZNIKI 44
Zdjcie na okadce:
tashatuvango Fotolia.com
Analiza ryzyka
Autentyczno
Bezpieczestwo
informacji
COBIT
Cyberprzestrze
Dostpno
Incydent zwizany
zbezpieczestwem
informacji
(incydent
bezpieczestwa)
Integralno
IT
Kontrola dostpu
KRI
Kryteria ryzyka
Model dojrzaoci
Ocena ryzyka
Polityka
Poufno
Poziom ryzyka
Przegld
Rozporzdzenie KRI
Ryzyko
SZBI
Szacowanie ryzyka
Uwierzytelnienie
Waciciel ryzyka
Zabezpieczenie
Zdarzenie zwizane
zbezpieczestwem
informacji
WPROWADZENIE
Sprawna realizacja coraz wikszej liczby zada postawionych przed administracj pastwa zwizana
jest z koniecznoci wykorzystania nowoczesnych technologii. Instytucje realizujce zadania
publiczne aktualnie korzystaj zszeregu rnych, czsto bardzo skomplikowanych, systemw
teleinformatycznych. Coraz wicej istotnych informacji dotyczcych funkcjonowania pastwa
iycia jego obywateli jest gromadzonych nanonikach cyfrowych iprzetwarzanych wsystemach
administrowanych przez organy pastwowe. Dane tena szerok skal szbierane, przechowywane,
modyfikowane, przesyane iusuwane. Zapewnienie im odpowiedniego poziomu bezpieczestwa,
wtym zabezpieczenie przed kradzie, utrat, nieuprawnion modyfikacj, wymaga podjcia
wielokierunkowych dziaa, take odpowiedniego sprztu, oprogramowania, rodkw cznoci,
personelu oraz organizacji.
Wrd przekazywanych przez media informacji wskazuje si coraz czciej nanowe zagroenia
dotyczce nie tylko komputerw prywatnych, ale rwnie bdcych wdyspozycji instytucji
publicznych, ktre wostatnim okresie niejednokrotnie poniosy wymierne straty zwizane
zprzestpstwami dokonanymi zapomoc narzdzi imetod informatycznych.
Przeprowadzona w2015 r. przez NIK kontrola pt. Realizacja przez podmioty pastwowe zada
wzakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej wykazaa, e administracja pastwowa
nie podja dotychczas dziaa, majcych nacelu zapewnienie bezpieczestwa teleinformatycznego
Polski. Stwierdzono, e dziaania podmiotw publicznych zwizane zochron cyberprzestrzeni byy
prowadzone wsposb rozproszony ibez wizji systemowej. Kierownictwo najwaniejszych instytucji
publicznych nie byo wiadome niebezpieczestw zwizanych zfunkcjonowaniem cyberprzestrzeni
oraz wynikajcych ztego faktu nowych zada administracji publicznej. Wrezultacie stwierdzono
brak spjnych isystemowych dziaa majcych nacelu monitorowanie, przeciwdziaanie
zagroeniom wystpujcym wcyberprzestrzeni RP oraz minimalizowanie skutkw ewentualnych
incydentw. Spowodowane tobyo brakiem:
narodowej strategii ochrony cyberprzestrzeni, stanowicej podstaw dla dziaa
podnoszcych bezpieczestwo teleinformatyczne;
struktury iram prawnych krajowego systemu ochrony cyberprzestrzeni, definicji obowizkw
iuprawnie jego uczestnikw oraz przydzielenia zasobw niezbdnych doskutecznej
realizacji zada;
procedur reagowania wsytuacjach kryzysowych zwizanych zcyberprzestrzeni.
Powysze, alarmujce ustalenia, odnoszce si dopoziomu strategicznego, wywoay pytania
natemat tego jak wsytuacji braku centralnych rozwiza zapewniane swarunki bezpieczestwa
konkretnych, istotnych dla funkcjonowania pastwa systemw informatycznych.
W zwizku zpowyszym, wramach niniejszej kontroli NIK podja prb szczegowego zbadania
czy instytucje administrujce systemami informatycznymi sucymi dorealizacji istotnych zada
publicznych zapewniaj warunki dla bezpiecznego ich dziaania. Istotnym byo rwnie zbadanie,
wjakim stopniu organy pastwa zabezpieczaj dane, ktrymi administruj.
ZAOENIA KONTROLI
Cele czstkowe
Cele czstkowe zostay podzielone nadwa obszary poddane ocenie, wramach ktrych dono
douzyskania odpowiedzi napytania szczegowe.
