Grzegorz Durczak Obsługa informatyczna Polkowice Obsługa informatyczna Lubin Obsługa informatyczna Zielona Góra Obsługa informatyczna Góra

Pomoc zdalna

Ważny komunikat: W związku ze wzmożonym zainteresowaniem audytami bezpieczeństwa informatycznego w ramach zmian przepisów resortowych - mając na uwadze wysoki poziom świadczonych usług - informujemy, iż czas rozpoczęcia realizacji zadań może ulegać opóźnieniu do około 60 dni roboczych. Przepraszamy za niedogodności.






WISC specjalizuje się w wykonywaniu następujących zadań audytowych:

- Kompleksowe audyty KRI, RODO oraz systemów bezpieczeństwa IT w zakresie merytorycznym oraz technicznym
- Wdrażanie rozwiązań bezpieczeństwa całościowych wymagań KRI: dokumentacji oraz aspektów technicznych
- Ocena zagrożeń bezpieczeństwa (szacowanie ryzyka, profilaktyka bezpieczeństwa, analiza zagrożeń)
- Pomoc w zakresie realizacji wymagań dotyczących KRI oraz stosowania rozwiązań bezpieczeństwa wewnętrznego
- Wykonywanie szczegółowych testów penetracyjnych (pen-test) umożliwiających identyfikację uchybień w bezpieczeństwie informatycznym jednostki
- Konsultacje i szkolenia z zakresu bezpieczeństwa organizacyjnego i technicznego, a także szkoleń profilaktycznych

Krajowe Ramy Interoperacyjności - informacje podstawowe

Zgodnie z postanowieniami rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (dalej KRI) wszystkie podmioty publiczne mają obowiązek przeprowadzania audytu wewnętrznego w zakresie bezpieczeństwa informacji co najmniej raz w roku. Nałożone na jednostki obowiązki wskazują na konieczność opracowania oraz wdrożenia systemu bezpieczeństwa wewnętrznego, w tym również w sferze informatycznej. W myśl przepisów używane rozwiązanie powinno zapewniać zgodność z następującymi zasadami: autentyczność, rozliczalność i niezaprzeczalność.

Autentyczność jest zbiorem regulacji w dziedzinie systemu bezpieczeństwa oraz zależności pomiędzy wdrożoną dokumentacją. Oznacza to, iż warunkiem koniecznym do właściwego (i zasadnego) funkcjonowania wewnętrznej dokumentacji Krajowych Ram Interoperacyjności jest pełna zgodność pomiędzy stanem faktycznym, a procedurami. Każde wdrożone rozwiązanie, zwłaszcza informatyczne, musi być dobrze zaplanowane, opisane i wdrożone zgodnie z podjętymi założeniami. Klucze jest zachowanie pełnej zgodności oraz przejrzystości zastosowanego rozwiązania IT, ponieważ w przypadku kiedy system informatyczny lub jedna z jego części zawiedzie, będzie łatwo dotrzeć do źródła problemu lub ustalić czynnik odbiegający od pierwotnych założeń. Mechanizm ma zatem charakter zwrotny - teoria uzupełnia praktykę i nadaje jej kierunek, a stan faktyczny umożliwia udoskonalenie dokumentacji.

Rozliczalność opiera się na założeniach umożliwiających identyfikację przepływu informacji pomiędzy poszczególnymi segmentami systemu informatycznego, przy czym dostarcza danych pozwalających na precyzyjne wskazanie uczestnictwa każdej jego części w dowolnym procesie wymiany danych. Dla jednostek państwowych jest to szczególnie ważne, ponieważ zachowanie rozliczalności pozwala na pełną kontrolę przepływu danych informatycznych w obrębie jednostki. W tym miejscu warto zauważyć jak wiele rozwiązań cyfrowych jest obecnych w każdym obszarze przetwarzania danych - oprócz wewnętrznych, specjalistycznych systemów informatycznych, takich jak księgowość, kadry lub inne podobszary dziedzinowe, istnieją narzędzia wspomagające codzienną pracę: od przeglądarek internetowych, pakietów biurowych, dysków sieciowych, aż po komunikatory sieciowe i witryny internetowe. Każde z wymienionych jest odrębnym systemem, w którym mniej lub bardziej, dane jednostka przechowuje ważne dane. Konkluzją tego wskazania jest konieczność zdobycia świadomości rozproszonego charakteru narzędzi informatycznych. Odpowiednie podejście do tematyki rozliczalności pozwala na właściwą kontrolę przepływu informacji, jednocześnie zwiększając bezpieczeństwo wewnętrzne każdej jednostki. Brak kontroli może narażać na negatywne skutki w postaci ukarania przez organy nadrzędne, w tym skali resortowej - między innymi Urząd Ochrony Danych Osobowych, Najwyższa Izba Kontroli oraz wiele innych. W dzisiejszych realiach jest to szczególnie ważne - większość pracy odbywa się przy udziale komputerów zintegrowanych w mniejszym lub większym stopniu w systemy informatyczne. Głównym zagrożeniem zatem jest właściwa rozliczalność pozwalająca na identyfikację potencjalnych zagrożeń, a w przypadku wystąpienia sytuacji awaryjnej - wskazania czynników i odtworzenie ścieżki odpowiedzialności.

Niezaprzeczalność jest pojęciem związanym z zaangażowaniem poszczególnych części systemu informatycznego (w tym osób, podmiotów lub innych systemów) we wspólnym działaniu. Zastosowanie odpowiedniej regulacji technicznej i organizacyjnej pozwala zachować odpowiedni poziom bezpieczeństwa na poziomie identyfikacji i wskazania uczestników każdej wymiany informacji. Mechanizm ma na celu minimalizację możliwości zanegowania uczestnictwa wymienionych części systemów wymiany danych, w taki sposób, aby precyzyjnie wskazać uczestników, środki, metody i zasoby jakie w nich są obecne.

Krajowe Ramy Interoperacyjności jako wynik rozporządzenia resortowego nakłada pewne obowiązki na każdą publiczną instytucję. Nie oznacza to jednak konieczności wdrożenia rozwiązań, które wykraczają poza normy organizacyjne i finansowe danej jednostki. Przy użyciu odpowiednich środków (narzędzi i metod) możliwe jest zapewnienie właściwego i wyważonego rozwiązania, które stanie się skuteczną odpowiedzią na nałożone obowiązki. Ponadto, warto mieć świadomość, zwłaszcza w dzisiejszych czasach, iż bezpieczeństwo - szczególnie informatyczne - jest podstawowym i minimalnym obiektem zainteresowania każdej publicznej instytucji.

Audyty bezpieczeństwa Krajowych Ram Interoperacyjności

Wsparcie Instytucjonalnych Systemów Cyfrowych specjalizuje się we wsparciu technicznym i metodycznym dedykowanym dla instytucji państwowych. Wieloletnie doświadczenie, przekrojowe rozeznanie w obszarze jednostek powiatowych, gminnych (samorządowych) i podmiotów osobowości prawnej umożliwia prowadzenie procesu wdrożenia i kontroli (audytu) w ramach rozporządzenia KRI oraz innych aspektów powiązanych z tą dziedziną.