KRAJOWE RAMY INTEROPERACYJNOŚCI TO NIE RODO
Krajowe Ramy Interoperacyjności (KRI) to zbiór standardów i wytycznych, które mają na celu zapewnienie spójności i efektywności działania systemów teleinformatycznych w administracji publicznej. Ich wdrożenie jest kluczowe dla poprawy jakości usług publicznych, zwiększenia bezpieczeństwa informacji oraz ułatwienia współpracy między różnymi podmiotami administracji.
Pierwszym krokiem w procesie wdrażania KRI jest dokładne zapoznanie się z obowiązującymi przepisami prawnymi, w tym z Rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności. Dokument ten określa minimalne wymagania dla rejestrów publicznych, wymiany informacji w postaci elektronicznej oraz systemów teleinformatycznych. Zrozumienie tych wymogów pozwala na właściwe przygotowanie się do ich implementacji.
Kolejnym etapem jest przeprowadzenie analizy obecnego stanu systemów informatycznych w danej jednostce (PONIŻEJ GOTOWA AUTODIAGNOZA). Audyt bezpieczeństwa informacji, zgodnie z wytycznymi KRI, umożliwia identyfikację potencjalnych luk i obszarów wymagających poprawy. Regularne audyty są nie tylko zalecane, ale w wielu przypadkach obligatoryjne, co podkreśla ich znaczenie w utrzymaniu wysokiego poziomu bezpieczeństwa danych.
Wdrażanie KRI wiąże się również z koniecznością opracowania i aktualizacji dokumentacji dotyczącej polityki bezpieczeństwa informacji. Dokumenty te powinny precyzować procedury postępowania w sytuacjach kryzysowych, zasady dostępu do danych oraz inne istotne aspekty związane z ochroną informacji. Szczególną uwagę należy zwrócić na zgodność z normą PN-ISO/IEC 27005, która opisuje wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji. Gov.pl
Szkolenie pracowników to kolejny kluczowy element wdrażania KRI. Personel powinien być świadomy znaczenia bezpieczeństwa informacji oraz znać procedury i zasady obowiązujące w organizacji. Regularne szkolenia podnoszą kompetencje pracowników i minimalizują ryzyko błędów ludzkich, które mogą prowadzić do naruszeń bezpieczeństwa.
Warto również zwrócić uwagę na techniczne aspekty wdrożenia KRI. Obejmuje to m.in. aktualizację oprogramowania, konfigurację systemów zgodnie z wytycznymi oraz implementację odpowiednich mechanizmów ochrony, takich jak firewalle czy systemy wykrywania intruzów. Wszystkie te działania mają na celu zapewnienie integralności, poufności i dostępności przetwarzanych informacji.
Wdrożenie KRI przynosi wiele korzyści. Przede wszystkim zwiększa poziom bezpieczeństwa informacji, co jest kluczowe w dobie rosnących zagrożeń cybernetycznych. Ponadto, ujednolicenie standardów w administracji publicznej ułatwia wymianę informacji między różnymi podmiotami, co przekłada się na sprawniejszą realizację zadań publicznych. Dodatkowo, spełnienie wymogów KRI może podnosić zaufanie obywateli do instytucji publicznych, które dbają o ochronę ich danych.
Podsumowując, wdrożenie Krajowych Ram Interoperacyjności to proces wymagający zaangażowania na wielu płaszczyznach – od analizy i planowania, przez szkolenia, po techniczne dostosowanie systemów. Jednakże korzyści płynące z tego przedsięwzięcia, zarówno w kontekście bezpieczeństwa informacji, jak i efektywności działania administracji publicznej, są nieocenione.