1) W obszarze wspierania bezpieczestwa IT napoziomie caej organizacji badano czy:
prowadzone jest zarzdzanie bezpieczestwem IT,
wdroono plany zapewnienia bezpieczestwa IT,
testuje si, nadzoruje imonitoruje bezpieczestwo IT,
zdefiniowano incydenty zwizane zbezpieczestwem IT,
zarzdza si kluczami kryptograficznymi,
wdroono ochron przed zoliwym oprogramowaniem, jego wykrywanie idystrybucj
poprawek,
zapewniono bezpieczestwo sieciowe.
2) W obszarze wspierania bezpieczestwa napoziomie wybranego systemu badano czy:
zarzdza si tosamociami ikontami uytkownikw,
chroni si technologie zabezpiecze iwraliwe dane.
ZAOENIA KONTROLI
Badania kontrolne objy swym zakresem gwne elementy systemu bezpieczestwa informacji,
tj.obszary zesfery: planuj, wykonaj, sprawdzaj, doskonal5 (obszary te, wraz zpowizaniami midzy
nimi, przedstawiaj diagramy zawarte nastr. 3941 Informacji).
Ministerstwo
Skarbu Pastwa
(MSP)
Zintegrowany System
Informatyczny (ZSI)
Ministerstwo Spraw
Wewntrznych
Centralna ewidencja
wydanych iuniewanionych
dokumentw paszportowych
(CEWiUDP)
Ministerstwo
Sprawiedliwoci
Komenda Gwna
Stray Granicznej
Narodowy Fundusz
Zdrowia
Elektroniczna
Weryfikacja Uprawnie
wiadczeniobiorcw (eWU)
Kasa Rolniczego
Ubezpieczenia
Rolniczego
FARMER
5 Taki, znany model Planuj Wykonuj Sprawdzaj Dziaaj (PDCA) stosuje Norma PN-ISO/IEC 27001. Jest on stosowany docaej
struktury procesw SZBI. Proces wdraania SZBI zosta wtaki sposb zdefiniowany.
Taostatnia
jednostka posiada aktualny certyfikat ISO wzakresie zapewnienia bezpieczestwa informacji.
6
Celem podmiotw publicznych powinno by natomiast denie dominimalizacji ryzyka utraty danych lub zakcenia
funkcjonowania systemw IT dopoziomu akceptowalnego, ktry topoziom powinien by indywidualnie okrelany dla
poszczeglnych systemw.
P O D S U M O WA N I E W Y N I K W KO N T R O L I
rdo: Fotolia.com.
8 Rozporzdzenie Rady Ministrw zdnia 12kwietnia 2012 r. wsprawie Krajowych Ram Interoperacyjnoci minimalnych wymaga dla
10
rejestrw publicznych iwymiany informacji wpostaci elektronicznej oraz minimalnych wymaga dla systemw teleinformatycznych
(Dz.U. z2016 r. poz.113).
Kwestie
tezostay szczegowo omwione wpkt3.1.2 Organizacja bezpieczestwa informacji, str. 16 in.
9
P O D S U M O WA N I E W Y N I K W KO N T R O L I
rdo: Fotolia.com.
11
P O D S U M O WA N I E W Y N I K W KO N T R O L I
rdo: Fotolia.com.
Zdaniem NIK tewycinkowe dziaania nie mogy zastpi odpowiednio przygotowanego procesu
szacowania ryzyka przeprowadzonego wodniesieniu dowszystkich posiadanych iprzetwarzanych
informacji, zuwzgldnieniem realizowanych zada ispecyfiki instytucji. Rzetelne przeprowadzenie
procesu szacowania ryzyka powinno by poprzedzone m.in. doborem metodyki prac, zidentyfikowaniem
10 Wedug ustale kontroli minimalny zesp zajmujcy si nadzorem nad realizacj umowy przez wykonawc powinien liczy
12
3 osoby, gdy tymczasem czynnoci wykonywa jeden pracownik, ktremu powierzono rwnie inne zadania.
Strategiczny
dokument przyjty napodstawie uchway Rady Ministrw zdnia 25czerwca 2013 r., ktrego celem jest osignicie
11
akceptowalnego poziomu bezpieczestwa cyberprzestrzeni Pastwa.
