Audyt zgodności z Krajowymi Ramami Interoperacyjności (KRI)

#Instytucje publiczne

Krajowe Ramy Interoperacyjności to zawarte w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. zasady poruszania się w zakresie obszarów IT dedykowane jednostkom rządowym i samorządowym, zawierające między innymi minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalne wymagania dla systemów teleinformatycznych. Każdy podmiot realizujący zadania publiczne musi dostosować swój system informatyczny tak, aby spełniał on minimalne wymagania określone ww. rozporządzeniu.

Rozporządzenie wprowadza obowiązek okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji – nie rzadziej niż raz na rok.

Co zyskujesz?

Wychodząc na przeciw oczekiwaniom podmiotów, które są ustawowo zobligowane do funkcjonowania w oparciu o KRI opracowaliśmy usługę pozwalającą zweryfikować obecny poziom integracji instytucji z zaleceniami wynikającymi z rozporządzenia.

Dzięki naszym autorskim rozwiązaniom jesteśmy w stanie zaprezentować jasno i klarownie stan spełnienia stawianych wymogów w badanym obszarze. Każdy raport zawiera również szereg ukierunkowanych zaleceń.

Poniżej przedstawiamy przykładowe analizy, które zawarte są raporcie. Wykresy prezentują całkowity brak zgodności w obszarze V (Przyznawanie uprawnień)  i VII (Metodologia pracy na odległość). Każdy obszar, który nie spełnia kryteriów w 100% zawiera opis wykazanego braku obniżającego notę.

           

Co sprawdzamy?

 

Realizując audyt dokonujemy kompleksowej analizy wszystkich zapisów Krajowych Ram Interoperacyjności:

  • Zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
  • Utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację,
  • Przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
  • Podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji,
  • Bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób,
  • Zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    • zagrożenia bezpieczeństwa informacji,
    • skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    • stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
  • Zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    • monitorowanie dostępu do informacji,
    • czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    • zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
  • Ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
  • Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
  • Zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji,
  • Ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych,
  • Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    • dbałości o aktualizację oprogramowania,
    • minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    • ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    • stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    • zapewnieniu bezpieczeństwa plików systemowych,
    • redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    • niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    • kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.
  • Bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.

Jeżeli jesteś zainteresowany przedstawieniem oferty zadzwoń do nas.

Szybki kontakt: 507 039 554 lub skorzystaj z formularza kontaktowego. Skontaktujemy się z Tobą jak najszybciej.