Audyt systemu zarządzania bezpieczeństwem informacji (KRI)

ATFIDE / Bezpieczeństwo informacji / Audyt systemu zarządzania bezpieczeństwem informacji (KRI)

w jednostkach sektora publicznego

Podstawy prawne:

  • Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych(Dz. U. z 2012r. poz. 526).

Audyt zostanie wykonany przez profesjonalny zespół specjalistów ds. bezpieczeństwa i ochrony informacji zgodnie z obowiązującymi przepisami prawa, w szczególności ust. 1 i 2 § 20 Rozporządzenia KRI.

Zakres usługi:

1. Ocena procedur i regulacji wewnętrznych uwzględniających wymagania rozporządzenia „Krajowe Ramy Interoperacyjności” (Dz. U. z 2012r. poz. 526).

2. Analiza spełnienia minimalnych wymagań dla systemów teleinformatycznych:

  • utrzymania / zarządzania systemami IT;
  • wymiany danych z innymi systemami;
  • dostosowania stron internetowych do standardów WCAG 2.1 – zgodnie z Ustawą o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych z dnia 4 kwietnia 2019 roku (Dz. U. 2019 poz. 848);

3. Analiza spełnienia minimalnych wymagań bezpieczeństwa dla:

  • zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia tj. przygotowanie odpowiednich procedur, zabezpieczenie systemów, wprowadzenie odpowiednich mechanizmów monitoringu bezpieczeństwa;
  • utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  • przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  • podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  • zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    • zagrożenia bezpieczeństwa informacji;
    • skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna;
    • stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
  • zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    • monitorowanie dostępu do informacji;
    • czynności zmierzające do wykrycia nieautoryzowanych działań związanych
      z przetwarzaniem informacji;
    • zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
  • ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  • zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  • zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  • ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych.
  • zapewnienia  odpowiedniego poziomu   bezpieczeństwa  w     systemach      teleinformatycznych, polegającego w szczególności na:
    • dbałości o aktualizację oprogramowania;
    • minimalizowaniu ryzyka utraty informacji w wyniku awarii;
    • ochronie przed błędami, utratą, nieuprawnioną modyfikacją;
    • stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa;
    • zapewnieniu bezpieczeństwa plików systemowych;
    • redukcji ryzyka wynikającego z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych;
    • niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa;
    • kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.

4. Weryfikacja przyjętych procedur i zasad bezpieczeństwa informacji, zapobiegająca osobom nieuprawnionym ich ujawnienie, modyfikacje, usunięcie lub zniszczenie oraz umożliwiających szybkie podjęcie działań korygujących.

Wyniki realizacji usługi audytu:

Opracowanie raportu dokumentującego jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań ust. 1 i 2 § 20 Rozporządzenia, stanowiących podstawę do podjęcia przez instytucję działań przywracających zgodności z wymaganiami. Raport zawiera w szczególności uwagi, wnioski, zalecenia i wytyczne w celu rozpoznania i ograniczenia zidentyfikowanego ryzyka, zagrożeń i podatności obszarów oraz wskazanie adekwatnych działań mających na celu jak najszybsze ich wyeliminowanie.

Koszt realizacji usługi: do uzgodnienia.

Oferta

ZAPEWNIANIE DOSTĘPNOŚCI

CYFROWA GMINA

System sBiznes ERP

CYBERBEZPIECZEŃSTWO

WDROŻENIA RODO

BEZPIECZEŃSTWO INFORMACJI

ELEKTRO-AUTOMATYKA

INFORMACJE NIEJAWNE

KONTROLA ZARZĄDCZA

KOMPLEKSOWY CONSULTING

AUDYTY

SZKOLENIA
logo-atfide-alfa-white
Strona głównaO firmieOfertaSzkoleniaKontakt

ATFIDE Sp. z o.o.

38-400 Krosno, ul. Tysiąclecia 14 pok. 15B

NIP: 6842651623, REGON: 382099880, 

KRS: 0000763708

Ichtys