Zapewnienie bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych w jednostkach samorządu terytorialnego
Autor: Najwyższa Izba Kontroli
Data publikacji: 02/2025
Tematyka: Administracja publiczna | Cyfryzacja | Samorząd terytorialny
Link źródłowy: kliknij tutaj
Informacja prasowa: kliknij tutaj
Skopiuj link do raportu
Streszczenie
Streszczenie
Dokument przedstawia wyniki kontroli przeprowadzonej przez Najwyższą Izbę Kontroli, koncentrując się na bezpieczeństwie informacji oraz ciągłości działania systemów informatycznych w jednostkach samorządu terytorialnego. Wskazuje na różnorodne działania podejmowane przez urzędy w celu zapewnienia bezpieczeństwa przetwarzania danych, takie jak testowanie kopii zapasowych oraz nadawanie odpowiednich uprawnień pracownikom.
Jednakże, wiele jednostek nie przestrzegało procedur związanych z Polityką Bezpieczeństwa Informacji, co prowadziło do poważnych luk w zabezpieczeniach. Przykłady nieprawidłowości obejmują brak szkoleń dla pracowników, niewłaściwe przechowywanie kopii zapasowych oraz brak regularnych analiz ryzyka dotyczących integralności i poufności informacji.
W niektórych przypadkach, urzędy podejmowały działania mające na celu zapobieganie incydentom bezpieczeństwa, jednak ich zakres był ograniczony. Wskazano również na potrzebę cyklicznego podejmowania działań, takich jak audyty i analizy incydentów, aby skutecznie zarządzać ryzykiem.
Dokument podkreśla znaczenie wdrożenia kompleksowych procedur oraz regularnych szkoleń, aby zapewnić odpowiedni poziom bezpieczeństwa informacji w administracji publicznej. Wnioski z kontroli mogą stanowić podstawę do dalszych działań mających na celu poprawę stanu bezpieczeństwa w jednostkach samorządowych.
Wnioski
Wnioski
1. Większość jednostek samorządu terytorialnego nie wykazuje skuteczności w realizacji zadań związanych z zapewnieniem bezpieczeństwa informacji, co prowadzi do negatywnej oceny ich przygotowania do utrzymania ciągłości działania systemów informatycznych.
2. Wiele urzędów nie przeprowadza regularnych analiz ryzyka dotyczących integralności, poufności i dostępności informacji, co jest niezgodne z obowiązującymi przepisami i może prowadzić do poważnych luk w zabezpieczeniach.
3. Pomimo opracowania planów ciągłości działania, tylko niewielka liczba urzędów regularnie testuje te plany, co ogranicza ich efektywność i zdolność do reagowania na incydenty związane z bezpieczeństwem informacji.
4. Wdrożone rozwiązania organizacyjne i techniczne w zakresie bezpieczeństwa informacji są w większości przypadków niewłaściwie egzekwowane, co skutkuje licznymi nieprawidłowościami w zabezpieczeniach, takich jak brak odpowiednich zapisów w umowach dotyczących usług IT.
5. W urzędach występuje niedobór kompetentnych pracowników odpowiedzialnych za bezpieczeństwo informacji, co wpływa na jakość realizowanych działań oraz na zdolność do skutecznego zarządzania ryzykiem.
6. Wiele jednostek nie monitoruje odpowiednio urządzeń mobilnych, takich jak telefony służbowe i tablety, co stwarza dodatkowe zagrożenia dla bezpieczeństwa informacji i może prowadzić do nieautoryzowanego dostępu do wrażliwych danych.
Główne rekomendacje
Główne rekomendacje
1. Wprowadzenie regularnych szkoleń dla pracowników odpowiedzialnych za przetwarzanie informacji, aby zwiększyć ich świadomość na temat bezpieczeństwa danych oraz procedur związanych z ciągłością działania systemów informatycznych. Szkolenia powinny obejmować aktualne zagrożenia oraz najlepsze praktyki w zakresie ochrony informacji.
2. Opracowanie i wdrożenie szczegółowych planów ciągłości działania oraz planów odtworzeniowych w każdej jednostce, z uwzględnieniem specyfiki działalności urzędów. Plany te powinny być dokumentowane, a ich aktualność regularnie weryfikowana poprzez testy i symulacje.
3. Ustanowienie procedur systematycznego przeprowadzania analiz ryzyka, które powinny być realizowane co najmniej raz w roku. Analizy te powinny obejmować identyfikację zagrożeń, ocenę ich prawdopodobieństwa oraz skutków, a także rekomendacje dotyczące minimalizacji ryzyka.
4. Wzmocnienie zabezpieczeń fizycznych i technicznych w pomieszczeniach serwerowni, w tym wprowadzenie systemów monitorowania dostępu oraz regularnych audytów bezpieczeństwa. Należy również zapewnić, że wszystkie urządzenia i oprogramowanie są odpowiednio zabezpieczone przed nieautoryzowanym dostępem.
5. Udoskonalenie dokumentacji związanej z zarządzaniem środowiskiem informatycznym, aby zapewnić jej rzetelność i aktualność. Dokumentacja powinna być dostępna tylko dla uprawnionych pracowników, a jej treść powinna być regularnie przeglądana i aktualizowana.
6. Wprowadzenie systemu monitorowania i audytowania dostępu do systemów informatycznych, aby zapewnić zgodność z ustalonymi zasadami oraz identyfikować potencjalne nieprawidłowości. Regularne raportowanie wyników monitorowania powinno być przekazywane kierownictwu w celu podejmowania odpowiednich działań korygujących.