P O D S U M O WA N I E W Y N I K W KO N T R O L I
aktyww iokreleniem ich wartoci. Przygotowanie tych danych wejciowych ma wtym kontekcie
zasadnicze znaczenie dla identyfikowania obszarw zjednej strony najcenniejszych dla jednostki,
az drugiej strony najbardziej zagroonych. Wsytuacji ograniczonych zasobw przeznaczanych
nabezpieczestwo systemw IT szacowanie ryzyka oraz kosztw niezbdnych celem jego ograniczenia
powinno by podstawowym zadaniem osb odpowiedzialnych zaich bezpieczestwo.
Braki wpowyszym zakresie, stanowicym dane wejciowe dobudowy systemu bezpieczestwa
informacji, wskad ktrych wchodz wykazy aktyww oraz wyniki szacowania ryzyka powodowao,
e rodki wydawane nabezpieczestwo informacji przeznaczane byy narealizacj
poszczeglnych zada wsposb intuicyjny.
Zabezpieczenie informacji majcych podstawowe znaczenie dla kontrolowanych jednostek
Istniaa dua dysproporcja pomidzy dziaaniami podejmowanymi dla ochrony
poszczeglnych grup informacji, tj.informacji objtych ustawow ochron (niejawnych
i danych osobowych) oraz innych informacji, ktrych ochrona nie zostaa wprost
usankcjonowana, ale ktre stanowi du warto dla poszczeglnych jednostek, czasem
bdc nawet podstaw ich funkcjonowania. Zdaniem NIK ten stan moe oznacza, e:
uzyskanie odpowiedniego poziomu ochrony informacji nastpuje wkonsekwencji
funkcjonowania konkretnych (dotyczcych wtym przypadku informacji niejawnych
lub danych osobowych) przepisw prawa, ktre wszczegowy sposb okrelaj
metody zapewnienia bezpieczestwa, procedury postpowania, wymagania dla sprztu
iuytkownikw, wskazuj organy uprawnione dokontroli oraz, coistotne, penalizuj
ewentualne bdy, pomyki inaruszenia;
w jednostkach kontrolowanych brak byo wiadomoci, e oprcz informacji, ktrych
szczegowy wymg ochrony zapisany jest wprzepisach prawa istniej take inne
informacje, rwnie wane, oktrych ochron kada jednostka powinna zadba samodzielnie.
W porwnaniu donormatywnie okrelonych wymogw dla ochrony informacji niejawnych
idanych osobowych, zidentyfikowanie wszelkich innych, istotnych informacji oraz wybr metod ich
chronienia jest praktycznie pozostawiony wgestii ich posiadacza. Prowadzi todo sytuacji, wktrych
instytucje, poprzeanalizowaniu aktualnie funkcjonujcych przepisw nie widz koniecznoci
podejmowania innych dziaa zwizanych zbezpieczestwem informacji, ni zapisanych
wustawie oochronie informacji niejawnych oraz ustawie oochronie danych osobowych.
Zdaniem NIK stwierdzona wtrakcie kontroli praktyka ograniczania ochrony dojedynie niektrych
istotnych informacji moe mie powane konsekwencje dla waciwego szacowania ryzyka,
dzielenia zasobw, oraz zapewnienia cigoci dziaania instytucji majcych istotne znaczenie dla
funkcjonowania pastwa.
rdo: Fotolia.com.
13
P O D S U M O WA N I E W Y N I K W KO N T R O L I
rdo: Fotolia.com.
Audyty bezpieczestwa
Kontrola wykazaa pozytywny wpyw audytw zwizanych zbezpieczestwem informacji
wykonywanych doranie, zinicjatywy wasnej lub corocznie, wzwizku zrealizacj norm
rozporzdzenia KRI. Raporty ztych audytw stanowiy wpraktyce dla kierownictw kontrolowanych
jednostek jedyne istotne rdo informacji orealnym stanie bezpieczestwa, rnych
aspektach jego utrzymania oraz dziaaniach niezbdnych do przeprowadzenia.
Ustalony wkilku jednostkach stan dynamicznego wzrostu zainteresowania ich kierownictw
jakoci wykorzystywanych polityk bezpieczestwa i towarzyszcych im dokumentw,
wdraaniem Systemw Zapewnienia Bezpieczestwa Informacji oraz modyfikowaniem struktur
odpowiedzialnych zabezpieczestwo, wynika bezporednio zotrzymanych raportw, m.in.
obowizkowych audytw wynikajcych zrealizacji rozporzdzenia KRI.
14
P O D S U M O WA N I E W Y N I K W KO N T R O L I
rdo: Fotolia.com.
