PARTNER PORTALU
  • BGK

NIK: Ochrona danych w publicznych systemach teleinformatycznych praktycznie nie istnieje

  • AW    17 maja 2016 - 10:32
NIK: Ochrona danych w publicznych systemach teleinformatycznych praktycznie nie istnieje
W kontrolowanych jednostkach doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. (fot.PTWP)

• Stosowane państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa.
• - Istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce – alarmuje Najwyższa Izba Kontroli.
• Zdaniem NIK, konieczne jest opracowanie i wprowadzenie ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.




To kolejna z kontroli NIK dotycząca obszaru bezpieczeństwa systemów teleinformatycznych i przechowywanych w nich danych. NIK postanowiła przyjrzeć się, jak bezpieczne są dane znajdujące się w wybranych systemach informatycznych, mających istotne znaczenie dla funkcjonowania państwa.

Czytaj też: Instytucje publiczne na celowniku hakerów

Kontrola objęła ministerstwa, NFZ, KRUS, a w nich takie systemy jak:

- Zintegrowany System Informatyczny (ZSI),
- Centralna ewidencja wydanych i unieważnionych dokumentów paszportowych (CEWiUDP),
- Nowa Księga Wieczysta (NKW),
- Centralna Baza Danych Straży Granicznej (SI NKW),
- Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców (eWUŚ),
- FARMER.

Wnioski z tej kontroli są alarmujące.

Zarządzanie bezpieczeństwem i procedury bezpieczeństwa

Jak wynika z kontroli NIK, stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i - wobec braku procedur - intuicyjny.

KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. W przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych. Było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001.

W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.

Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Identyfikacja ryzyka

Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.

W trzech skontrolowanych jednostkach proces ten był prowadzony jedynie w zakresie niezbędnym dla realizacji wymagań Polityki Ochrony Cyberprzestrzeni, przepisów o ochronie informacji niejawnych lub obowiązków związanych z operowaniem infrastrukturą krytyczną.

Te ograniczone działania nie mogły zastąpić odpowiednio przygotowanego procesu szacowania ryzyka przeprowadzonego w odniesieniu do wszystkich posiadanych i przetwarzanych informacji, z uwzględnieniem realizowanych zadań i specyfiki instytucji. Rzetelne przeprowadzenie procesu szacowania ryzyka powinno być poprzedzone m.in. doborem metodyki prac, zidentyfikowaniem aktywów i określeniem ich wartości.





REKLAMA




×
KOMENTARZE (0)

Artykuł nie posiada jeszcze żadnych komentarzy.

Drodzy Użytkownicy!

W związku z odwiedzaniem naszych serwisów internetowych przetwarzamy Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl.

Zarząd PTWP-ONLINE Sp. z o.o.