Co to jest KRI i kogo dotyczy?
KRI to rozporządzenie Rady Ministrów z dnia 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności, które skierowane jest do instytucji publicznych.
Rozporządzeniem objęte są: urzędy miejskie, urzędy gminne, starostwa powiatowe, organy administracji rządowej, sądy, prokuratury, organy kontroli państwowej i wiele innych podmiotów publicznych.
Audyt KRI – czym jest?
Audyt KRI jest jednym z wymogów rozporządzenia Rady Ministrów z dnia 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności.
Ważnym obowiązkiem podmiotów objętych KRI jest przeprowadzenie audytu, którego celem jest weryfikacja bezpieczeństwa danych. Audyt należy wykonać przynajmniej raz w roku i może być przeprowadzony wewnętrznie lub z pomocą zewnętrznej firmy.
Audyt wewnętrzny przeprowadzany przez osoby nie posiadające wymaganych kwalifikacji lub osoby powiązane z codzienną pracą jednostki może być jednak nieobiektywny lub nieprawidłowy. Może to prowadzić do incydentów związanych z bezpieczeństwem informacji lub ochroną danych. Incydentów możemy uniknąć przy dokładnej weryfikacji zabezpieczeń prowadzonej przez fachowy zespół audytorów zewnętrznych.
Przebieg audytu
Przedmiotem audytu „krajowych ram” jest weryfikacja bezpieczeństwa informacji i systemów informatycznych. Wbrew pozorom zakres tego audytu jest bardzo szeroki, gdyż §20 ust. 3 Rozporządzenia stanowi, że system zarządzania bezpieczeństwem informacji w jednostce publicznej jest zgodny z KRI jeśli został opracowany na podstawie Polskiej Normy PN-ISO 27001, a ustanowione zabezpieczenia, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą.
W praktyce oznacza to, że audyt powinien objąć swoim zakresem normy ISO 27002, ISO 27005 oraz ISO 22301.
Każdy audyt KRI zakończony jest sporządzeniem raportu, przedstawiającego poziom spełnienia wymogów w formie graficznej, opis badanych obszarów oraz listę zaleceń.
Korzyści audytu KRI
Prawidłowo przeprowadzony audyt bezpieczeństwa KRI daje kierownictwu jednostki publicznej szereg korzyści. Do najważniejszych zaliczamy:
sprawdzenie bezpieczeństwa działania systemów teleinformatycznych pod kątem bezpieczeństwa informacji w celu ewentualnego podjęcia czynności eliminujących zagrożenia
zwiększenie odporności na ataki hakerskie, prowadzące do utraty danych, wycieku danych osobowych lub nawet utraty środków finansowych.