13 Wyrok zdnia 9kwietnia 2015 r. (sygn. akt K 14/13(ZU OTK nr4A/2015, poz.45).
15
P O D S U M O WA N I E W Y N I K W KO N T R O L I
16
rdo: Fotolia.com
P O D S U M O WA N I E W Y N I K W KO N T R O L I
rdo: Fotolia.com.
14 PN-ISO/IEC 27001:2007.
17
18
WA N I E J S Z E W Y N I K I KO N T R O L I
Zgodnie zart.2 ust 1 ustawy oinformatyzacji jej zapisy maj zastosowanie dopodmiotw
realizujcych zadania publiczne okrelone przez ustawy m.in. doorganw administracji rzdowej,
Kasy Rolniczego Ubezpieczenia Spoecznego, Zakadu Ubezpiecze Spoecznych czy Narodowego
Funduszu Zdrowia.
Art.18 ww. ustawy zawiera delegacj ustawow dla Rady Ministrw dookrelenia m.in. Krajowych
Ram Interoperacyjnoci obejmujcych zagadnienia interoperacyjnoci 15, czyli wspdziaania
iwymiany danych, rnych rozwiza informatycznych oraz baz danych.
Realizujc t delegacj Rada Ministrw wydaa rozporzdzenie zdnia 12kwietnia 2012 r.
wsprawie Krajowych Ram Interoperacyjnoci minimalnych wymaga dla rejestrw publicznych
iwymiany informacji wpostaci elektronicznej oraz minimalnych wymaga dla systemw
teleinformatycznych (rozporzdzenie KRI).
W myl 15 ust.1 ww. rozporzdzenia, systemy teleinformatyczne uywane przez podmioty
realizujce zadania publiczne projektuje si, wdraa oraz eksploatuje zuwzgldnieniem ich
funkcjonalnoci, niezawodnoci, uywalnoci, wydajnoci, przenoszalnoci ipielgnowalnoci, przy
zastosowaniu norm oraz uznanych wobrocie profesjonalnym standardw imetodyk.
Podmiot realizujcy zadania publiczne opracowuje iustanawia, wdraa ieksploatuje, monitoruje
iprzeglda oraz utrzymuje idoskonali system zarzdzania bezpieczestwem informacji
zapewniajcy poufno, dostpno iintegralno informacji zuwzgldnieniem takich atrybutw,
jak autentyczno, rozliczalno, niezaprzeczalno iniezawodno (20 ust.1 rozporzdzenia KRI).
Zarzdzanie bezpieczestwem informacji realizowane jest wszczeglnoci poprzez zapewnienie
przez kierownictwo podmiotu publicznego warunkw umoliwiajcych realizacj iegzekwowanie
dziaa wymienionych w20 ust.2 rozporzdzenia KRI, wtym m.in.:
zapewnienia aktualizacji regulacji wewntrznych wzakresie dotyczcym zmieniajcego si
otoczenia (pkt1);
utrzymywania aktualnoci inwentaryzacji sprztu ioprogramowania sucego
doprzetwarzania informacji obejmujcej ich rodzaj ikonfiguracj (pkt2);
przeprowadzania okresowych analiz ryzyka utraty integralnoci, dostpnoci lub poufnoci
informacji oraz podejmowania dziaa minimalizujcych toryzyko, stosownie dowynikw
przeprowadzonej analizy (pkt3);
podejmowania dziaa zapewniajcych, e osoby zaangaowane wproces przetwarzania
informacji posiadaj stosowne uprawnienia iuczestnicz wtym procesie wstopniu
adekwatnym dorealizowanych przez nie zada oraz obowizkw majcych nacelu
zapewnienie bezpieczestwa informacji (pkt4);
bezzwocznej zmiany uprawnie wprzypadku zmiany zada (pkt5);
zapewnienia szkolenia osb zaangaowanych wproces przetwarzania informacji (pkt6);
ustanowienia podstawowych zasad gwarantujcych bezpieczn prac przy przetwarzaniu
mobilnym ipracy naodlego (pkt8);
ustalenia zasad postpowania zinformacjami, zapewniajcych minimalizacj wystpienia
ryzyka kradziey informacji irodkw przetwarzania informacji, wtym urzdze mobilnych
(pkt11);
kontroli zgodnoci systemw teleinformatycznych zodpowiednimi normami ipolitykami
bezpieczestwa (pkt12 lit. h);
