Audyt KRI (Krajowe Ramy Interoperacyjności) w obszarze bezpieczeństwa informacji

Trafiając na tę stronę, jest wysoce prawdopodobne, iż interesuje Cię audyt KRI (Krajowe Ramy Interoperacyjności) w Twojej jednostce. Świetnie! W takim razie wyjaśnimy Ci rodzaje i różnice audytów z podziałem na sektory i ich zakres. Zapewniamy, iż po zapoznaniu się tymi informacjami, świadomie podejmiesz decyzję w doborze audytu oraz sposobie jego realizacji. Jeśli masz wątpliwości, pytania, napisz do nas. Otrzymasz rzetelną niezobowiązującą odpowiedź, która może przerodzić się w ciekawą realizację wybranego przez Ciebie audytu.

Nie hamuj się, napisz do nas. Kto pyta nie błądzi!

Audyt KRI (Krajowe Ramy Interoperacyjności) | Bezpieczeństwo informacji czy bezpieczeństwo informacji osobowych?

Patrząc przez pryzmat szeroko rozumianych danych przetwarzanych w sektorze publicznym, bezpieczeństwo informacji ma swoje odzwierciedlenie w Ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne, rozporządzeniach do wymienionej Ustawy ze szczególnym uwzględnieniem Rozporządzenia w sprawie Krajowych Ram Interoperacyjności, oraz Ustawie o Krajowym Systemie Cyberbezpieczeństwa.

Natomiast bezpieczeństwo informacji osobowych swoje odzwierciedlenie ma w Rozporządzeniu ogólnym RODO, trzech ustawach o ochronie danych osobowych (Dz.U. 2018 poz. 1000, Dz.U. 2019 poz. 125, Dz.U. 2019 poz. 730) wraz z rozporządzeniami, oraz wytycznych Europejskiej Rady Ochrony Danych ‑ EROD (dawniej: Grupa Robocza Art. 29). Oczywiście tematyka danych jest bardzo rozległa i można by wymienić wiele więcej przepisów, jednakże niniejsze informacje mają na celu ukierunkować Twoje działania w aspekcie bezpieczeństwa informacji oraz informacji osobowych.


Jaka jest różnica pomiędzy testem podatności a testem penetracyjnym w kontekście audytu Krajowych Ram Interoperacyjności?

Dość częstym zjawiskiem jest mylenie powyższych dwóch pojęć przez jednostki zamawiające usługi (w szczególności audyt KRI), co wiąże się ze sporymi różnicami kosztów po stronie wykonawcy.

Zasadniczą różnicą pomiędzy testem podatności (o którym mowa m.in. w rozporządzeniu Krajowych Ram Interoperacyjności), a testem penetracyjnym jest to, iż test podatności jest skanowaniem / wykrywaniem luk. Natomiast test penetracyjny jest przeprowadzaniem kontrolowanego ataku na system IT jednostki jako „przedłużenie” testu podatności. Więcej informacji znajdziesz pod tym linkiem: www.iso-lex.pl w części FAQ.


UWAGA:

  • Z dniem 21 maja 2024 opublikowano nowe Rozporządzenie Krajowych Ram Interoperacyjności (które zmieniło się w minimalnym zakresie).
  • Obecnie opublikowano projekt nowej Ustawy o Krajowym Systemie Cyberbezpieczeństwa (stan na 10 lipca 2024r.).

Audyt bezpieczeństwa informacji w sektorze publicznym i prywatnym. Jaki? Kiedy?

W sektorze publicznym i prywatnym wyróżniamy dwa rodzaje audytu bezpieczeństwa ukierunkowanego na ochronę informacji. Bezpieczeństwo informacji (danych) oraz bezpieczeństwo informacji osobowych (danych osobowych). Innymi słowy: bezpieczeństwo informacji (danych) podlega audytowi KRI (audytowi Krajowych Ram Interoperacyjności), a bezpieczeństwo informacji (danych) osobowych podlega tzw. audytowi RODO. Każdy z tych obszarów wymaga zarządzania, które winno być poddawane regularnym przeglądom / audytom celem ciągłego doskonalenia jednostki.

