close 
|
|
|
BEZPIECZEŃSTWO
NIK krytycznie o cyberbezpieczeństwie w samorządach
Celem przeprowadzonej kontroli było zbadanie czy jednostki samorządu terytorialnego prawidłowo, rzetelnie i skutecznie realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych. Kontrolą objęto 24 jednostki – 17 urzędów gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.
Większość skontrolowanych samorządów nie podejmowała skutecznych i rzetelnych działań na rzecz bezpieczeństwa informacji. NIK negatywnie oceniła przygotowanie do zapewnienia ciągłości działania systemów informatycznych w 71% urzędów, a istotne nieprawidłowości w tym zakresie wystąpiły w 23 z 24 badanych jednostek.Przyjęte rozwiązania organizacyjne i techniczne w zakresie zapewnienia bezpieczeństwa przetwarzania informacji oraz zapewnienia ciągłości działania nie były właściwe. Połowa skontrolowanych urzędów nie w pełni identyfikowała zbiory danych wymagających ochrony lub nie przypisywała zidentyfikowanym danym odpowiedniego poziomu ochrony. Nie uwzględniano danych nie będących danymi osobowymi, co również było nierzetelne. Osiem jednostek nie opracowało i nie wdrożyło Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), a w trzech jednostkach, gdzie SZBI został ustanowiony, nie dokonano jego przeglądu pod względem adekwatności i skuteczności, co było niezgodne z przepisami rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności.Ponadto w 20 z 24 skontrolowanych urzędów nie wszystkie przyjęte rozwiązania organizacyjne i techniczne w zakresie bezpieczeństwa informacji były właściwie egzekwowane. Wykryto nieprawidłowości w zakresie: zabezpieczenia serwerowni, sporządzania kopii zapasowych, przyznawania pracownikom uprawnień do korzystania z systemów informatycznych, w tym – odbierania uprawnień po zakończeniu zatrudnienia. W 11 urzędach w umowach na zakup usług informatycznych, zakup lub serwis sprzętu komputerowego i oprogramowania stwierdzono brak zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych przez wykonawców. W dziewięciu urzędach nie zidentyfikowano w sposób udokumentowany kluczowych elementów infrastruktury i usług IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.
Biorąc pod uwagę skalę i zakres zidentyfikowanych nieprawidłowości, NIK wnosi o stałe wsparcie jednostek samorządu terytorialnego przez Ministra Cyfryzacji w zakresie wdrażania rozwiązań organizacyjnych i technicznych dotyczących bezpieczeństwa informacji oraz zapewnienia ciągłości działania urzędów.
Najwyższa Izba Kontroli wnosi również do starostów, prezydentów miast, burmistrzów i wójtów o:
- opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;
- zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji;
- ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych oraz zapewnienie ich okresowego testowania;
- prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji;
- wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie pomieszczeń serwerowni;
- regularne testowanie kopii zapasowych oraz przechowywanie ich poza miejscem wytworzenia;
- zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji;
- objęcie nadzorem oprogramowania instalowanego na urządzeniach mobilnych.
2025-04-30 10:17:00
powrót
Dołącz do dyskusji na stronie »
Dołącz do dyskusji na FB »
|
|
Wydarzenia w najbliższym czasie »
19-20 maja, Warszawa, Konferencja „Stop epidemii otyłości w Polsce – odgórne przywództwo i oddolna mobilizacja wsparcia”, https://www.zpp.pl/
Sprawdź co słychać w największych samorządowych korporacjach »
|
|
