Kontrola ujawniła, że istnieje ryzyko, że działanie istotnych systemów teleinformatycznych zostanie zakłócone, a dane w nich zgromadzone trafią w niepowołane ręce.


Najwyższa Izba Kontroli sprawdziła zabezpieczenia związane z przechowywaniem danych osobowych w takich instytucjach jak m.in. Ministerstwo Skarbu, Ministerstwo Spraw Wewnetrznych i Administracji, Ministerstwo Sprawiedliwości, Narodowy Fundusz Zdrowia i KRUS.


Tylko KRUS należycie zabezpieczony


Wnioski z kontroli, jak zauważył NIK, są "alarmujące". Tylko KRUS w pełni wdrożył System Zarządzania Bezpieczeństwem Informacji. Instytucja ta otrzymała również certyfikat ISO 27001, ale mimo tego NIK wykrył w niej nieprawidłowości - m.in. znalazł rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji.


W pozostałych skontrolowanych jednostkach sytuacja była nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.


Długa lista zarzutów


Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.


Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.


Chronione są tylko niektóre istotne informacje


W ocenie NIK, stwierdzona w trakcie kontroli praktyka ograniczania zakresu ochrony do jedynie niektórych istotnych informacji może mieć poważne konsekwencje dla właściwego szacowania ryzyka, dzielenia zasobów, a przede wszystkim zapewnienia ciągłości działania instytucji mających istotne znaczenie dla funkcjonowania państwa.


Co więcej, w żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych.


Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.

 

polsatnews.pl