15 Definicj ustawow tego okrelenia zawiera art.3 pkt 18 ustawy oinformatyzacji.
19
WA N I E J S Z E W Y N I K I KO N T R O L I
20
16
17
18
19
WA N I E J S Z E W Y N I K I KO N T R O L I
20 http://bip.stat.gov.pl/gfx/bip/userfiles/_public/bip/psp/bip_systemy_informacyjne_administracji_publicznej_2013.doc
21 Wykaz ten zosta opracowany dla celw statystyki publicznej iw zwizku ztym nie jest wykazem kompletnym. Brak jest obecnie
systemowych rozwiza dotyczcych pozyskiwania informacji ofunkcjonujcych wkraju systemach teleinformatycznych
przeznaczonych dorealizacji zada publicznych. Wynika toz usunicia w2010 r. zustawy oinformatyzacji art.19, obligujcego
ministra waciwego ds. informatyzacji doprowadzenia Krajowej Ewidencji Systemw Teleinformatycznych iRejestrw
Publicznych.
21
WA N I E J S Z E W Y N I K I KO N T R O L I
22
WA N I E J S Z E W Y N I K I KO N T R O L I
23
WA N I E J S Z E W Y N I K I KO N T R O L I
Wykres nr2
Wspieranie bezpieczestwa IT na poziomie wybranego systemu
24
WA N I E J S Z E W Y N I K I KO N T R O L I
25
WA N I E J S Z E W Y N I K I KO N T R O L I
26
WA N I E J S Z E W Y N I K I KO N T R O L I
23 Jednym znajlepszych sposobw zabezpieczenia informacji jest wykorzystanie technik kryptograficznych, ktre pozwalaj
chroni poufnoci iautentyczno informacji wszczeglnoci podczas jej przesyania np.zapomoc oglnie dostpnych sieci.
Szyfrowanie ideszyfrowanie informacji odbywa si zapomoc kluczy kryptograficznych.
27
WA N I E J S Z E W Y N I K I KO N T R O L I
28
WA N I E J S Z E W Y N I K I KO N T R O L I
29
WA N I E J S Z E W Y N I K I KO N T R O L I
Tabela nr2
KRUS
MS
MSP
NFZ
SG
MSW
Oglnie
Zarzdzanie bezpieczestwem IT
Testowanie, nadzorowanie
imonitorowanie bezpieczestwa
Zarzdzanie Kluczami
Kryptograficznymi
Bezpieczestwo sieciowe
Oglnie
Zarzdzanie tosamoci
Wspieranie
bezpieczestwa IT
na poziomie
wybranego systemu
Wspieranie bezpieczestwa IT
na poziomie caej jednostki
Ocena oglna
Najwysz ocen, jak uzyskaa kontrolowana jednostka wbadanych obszarach bya ocena
napoziomie3. Otrzymao j KRUS. Najnisz ocen uzyskao MSW iSG 1. Ministerstwa
Sprawiedliwoci iSkarbu Pastwa oraz NFZ uplasoway si natym samym poziomie 2.
KRUS otrzymaa ocen napoziomie 3 w6 obszarach. MSW otrzymao ocen napoziomie
0w4obszarach.
3.3.2. Kasa Rolniczego Ubezpieczenia Spoecznego
W oparciu ostosowany wmetodyce COBIT 4.1 Model dojrzaoci, NIK ocenia poziom zarzdzania
procesem zapewnienie bezpieczestwa systemw informatycznych w KRUS jako
zdefiniowany.
KRUS bya jedyn jednostk objt badaniem ktra posiadaa Certyfikat potwierdzajcy, i obsuga
ubezpieczonych iwiadczeniobiorcw wzakresie zada wynikajcych zustawy oubezpieczeniu
30
WA N I E J S Z E W Y N I K I KO N T R O L I
26 By on utrzymywany iadministrowany worodkach obliczeniowych wykonawcy (firmy Zeto iUnizeto), natomiast pracownicy
31
WA N I E J S Z E W Y N I K I KO N T R O L I
32
WA N I E J S Z E W Y N I K I KO N T R O L I
33
WA N I E J S Z E W Y N I K I KO N T R O L I
34
WA N I E J S Z E W Y N I K I KO N T R O L I
35
WA N I E J S Z E W Y N I K I KO N T R O L I
dziaaniem nierzetelnym oraz stanowicym naruszenie wymogu okrelonego w20 ust.2 pkt 13
rozporzdzenia KRI. Wobszarze ochrony przed zoliwym oprogramowaniem NIK nie stwierdzia
nieprawidowoci. Systemem ochrony przed zoliwym oprogramowaniem objto komputery
stacjonarne iprzenone. WNFZ nie prowadzono klasyfikacji aktyww, wzwizku zpowyszym
niemaj one przyporzdkowanych parametrw istotnoci ipoziomw ochrony.