JAKIE SĄ ZAGROŻENIA DLA INSTYTUCJI, KTÓRE BAGATELIZUJĄ BEZPIECZEŃSTWO INFORMACJI
Bagatelizowanie bezpieczeństwa informacji przez instytucje publiczne wiąże się z wieloma poważnymi zagrożeniami, które mogą skutkować zarówno stratami finansowymi, jak i utratą zaufania społecznego. Oto najważniejsze z nich:
- Utrata lub wyciek danych wrażliwych
Instytucje publiczne przetwarzają ogromne ilości danych osobowych, w tym informacje wrażliwe dotyczące obywateli, takie jak dane zdrowotne, finansowe czy socjalne. Wyciek takich informacji może prowadzić do naruszenia prywatności obywateli, a instytucja może ponieść konsekwencje prawne oraz wizerunkowe. - Ataki cybernetyczne
Bagatelizowanie bezpieczeństwa zwiększa ryzyko skutecznych ataków cybernetycznych, takich jak ransomware, phishing czy DDoS. Takie ataki mogą paraliżować działanie urzędów, powodować utratę danych oraz wymuszać wysokie koszty na przywrócenie działania systemów. - Narażenie na kary finansowe
Nieprzestrzeganie przepisów dotyczących ochrony danych, takich jak RODO czy Krajowe Ramy Interoperacyjności, może skutkować wysokimi karami finansowymi. W Polsce Urząd Ochrony Danych Osobowych (UODO) może nakładać surowe sankcje na instytucje, które nie dbają o bezpieczeństwo informacji. - Dezinformacja i manipulacja danymi
Brak odpowiednich zabezpieczeń może umożliwić cyberprzestępcom manipulację danymi przechowywanymi w systemach publicznych, co może prowadzić do chaosu i podważenia wiarygodności instytucji publicznych. - Utrata zaufania społecznego
Ujawnienie wycieków danych lub innych incydentów związanych z bezpieczeństwem może poważnie zaszkodzić reputacji instytucji publicznej. Obywatele mogą stracić zaufanie do urzędu, co utrudni współpracę i realizację zadań publicznych. - Paraliż infrastruktury krytycznej
Instytucje publiczne często zarządzają kluczową infrastrukturą, taką jak sieci energetyczne, wodociągi czy transport publiczny. Brak odpowiednich zabezpieczeń może prowadzić do przerw w działaniu tych systemów, co z kolei wpływa na bezpieczeństwo i jakość życia obywateli. - Szpiegostwo i kradzież informacji
Niedostateczna ochrona danych może ułatwić działalność grup szpiegowskich lub konkurencyjnych podmiotów, które mogą wykorzystać uzyskane informacje do szkodzenia interesom narodowym lub lokalnym. - Problemy operacyjne i utrata danych
Awaria systemów teleinformatycznych spowodowana brakiem regularnych audytów czy zabezpieczeń może prowadzić do trwałej utraty danych. Tego typu sytuacje mogą być kosztowne i czasochłonne w naprawie. Brak ewidencji i rejestrów może prowadzić do nadużyć ze strony pracowników. Instalacji nielegalnego oprogramowania.
- odpowiedzialność karna za nielegalne oprogramowanie – art. 278 §2 KK;
- odpowiedzialność karna za paserstwo art. 293 § 1 KK;
- zwrot dofinansowania z środków UE – dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004r. w sprawie egzekwowania praw własności intelektualnej uprawnia kontrolerów do sprawdzania projektów i audytu legalności oprogramowania w ciągu 5 lat od zakończenia inwestycji.
- Narażenie na odpowiedzialność osobistą pracowników
W przypadku zaniedbań w zakresie ochrony danych, odpowiedzialność może być przypisana konkretnym osobom w instytucji, co może skutkować konsekwencjami zawodowymi i prawnymi.
- odpowiedzialność administracyjna, w art. 102 ustawy o ochronie danych osobowych, m.in. w wysokości do 100.000 zł w odniesieniu do takich jednostek sektora finansów publicznych jak np. gminy, szkoły, szpitale, uczelnie bądź w wysokości do 10.000 zł dla jednostek sektora finansów publicznych takich jak: biblioteki, domy kultury, muzea itp.
- odpowiedzialność cywilnoprawna, każda osoba, która poniosła szkodę majątkową lub niemajątkową uprawniona jest do dochodzenia odszkodowania lub zadośćuczynienia – również w wyniku naruszenia przepisów dot. ochrony danych osobowych, zgodnie z art. 82 ust. 1 RODO
- odpowiedzialność karna – ujętą przez polskiego prawodawcę w art. 231 1 Kodeksu karnego, w przypadku gdy funkcjonariusz publiczny, który, przekraczając swoje uprawnienia lub nie dopełniając obowiązków, działa na szkodę interesu publicznego lub prywatnego, podlega karze pozbawienia wolności do lat 3.
- Rosnące koszty naprawy po incydentach
Brak prewencji w postaci odpowiednich zabezpieczeń często skutkuje wyższymi kosztami związanymi z reagowaniem na incydenty. Naprawa szkód, odzyskanie danych czy odbudowa reputacji jest zazwyczaj bardziej kosztowna niż wcześniejsze inwestycje w bezpieczeństwo.
