Rozporządzenie Krajowe Ramy Interoperacyjności dotyczy jednostek publicznych i określa wymagania z zakresu polityki bezpieczeństwa, systemów IT i bezpieczeństwa sieci informatycznych. Więcej na temat przepisów prawnych KRI dowiemy się z artykułu.
Co to jest KRI? Czym są Krajowe Ramy Interoperacyjności?
Jest to rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. dotyczące Krajowych Ram Interoperacyjności. Rozporządzenie KRI określa minimalne wymagania dla rejestrów publicznych i przepisy dot. wymiany informacji w postaci elektronicznej. Rozporządzenie nakłada na podmioty publiczne liczne obowiązki w 3 podstawowych obszarach:
- polityka bezpieczeństwa
- minimalne wymagania dla systemów informatycznych
- wytyczne z zakresu bezpieczeństwa sieci informatycznych.
W myśl przepisów prawnych podmioty muszą dostosowywać systemy do potrzeb osób niepełnosprawnych (standard WCAG) i dążyć do zapewnienia im bezpieczeństwa. Do ważniejszych wymogów KRI – Krajowych Ram Interoperacyjności należy ochrona przetwarzanych informacji przed kradzieżą, zakłóceniami czy nieuprawnionym dostępem. W ramach tego przepisu podmiot powinien monitorować dostęp do informacji, wykrywać nieautoryzowany dostęp i prowadzić działania, które chronią przed włamaniem czy niepożądanym dostępem do aplikacji i usług sieciowych. Ważną kwestią jest też nadawanie uprawnień dla osób zaangażowanych w proces przetwarzania informacji.
Aby zarządzać bezpieczeństwem informacji, podmioty powinny utrzymywać aktualność sprzętu i oprogramowania, przeprowadzać okresowe analizy ryzyka utraty integralności, dostępności i poufności informacji oraz doprowadzać do minimalizacji tego ryzyka. Obowiązkiem podmiotów objętych KRI jest szkolenie pracowników z obszaru bezpieczeństwa informacji i wynikających z niego zagrożeń czy uświadamianie ich w zakresie skutków naruszenia zasad bezpieczeństwa.
Każdy podmiot jest zobligowany do stosowania programów i systemów informatycznych, zapewniających ochronę danych i bezpieczeństwo informacji. Publiczne jednostki powinny mieć narzędzia ułatwiające wykrywanie prób nieautoryzowanego dostępu do systemów operacyjnych, usług sieciowych czy plików/aplikacji. Podmioty powinny także zapewnić odpowiedni poziom bezpieczeństwa systemów IT poprzez aktualizacje oprogramowania i zapewnienie ochrony przed błędami. Kolejnym zadaniem Krajowych ram interoperacyjności jest minimalizowanie ryzyka utraty informacji w wyniku awarii i zapewnienie bezpieczeństwa plików systemowych czy szybkie zgłaszanie incydentów dot. naruszenia bezpieczeństwa informacji.
W myśl rozporządzenia do obowiązków podmiotu należy kontrola zgodności systemów teleinformatycznych z obowiązującymi normami bezpieczeństwa. Do ważnych zadań podmiotów objętych KRI należy konieczność przeprowadzania audytów w zakresie bezpieczeństwa danych i informacji przynajmniej raz w roku.
Audyt KRI i jego zalety
Audyt KRI może być przeprowadzony wewnętrznie lub przez zewnętrzną firmę IT. Do tego zadania najlepiej zaangażować firmę z certyfikatem audytora wiodącego ISO 27001, co zapewnia skuteczność audytu i gwarancję jakości. Audyt musi być wykonany przez niezależnych ekspertów, a jego przedmiotem jest analiza zabezpieczeń systemów informatycznych, ewentualne znalezienie luk w systemie bezpieczeństwa oraz ich usunięcie. Audytorzy biorą pod lupę oprogramowanie, które jest gruntownie sprawdzane. Audyt przynosi szereg korzyści dla organizacji – zapewnia rzetelny feedback dla władz o stanie bezpieczeństwa, weryfikuje stan zabezpieczeń IT i sprawdza stopień wdrożenia zgodnego z rozporządzeniem KRI. Audyt przyczynia się do zwiększenia świadomości w zakresie ryzyka i podatności systemu bezpieczeństwa informacji oraz pozwala na wywiązanie się z obowiązków wynikających z rozporządzenia KRI. Audyt pozwala na otrzymanie zaleceń i wytycznych, które organizacja wprowadza w życie w celu poprawy ochrony danych i informacji. Dzięki audytowi podmiot staje się lepiej przygotowany do kontroli z zakresu bezpieczeństwa informacji, która jest przeprowadzana przez odpowiednie organy. Audyt kończy się sporządzeniem raportu wraz z wnioskami, które przekazywane są przez audytorów władzom organizacji.
Umów się na bezpłatną konsultację z nami już dziś.
słowa kluczowe: rozporządzenie kri, Krajowe Ramy Interoperacyjności, Krajowe Ramy Interoperacyjności rozporządzenie, Krajowe Ramy Interoperacyjności audyt.