Audyt KRI (Krajowe Ramy Interoperacyjności) ‑ Kogo dotyczy?

W sektorze publicznym wykonuje się:

  • audyt KRI (Krajowe Ram Interoperacyjności) wynikający z rozporządzenia KRI;
  • audyt w oparciu o przepisy i wytyczne w zakresie ochrony danych osobowych (RODO, UODO, EROD i inne);
  • audyt KSC (w przypadku bycia operatorem usługi kluczowej) wykorzystywanego do świadczenia usługi kluczowej, wynikający z UoKSC (Ustawy o Krajowym Systemie Cyberbezpieczeństwa).

W sektorze prywatnym wykonuje się:

  • audyt RODO w oparciu o przepisy i wytyczne z zakresu ochrony danych osobowych (RODO, UODO, EROD i inne);
  • audyt KSC (w przypadku bycia operatorem usługi kluczowej) wykorzystywanego do świadczenia usługi kluczowej, wynikający z UoKSC (Ustawy o Krajowym Systemie Cyberbezpieczeństwa);
  • audyt KRI (Krajowe Ram Interoperacyjności) wynikający z rozporządzenia KRI w przypadku, gdy realizowane są zadania publiczne (Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne, art. 2 ust. 2).

Audyt KRI (Krajowe Ramy Interoperacyjności) ‑ Kiedy?

Audyt KRI w zakresie bezpieczeństwa informacji jest literalnie wskazany w rozporządzeniu KRI oraz jego wykonywanie (§19 ust. 2 pkt 14) nie rzadziej niż raz na rok. Natomiast literalnego wskazania audytu w zakresie bezpieczeństwa informacji osobowych już nie ma. Niemniej jednak powodów aby go przeprowadzać jest wiele chociażby z uwagi na brzmienie art. 39 RODO. Jest on świetnym rozszerzeniem audytu bezpieczeństwa informacji wynikającym z rozporządzenia w sprawie Krajowych Ram Interoperacyjności. Obydwa audyty idealnie się uzupełniają i często są wykonywane równocześnie lub jako jeden spójny audyt.

Audyt KSC (Krajowy System Cyberbezpieczeństwa) ‑ Kiedy?

Dodatkowo wskazuje się wykonanie audytu KSC (Krajowy System Cyberbezpieczeństwa) bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej co najmniej raz na 2 lata, wynikającego z Ustawy o Krajowym Systemie Cyberbezpieczeństwa (art. 15 ust. 1). Dotyczy on tylko i wyłącznie operatorów usług kluczowych sektora publicznego i niepublicznego.

UWAGA: Obecnie trwają prace na nową Ustawą o Krajowym Systemie Cyberbezpieczeństwa (opublikowano projekt nowej Ustawy).


Audyt KRI ‑ Wykonanie

Audyt KRI możesz wykonać samodzielnie (audyt pierwszej strony) lub też zlecić firmie zewnętrznej (audyt drugiej strony). Często mniejsze jednostki decydują się na tę pierwszą formę z uwagi na czynnik ekonomiczno-finansowy, jednakże zapraszamy do kontaktu z naszą organizacją ‑ ISO‑LEX.

Dlaczego warto się skontaktować z organizacją ISO‑LEX ws. audytu KRI (Krajowych Ram Interoperacyjności)?

  • Powód 1: bycie małą jednostką nie oznacza mniejszy zakres audytu co wiąże się z mniejszą ceną. Zakres jest zawsze ten sam! Wynika on chociażby z wytycznych Ministerstwa Cyfryzacji dla NIKu. Tym, co dyktuje koszt audytu jest nakład pracy naszych audytorów oraz jego czasookres względem rozmiaru jednostki/organizacji audytowanej. Dlatego skontaktuj się z nami by rozwiać wątpliwości.
  • Powód 2: Niezobowiązująco dowiesz się, jaki jest faktyczny koszt oraz zakres profesjonalnego audytu KRI (Krajowych Ram Interoperacyjności) wobec Twojej jednostki/organizacji.