Obowiązkowy audyt systemów informatycznych

Rozporządzenie Rady Ministrów (Rozporządzenie z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych), które wprowadza nowe obowiązkowe wymagania dla rejestrów publicznych, wymiany informacji w postaci elektronicznej i systemów teleinformatycznych, określa również wymagania i wskazuje standardy, które należy spełnić lub którymi można się kierować.

Do najważniejszych wymogów należą:

  • okresowy, nie rzadziej niż raz na rok, audyt wewnętrzny w zakresie bezpieczeństwa informacji;
  • zapewnienie odpowiedniej struktury rejestrów i wymiany informacji elektronicznej;
  • zarządzanie systemami teleinformatycznymi uznaje się za zgodne z Rozporządzeniem, jeśli wypełnia ono wymogi norm – PN-ISO/IEC 20000-1 i PN-ISO/IEC 20000; nie oznacza to konieczności certyfikacji;
  • kodowanie znaków w przesyłanych dokumentach odbywa się wg standardu Unicode UTF-8 określonego przez normę ISO/IEC 10646;
  • udostępnianie zasobów teleinformatycznych w co najmniej w jednym z formatów danych określonych w Rozporządzeniu;
  • spełnienie przez system teleinformatyczny wymagań Web Content Accessibility Guidelines (WCAG 2.0).
  • Dla działającego systemu bezpieczeństwa informacji wskazane zostały polskie normy, których wdrożenie nie jest obowiązkowe, ale będzie uznawane, jako wystarczający dowód spełnienia określonych w Rozporządzeniu wymogów. Są to:
    • PN-ISO/IEC 27001- w zakresie bezpieczeństwa informacji;
    • PN-ISO/IEC 17799 – w odniesieniu do ustanawiania zabezpieczeń;
    • PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
    • PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.

Uzyskanie certyfikacji ISO nie jest więc konieczne, należy jednak wypełnić określone w rozporządzeniu wymagania, a norma ISO prezentuje całościowe, oparte o międzynarodowe standardy podejście. Warto więc z niej skorzystać, zarówno przy projektowaniu systemu, jak i doborze odpowiednich zabezpieczeń.

Za wprowadzenie odpowiednich rozwiązań odpowiada kierownictwo. Ma ono zapewnić właściwą strukturę danych w rejestrach, właściwe zarządzanie systemami teleinformatycznymi, odpowiednie kodowanie przesyłanej informacji, poprawnie funkcjonujący system zarządzania bezpieczeństwem informacji. System taki musi zapewnić poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Comments are closed.