W dziennikach systemu eWU (logach), wokresie objtym kontrol, ponad 180 razy pojawia si
uytkownik root30. Wczasie trwania kontroli wdraany by system uniemoliwiajcy korzystanie
ztego konta, ktry zapewni, e zmiany konfiguracyjne bd wykonywane wycznie przez
uytkownikw imiennych. Wocenie NIK powysza nieprawidowo wskazuje nanaruszenie
21ust.1 rozporzdzenia KRI zgodnie zktrym rozliczalno wsystemach teleinformatycznych podlega
wiarygodnemu dokumentowaniu wpostaci elektronicznych zapisw wdziennikach systemw (logach).
W zakresie zarzdzania kontami uytkownikw stwierdzono, e obowizujce wNFZ procedury
zobowizyway komrk kadrow docomiesicznego przekazywania informacji odugotrwaych
absencjach pracownikw. Jednake stwierdzono dziaania niezgodne zpowysz regulacj.
Wokresie objtym kontrol komrka kadrowa nie przekazaa 13 takich informacji. Zaniechanie
poinformowania dziau IT o zmianach kadrowych niesie ze sob ryzyko dostpu osb
nieuprawnionych dozasobw Centrali NFZ.
W regulacjach wewntrznych poza oglnymi zapisami, e wNFZ przetwarzane sdane osobowe
(w tym wraliwe) oraz inne dane prawnie chronione, wszczeglnoci: medyczne, finansowe
ikadrowe nie uregulowano zasad postpowania zdanymi innymi ni osobowe. Wpraktyce
regulacje teokrelay przede wszystkim przetwarzanie danych osobowych, nie reguloway
za szczegowo informacji chronionych rozumianych jako, informacje nie podlegajce
obligatoryjnemu obowizkowi ochrony, ale ktre powinny by chronione zewzgldu nadobrze
pojty interes NFZ, pracownikw NFZ lub podmiotw iinstytucji, zktrymi NFZ wsppracuje.
Wpowyszej dokumentacji nie dokonano klasyfikacji informacji przetwarzanych wNFZ, wtym
nie zidentyfikowano danych (nie sporzdzono ewidencji informacji idanych), ktrych ochrona nie
jest prawnie wymagana, amogyby one zosta wykorzystane przeciwko NFZ poprzez ujawnienie,
zablokowanie lub zmanipulowanie. Wbadanym okresie wNFZ formalnie nie okrelono zasad
identyfikacji ioznaczania danych oraz informacji, wtym danych wraliwych czy chronionych.
Zwyjanie uzyskanych wtrakcie kontroli wynika, e takie zasady byy wtrakcie opracowywania.
NIK ocenia jako nierzetelne nieprzypisanie informacjom odpowiedniego poziomu ochrony,
zgodnego zich wag dla Centrali NFZ.
3.3.6. Komenda Gwna Stray Granicznej
W oparciu ostosowany wmetodyce CobiT 4.1 Model dojrzaoci, NIK ocenia poziom zarzdzania
procesem zapewnienia bezpieczestwa systemw teleinformatycznych wKomendzie
Gwnej Stray Granicznej jako pocztkowy/dorany.
W jednostce tej dotychczas nie utworzono formalnych podstaw dozapewnienia bezpieczestwa
wszczeglnoci rzetelnej polityki bezpieczestwa IT. Komendant Gwny Stray Granicznej nie
wprowadzi podstawowych uregulowa dotyczcych zarzdzania procesem bezpieczestwa
pomimo, e opracowanie takich procedur zalecali audytorzy wewntrzni KGSG ju wpadzierniku
36
WA N I E J S Z E W Y N I K I KO N T R O L I
2013 r. NIK negatywnie ocenia dwuletni zwok wrealizacji zalece ww. audytu. WKGSG
bezpieczestwo IT nie podlegao pomiarowi ze wzgldu na nieokrelenie miernikw
bezpieczestwa informacji izasad jego monitorowania.
Zapewnienie bezpieczestwa oparte byo gwnie napowszechnie obowizujcych przepisach
dotyczcych ochrony danych osobowych iinformacji niejawnych. KGSG dopiero wII kwartale 2015 r.
realnie rozpocza budow formalnych podstaw systemu zapewnienia bezpieczestwa informacji.
