Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
Audyt Bezpieczeństwa Informacji
(przykład)
1. Informacje ogólne
• Nazwa jednostki: ……………………………………………………………………………...
• Adres: ………………………………………………………………………………………….
• Osoba odpowiedzialna za bezpieczeństwo informacji: …………………………………….
• Data przeprowadzenia audytu: ……………………………………………………………...
• Audytor: ………………………….............................................................................................
• Podstawa prawna: Rozporządzenie z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2024 r. poz. 773) – dalej: Rozporządzenie KRI
2. Cel audytu
Celem audytu było sprawdzenie zgodności systemów teleinformatycznych oraz organizacyjnych środków ochrony informacji z wymaganiami określonymi w:
• Rozporządzeniu KRI z dnia 21 maja 2024 r.,
• Polityce bezpieczeństwa informacji obowiązującej w jednostce,
• minimalnych wymaganiach dla systemów teleinformatycznych i wymiany informacji.
3. Zakres audytu
Audyt obejmował:
• systemy teleinformatyczne wykorzystywane do realizacji zadań publicznych,
• zabezpieczenia fizyczne i środowiskowe,
• zarządzanie uprawnieniami użytkowników,
• kopie zapasowe i ich testowanie,
• procedury reagowania na incydenty,
• przestrzeganie zasad ciągłości działania,
• ocenę stosowania mechanizmów uwierzytelniania i kontroli dostępu,
• weryfikację aktualności polityki bezpieczeństwa i instrukcji zarządzania systemami.
4. Metodologia
Audyt został przeprowadzony na podstawie:
• wywiadów z personelem i użytkownikami systemów,
• przeglądu dokumentacji (polityki, instrukcje, rejestry incydentów),
• inspekcji stanowisk pracy,
• testów zgodności systemów z wymaganiami technicznymi (np. aktualizacje, hasła),
• analizy ryzyka.
5. Wyniki audytu
5.1 Zgodności
• Polityka bezpieczeństwa informacji jest aktualna.
• Instrukcja zarządzania systemem informatycznym spełnia wymogi Rozporządzenia z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2024 r. poz. 773).
• Zastosowano mechanizmy uwierzytelniania dwuskładnikowego.
• Procedury tworzenia kopii zapasowych są wdrożone i udokumentowane.
5.2 Nieprawidłowości i uchybienia (przykład)
Lp. Obszar Opis uchybienia Zalecenie Priorytet
1. Hasła Brak wymuszania zmiany haseł co 90 dni Wprowadzenie polityki wymuszonej zmiany haseł Wysoki
2. Rejestr incydentów Brak udokumentowanych działań naprawczych w okresie od 1 stycznia 2025 r. do rozpoczęcia audytu, pomimo wystąpienia incydentów Uzupełnić dokumentację incydentów Średni
3. Dostępy Nieaktualne uprawnienia dwóch pracowników po zakończeniu umowy Wdrożenie systemu automatycznego odbierania uprawnień Wysoki
5.3 Pozytywne praktyki
• regularne szkolenia pracowników z zakresu cyberbezpieczeństwa,
• wdrożenie logowania działań administratorów,
• monitorowanie ruchu sieciowego i alertowanie o nietypowych zdarzeniach.
6. Ocena końcowa
Na podstawie przeprowadzonych czynności audytowych stwierdzono, że system zarządzania bezpieczeństwem informacji w jednostce w znacznym stopniu spełnia wymagania Rozporządzenia KRI z dnia 21 maja 2024 r. Stwierdzone uchybienia nie mają charakteru krytycznego, lecz powinny zostać usunięte w terminie 60 dni.
7. Zalecenia
• przeprowadzenie wewnętrznego przeglądu procedur zarządzania dostępem,
• regularna analiza ryzyka co najmniej raz w roku,
• uaktualnienie polityki haseł w systemach lokalnych,
• wprowadzenie mechanizmu zatwierdzania incydentów.
8. Analiza ryzyka
Analiza ryzyka została przeprowadzona zgodnie z metodyką szacowania ryzyka opartą na ocenie prawdopodobieństwa wystąpienia zagrożenia oraz wpływu, jaki może mieć jego realizacja na bezpieczeństwo informacji. W tabeli poniżej przedstawiono wybrane istotne zagrożenia, ocenę ryzyka oraz rekomendowane działania.
Lp. Zagrożenie Prawdopodobieństwo Skutek Rekomendacje
1. Utrata danych wskutek awarii sprzętu Średnie Wysoki Regularne kopie zapasowe, testowanie odtwarzania danych
2. Nieautoryzowany dostęp do danych Wysokie Wysoki Uwierzytelnianie dwuskładnikowe, przegląd uprawnień co 6 miesięcy
3. Brak aktualizacji systemu operacyjnego Średnie Średni Harmonogram aktualizacji, odpowiedzialność przypisana administratorom
4. Brak świadomości pracowników w zakresie bezpieczeństwa Wysokie Średni Szkolenia cykliczne, testy wiedzy
5. Kradzież nośników danych Niskie Wysoki Szyfrowanie nośników, ewidencja sprzętu przenośnego
9. Przykładowe pytania kontrolne zadane podczas audytu
Poniżej przedstawiono przykładowe pytania zadawane podczas audytu, które miały na celu weryfikację zgodności działań jednostki z wymaganiami Rozporządzenia KRI.
1. Czy jednostka posiada aktualną politykę bezpieczeństwa informacji zatwierdzoną przez kierownika jednostki?
2. Jak często przeprowadzana jest analiza ryzyka i kto jest za nią odpowiedzialny?
3. W jaki sposób dokumentowane są incydenty naruszenia bezpieczeństwa informacji?
4. Czy wszyscy pracownicy przeszli szkolenie z zakresu bezpieczeństwa informacji w ciągu ostatnich 12 miesięcy?
5. Jak wygląda procedura nadawania i odbierania uprawnień do systemów teleinformatycznych?
6. Czy w jednostce stosowane są mechanizmy uwierzytelniania dwuskładnikowego?
7. Jak często weryfikowane są logi systemowe i kto odpowiada za ich analizę?
8. Czy prowadzone są testy odtwarzania danych z kopii zapasowych?
9. Jakie zabezpieczenia fizyczne zastosowano?
10. Czy wdrożono politykę haseł i czy jest ona technicznie egzekwowana w systemach?
10. Metodyka audytu
Audyt został przeprowadzony zgodnie z wytycznymi określonymi w obowiązującym Rozporządzeniu KRI z dnia 21 maja 2024 r. oraz z uwzględnieniem dobrych praktyk audytu systemów teleinformatycznych. Zastosowane techniki obejmowały:
• przegląd dokumentacji,
• obserwację procesów,
• wywiady z personelem,
• testy techniczne i funkcjonalne wybranych zabezpieczeń.
Celem audytu były zidentyfikowanie luk w bezpieczeństwie, ocena poziomu zgodności z wymaganiami KRI oraz przedstawienie zaleceń zmierzających do poprawy poziomu bezpieczeństwa informacji.
11. Podsumowanie
Audyt wykazał, że jednostka w większości spełnia wymagania określone w Rozporządzeniu KRI. Zidentyfikowano jednak kilka obszarów wymagających poprawy, w szczególności dotyczących:
• nieregularnego przeglądu ryzyk,
• braku systematycznych testów kopii zapasowych,
• niedostatecznej dokumentacji procedur związanych z incydentami.
Wdrożenie wskazanych rekomendacji powinno znacząco zwiększyć poziom bezpieczeństwa przetwarzanych informacji.
