Co to jest audyt KRI? Niezbędna wiedza w pigułce.

Co to jest audyt KRI? Niezbędna wiedza w pigułce.

KRI czyli Krajowe Ramy Interoperacyjności to minimalne wymogi dla podmiotów, które realizują zadania publiczne. Wymogi te wynikają wprost z Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej jako Rozporządzenie KRI). Celem wytycznych jest weryfikacja stanu bezpieczeństwa informacji w jednostce i podjęcie działań zmierzających do polepszenia tych standardów, poprzez przekazanie kierownictwu jednostki informacji nt. działania danego obszaru wraz z rekomendacjami. Podmioty publiczne zobowiązane są do zarządzania bezpieczeństwem informacji, tak by zapewnić ich poufność, integralność i dostępność. W tym celu, Rozporządzenie KRI określa m.in. minimalne wymogi dla systemów teleinformatycznych, w którym to zobowiązuje kierownictwo do podjęcia działań mających na celu ochronę informacji przed kradzieżą, bezprawną modyfikacją, ujawnieniem, czy też ich utratą. Z uwagi na powyższe, podmiot zobowiązany jest przyjąć odpowiednie zabezpieczenia minimalizujące ryzyko powstania ww. zagrożeń. W praktyce jest to np. dbałość o aktualizację oprogramowania, szkolenie osób zaangażowanych w proces przetwarzania informacji, przyjęcie zabezpieczeń systemowych oraz stosownych procedur, w tym takich, które określają postępowanie pracownika w przypadku wystąpienia naruszenia związanego z przetwarzanymi informacjami. W praktyce jednak, często okazuje się, iż kierownictwo nie ma wystarczającej wiedzy o tym, czy dany obszar działania zapewnia wystarczający poziom bezpieczeństwa informacji, dlatego też, jednym z wymagań Rozporządzenia KRI jest organizacja audytów, które powinny być przeprowadzane okresowo, przynajmniej raz w roku. Nierzadko zdarza się, że do tego zadania angażowane są firmy zewnętrzne, posiadające niezbędną wiedzę w tym zakresie i specjalizujące się w wykonywaniu audytów bezpieczeństwa. (zapoznaj się z naszą ofertą: Audyt KRI). Wówczas audytorzy sprawdzają realizację wymogów Rozporządzenia KRI, uwzględniając przyjęte w jednostce środki zabezpieczające, a następnie przekazują opis stanu faktycznego oraz stosowne rekomendacje.

 

Anita Kałużna

Inspektor Ochrony Danych