NIK ostro o bezpieczeństwie danych w państwowych firmach

Polska
NIK ostro o bezpieczeństwie danych w państwowych firmach
Yuri Samoilov/Flickr/CC BY 2.0

Stosowane przez podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są "prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające" - zauważa NIK w wynikach najnowszej kontroli.

Kontrola ujawniła, że istnieje ryzyko, że działanie istotnych systemów teleinformatycznych zostanie zakłócone, a dane w nich zgromadzone trafią w niepowołane ręce.


Najwyższa Izba Kontroli sprawdziła zabezpieczenia związane z przechowywaniem danych osobowych w takich instytucjach jak m.in. Ministerstwo Skarbu, Ministerstwo Spraw Wewnetrznych i Administracji, Ministerstwo Sprawiedliwości, Narodowy Fundusz Zdrowia i KRUS.


Tylko KRUS należycie zabezpieczony


Wnioski z kontroli, jak zauważył NIK, są "alarmujące". Tylko KRUS w pełni wdrożył System Zarządzania Bezpieczeństwem Informacji. Instytucja ta otrzymała również certyfikat ISO 27001, ale mimo tego NIK wykrył w niej nieprawidłowości - m.in. znalazł rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji.


W pozostałych skontrolowanych jednostkach sytuacja była nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.


Długa lista zarzutów


Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.


Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.


Chronione są tylko niektóre istotne informacje


W ocenie NIK, stwierdzona w trakcie kontroli praktyka ograniczania zakresu ochrony do jedynie niektórych istotnych informacji może mieć poważne konsekwencje dla właściwego szacowania ryzyka, dzielenia zasobów, a przede wszystkim zapewnienia ciągłości działania instytucji mających istotne znaczenie dla funkcjonowania państwa.


Co więcej, w żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych.


Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.

 

polsatnews.pl

am/hlk/

Chcesz być na bieżąco z najnowszymi newsami?

Jesteśmy w aplikacji na Twój telefon. Sprawdź nas!

Komentarze