Instytucje publiczne muszą traktować bezpieczeństwo informacji jako priorytet, ponieważ bagatelizowanie tego obszaru niesie ryzyko nie tylko dla nich samych, ale także dla obywateli i całego państwa.
KTO MA OBOWIĄZEK STOSOWANIA ZABEZPIECZEŃ ZGODNIE Z KRI?
Art. 2. [Zakres podmiotowy USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne]
- Z zastrzeżeniem ust. 2-4, przepisy ustawy stosuje się do realizujących zadania publiczne określone przez ustawy:
1) organów administracji rządowej, organów kontroli państwowej i ochrony prawa, sądów, jednostek organizacyjnych prokuratury, a także jednostek samorządu terytorialnego i ich organów,
2) jednostek budżetowych i samorządowych zakładów budżetowych,
3) funduszy celowych,
4) samodzielnych publicznych zakładów opieki zdrowotnej oraz spółek wykonujących działalność leczniczą w rozumieniu przepisów o działalności leczniczej,
5) Zakładu Ubezpieczeń Społecznych, Kasy Rolniczego Ubezpieczenia Społecznego,
6) Narodowego Funduszu Zdrowia,
7) państwowych lub samorządowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu realizacji zadań publicznych,
8) uczelni,
9) federacji podmiotów systemu szkolnictwa wyższego i nauki,
9a) instytutów badawczych,
9b) instytutów działających w ramach Sieci Badawczej Łukasiewicz,
9c) jednostek organizacyjnych tworzonych przez Polską Akademię Nauk,
10) Polskiej Komisji Akredytacyjnej,
11) Rady Doskonałości Naukowej
– zwanych dalej „podmiotami publicznymi”.
SZYBKA ŚCIEŻKA WDROŻENIA KRI
Wykonaj poniższą autodiagnozę aby określić mocne i słabe obszary SZBI w twojej organizacji. Wyciągnij wnioski, zrób analizę ryzyka, opracuj plan naprawczy, szczegółowo opisz działania korygujące, określ przedział czasowy w jakim uzupełnisz braki, wykonaj audyt KRI. Gotowe. 😊
Chętnie pomogę, Witold Bzdęga tel. 606648004
AUTODIAGNOZA
Przykład.
KRI.§19 ust. 2 pkt 7– Zabezpieczania techniczne oraz organizacyjne
Czy zaprojektowano i wdrożono zabezpieczania techniczne oraz organizacyjne ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami?
Czy dostęp do pomieszczeń jest zabezpieczony poprzez bariery fizyczne (drzwi z zamkiem itp.)?
Czy monitorujemy dostęp do pomieszczeń z infrastrukturą krytyczną?
Czy rejestrujemy dostęp do pomieszczeń z infrastrukturą krytyczną?
Czy mamy zainstalowany alarm? Czujniki zalania, pożaru, dymu, temperatury?
Czy mam zasilanie awaryjne (ups/agregat)?
Czy posiadamy środki ochrony przeciwpożarowej?
Czy mamy umowę na ochronę osób i mienia?
Czy monitory są ustawione w sposób uniemożliwiający dostęp do danych osobom trzecim?
Czy jest rejestr kluczy?
Czy jest rejestr wydanych i odebranych kluczy/ automat na karty RFID?
Czy prowadzi się działania związane z monitorowaniem dostępu do informacji ?
Czy prowadzi się działania związane z monitorowaniem ruchu osobowego w podmiocie?
KRI.§19 ust. 2 pkt 8 – Przetwarzanie mobilne i praca na odległość
Czy opracowano i wdrożono regulamin pracy mobilnej i zdalnej?
Czy zaszyfrowano wszystkie mobilne nośniki danych?
Czy są zinwentaryzowane i przypisane do osób?
Czy komputery mobilne mają zaszyfrowane dyski?
Czy prowadzony jest rejestr udostępniania komputerów mobilnych?
Czy kierownictwo zapewniło odpowiednie środki?
Czy wyznaczono osobę lub zespół odpowiedzialny za ewidencje i kontrolę urządzeń mobilnych?
Czy udokumentowano proces?
Jeśli chcesz dostać kompletny dokument z autodiagnozą napisz e-mail.
Źródła:
W przypadku pytań pozostaje do dyspozycji.