Powysze przedsiwzicie realizowane byo wewsppracy zNASK (Naukow iAkademick Sieci
Komputerow). Zdaniem NIK wdroenie tego systemu wymagao przeprowadzania rzetelnej
analizy ryzyka utraty informacji (po uprzednim wprowadzeniu formalnych podstaw szacowania
ipostpowania zryzykiem) oraz okrelenia iwdroenia systemu monitorowania procesw
zwizanych zbezpieczestwem informacji.
W KGSG nie dokonano szczegowej analizy przetwarzanych informacji wraz zprzypisaniem im
istotnoci dla funkcjonowania SG. Najwaniejsze dla SG informacje byy chronione napodstawie
ustawy oochronie informacji niejawnych.
Komendant Gwny Stray Granicznej nie opracowa inie wdroy metodologii procesu szacowania
ryzyka bezpieczestwa informacji oraz postpowania ztym ryzykiem, wtym systematycznego jego
monitorowania ianalizy.
Ustalono, e incydenty bezpieczestwa dotyczce infrastruktury technicznej byy gromadzone
ianalizowane. Jednake wKGSG nie zbudowano formalnych podstaw systemu zbierania ianalizy
incydentw bezpieczestwa, costanowio naruszenie 20 ust.2 pkt13 rozporzdzenia KRI, zgodnie
zktrym kierownictwo zapewnia bezzwoczne zgaszanie incydentw naruszenia bezpieczestwa
informacji wokrelony iz gry ustalony sposb, umoliwiajcy szybkie podjcie dziaa korygujcych.
3.3.7. Ministerstwo Spraw Wewntrznych
W oparciu ostosowany wmetodyce COBIT 4.1 Model dojrzaoci, NIK ocenia poziom zarzdzania
bezpieczestwem systemw teleinformatycznych jako pocztkowy/dorany.
MSW dostrzegao potrzeb zapewnienia bezpieczestwa IT, jednake byo ono zapewniane
nadoranych zasadach, zaleao gwnie odpojedynczych osb inie podlegao pomiarowi.
W MSW nie wprowadzono formalnych podstaw doSystemu Zarzdzania Bezpieczestwem
Informacji, pomimo, e istniaa wtej jednostce wiadomo potrzeby zapewnienia bezpieczestwa
teleinformatycznego. W MSW bezpieczestwo informacji nie podlegao pomiarowi.
Nieuszeregowano hierarchicznych celw wzakresie bezpieczestwa, pozwalajcych naosignicie
wokrelonym czasie oczekiwanych poziomw bezpieczestwa informacji, nie przypisano im
niezbdnych zasobw, nie opracowano rwnie miernikw. Nie powoano waciwej komrki
odpowiedzialnej zazarzdzanie bezpieczestwem systemw teleinformatycznych, pomimo
ewyniki przeprowadzonych audytw rekomendoway powoanie jednej komrki organizacyjnej
wtym zakresie. Zagadnienia zawizane zbezpieczestwem IT byy rozproszone pomidzy kilka
komrek, aw trakcie kontroli stwierdzono spory kompetencyjne pomidzy tymi komrkami.
W MSW nie przeprowadzono procesu identyfikacji zasobw istotnych dla realizowanych zada,
nieprzypisano im istotnoci iniezbdnych poziomw ochrony.
W MSW nie okrelono procedur reagowania naincydenty, anawet nie wprowadzono jednoznacznej
definicji incydentu bezpieczestwa. Nie okrelono rwnie komrki, ktra miaaby reagowa
37
WA N I E J S Z E W Y N I K I KO N T R O L I
38
I N F O R M A C J E D O D AT K O W E
31 Cykl Deminga (okrelany te jako cykl PDCA zang. Plan-Do-Check-Act lub cykl P-D-S-A zang. Plan-Do-Study-Act lub koo
Deminga) schemat ilustrujcy podstawow zasad cigego ulepszania (cigego doskonalenia, Kaizen), stworzon przez
Williama Edwardsa Deminga, amerykaskiego specjalist statystyka pracujcego wJaponii.
39
I N F O R M A C J E D O D AT K O W E
Diagram nr1
Diagram nr2
40
I N F O R M A C J E D O D AT K O W E
Diagram nr3
Diagram nr4
41
I N F O R M A C J E D O D AT K O W E
42
I N F O R M A C J E D O D AT K O W E
43
ZACZNIK NR 1
Wykaz osb zajmujcych wokresie objtym kontrol stanowiska kierownicze
wbadanych jednostkach
Lp.
1.
2.
Minister Spraw
Wewntrznych
3.
Minister Skarbu
Pastwa
4.
Prezes KRUS
5.
6.
44
Minister
Sprawiedliwoci
Szef NFZ
Komendant Gwny SG
22wrzenia 2014 r.
Cezary Grabarczyk
22wrzenia 2014 r.
30kwietnia 2015 r.
Ewa Kopacz
30kwietnia 2015 r.
4maja 2015 r.
Borys Budka
4maja 2015 r.
16listopada 2015 r
Baromiej Sienkiewicz
25lutego 2013 r.
1stycznia 2014 r.
Teresa Piotrowska
1stycznia 2014 r.
16listopada 2015 r.
Andrzej Czerwiski
16czerwca 2015 r.
16listopada 2015 r.
Wodzimierz Karpiski
24kwietnia 2013 r.
16czerwca 2015 r.
Artur Brzska
5stycznia 2012 r.
8grudnia 2015 r.
Marcin Pakulski
23grudnia 2013 r.
28lutego 2014 r.
1marca 2014 r.
2czerwca 2014 r.
Tadeusz Jdrzejczyk
3czerwca 2014 r.
do chwili obecnej
11kwietnia 2012 r.
31grudnia 2015 r.
ZACZNIK NR 2
Wykaz aktw prawnych dotyczcych kontrolowanej dziaalnoci
Ustawa zdnia 17lutego 2005 r. oinformatyzacji dziaalnoci podmiotw realizujcych zadania
publiczne (Dz.U. z2014 r. poz.1114).
Ustawa zdnia 18wrzenia 2001 r. opodpisie elektronicznym (Dz.U. z2013 r. poz.262, zezm.).
Ustawa zdnia 29sierpnia 1997 r. oochronie danych osobowych (Dz.U. z2015 r. poz.2135, zezm.).
Ustawa zdnia 20grudnia 1990 r. oubezpieczeniu spoecznym rolnikw ( Dz.U. z2016 r. poz.277).
Rozporzdzenie Rady Ministrw zdnia 12kwietnia 2012 r. wsprawie Krajowych Ram
Interoperacyjnoci, minimalnych wymaga dla rejestrw publicznych iwymiany informacji
wpostaci elektronicznej oraz minimalnych wymaga dla systemw teleinformatycznych (Dz.U.
z2016 r. poz.113); szczeglnie 20, 21 i23.
Rozporzdzenie Rady Ministrw zdnia 7sierpnia 2002 r. wsprawie okrelenia warunkw
technicznych iorganizacyjnych dla kwalifikowanych podmiotw wiadczcych usugi
certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatw wydawanych przez
tepodmioty oraz warunkw technicznych dla bezpiecznych urzdze sucych doskadania
iweryfikacji podpisu elektronicznego (Dz.U. Nr128, poz.1094); szczeglnie rozdzia 2.
Rozporzdzenie Ministra Spraw Wewntrznych iAdministracji zdnia 29kwietnia 2004 r.
wsprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych
iorganizacyjnych, jakim powinny odpowiada urzdzenia isystemy informatyczne suce
doprzetwarzania danych osobowych (Dz.U. Nr100, poz.1024); szczeglnie 3, 4, 5, 6, 7
izacznik.
45
ZACZNIK NR 3
Wykaz organw, ktrym przekazano informacj owynikach kontroli
1. Prezydent Rzeczypospolitej Polskiej
2. Marszaek Sejmu Rzeczypospolitej Polskiej
3. Marszaek Senatu Rzeczypospolitej Polskiej
4. Prezes Rady Ministrw Rzeczypospolitej Polskiej
5. Prezes Trybunau Konstytucyjnego
6. Rzecznik Praw Obywatelskich
7. Minister Cyfryzacji
8. Minister Spraw Wewntrznych iAdministracji
9. Minister Skarbu Pastwa
10. Minister Sprawiedliwoci
11. Minister Koordynator Sub Specjalnych
12. Prezes Narodowego Funduszu Zdrowia
13. Prezes Kasy Rolniczego Ubezpieczenia Spoecznego
14. Komendant Gwny Stray Granicznej
15. Szef Agencji Bezpieczestwa Wewntrznego
16. Dyrektor Rzdowego Centrum Bezpieczestwa
17. Sejmowa Komisja Cyfryzacji, Innowacyjnoci iNowoczesnych Technologii
18. Sejmowa Komisja Administracji iSpraw Wewntrznych
19. Sejmowa Komisja doSpraw Kontroli Pastwowej
20. Senacka Komisja Praw Czowieka, Praworzdnoci iPetycji
21. Senacka Komisja Samorzdu Terytorialnego iAdministracji Pastwowej
46