Reklama

Polityka i prawo

Ministerstwo Cyfryzacji ma plan wzmocnienia cyberbezpieczeństwa samorządów

Fot. Ksap.gov.pl
Fot. Ksap.gov.pl

W odpowiedzi na ostatni raport NIK, w którym stwierdzono liczne uchybienia w obszarze cyberbezpieczeństwa samorządów, Ministerstwo Cyfryzacji podejmuje szereg działań ukierunkowanych na poprawę bezpieczeństwa danych w tych jednostkach. W odpowiedzi na interpelację poselską, Minister Cyfryzacji Marek Zagórski przedstawił konkretne inicjatywy resortu.

Poseł Adam Ołdakowski zadał Ministrowi Cyfryzacji pytanie w formie interpelacji poselskiej dotyczące podatności administracji publicznej na ataki hakerskie. Powołał się na przeprowadzone przez NIK kontrolę jakości, z której wynika, iż systemy informatyczne i dane gromadzone przez urzędy są słabo chronione i podatne na ataki hakerskie. Pomimo tego, że problem nie jest nowy, nie nastąpiła żadna poprawa w tym obszarze – konkluduje poseł.  Zdaniem Ołdakowskiego rodzi to uzasadnione obawy o bezpieczeństwo danych obywateli, zwłaszcza że coraz więcej spraw załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych w postaci elektronicznej.

Ołdakowski zadał dwa pytanie Ministrowie. Pierwsze dotyczyło świadomości Ministerstwa w tym obszarze a drugie odnosiło się do działań, jakie resort ma podjąć w celu informowania organów administracji o wymogach w zakresie bezpieczeństwa informacji.

Minister Zagórski odpowiedział, że bezpieczeństwo informacji stanowi obecnie jeden z kluczowych obszarów zainteresowania Ministerstwa Cyfryzacji. Zaznaczył również, że minimalne wymagania dla systemów teleinformatycznych określone zostały w rozporządzeniu Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Minister Cyfryzacji zaznaczył jednak, że nie posiada instrumentów egzekwowania stosowania Krajowych Ram Interoperacyjności

Minister Cyfryzacji odwołując się do wyników kontroli NIK w sprawie bezpieczeństwa informacji w samorządach wskazał dwie główne przyczyny takiego stanu rzeczy.  Po pierwsze brak świadomości, jak ważna jest problematyka bezpieczeństwa informacji. Po drugie, nawet tam gdzie jest świadomość potrzeby ochrony informacji, występują obiektywne trudności w realizacji niezbędnych przedsięwzięć techniczno-organizacyjnych, związane głównie z brakami środków finansowych. Ograniczenia finansowe są także głównym powodem trudności w pozyskaniu fachowców informatyków z zakresu bezpieczeństwa informacji.

Ministerstwo Cyfryzacji planuje w porozumieniu z ministrem właściwym ds. administracji publicznej oraz Komisją Wspólną Rządu i Samorządu Terytorialnego następujące przedsięwzięcia: 

  • zaangażowanie JST w ćwiczenia ogólnokrajowe dotyczące cyberbezpieczeństwa;
  • dystrybucję gotowych narzędzi (tzw. toolboxy) przygotowanych przez specjalistów z NASK-PIB;
  • akcje informacyjne dla kierowników jednostek o obowiązkach wynikających z przepisów prawa wraz z poradami jak je realizować przy pomocy dostępnych środków;
  • utworzenie platformy e-learningowej.

W dalszej perspektywie, w miarę możliwości organizacyjnych i finansowych, planowane są dalsze działania:

  • wdrożenie systemu szkoleń dla osób zajmujących kierownicze stanowiska w JST, w szczególności w okresie po wyborach samorządowych, gdy następują zmiany na tych stanowiskach;
  • przygotowanie scenariuszy szkoleniowych podnoszących świadomość wśród szeregowych pracowników (tzw. cyberhigieną);
  • organizację wsparcia w zakresie budowy systemów zarządzania bezpieczeństwem, w tym standaryzację dokumentacji normatywnej SZBI, metodyk zarządzania ryzykiem, planowania ciągłości działania, procedur operacyjnych;
  • agregacji nadzoru nad cyberbezpieczeństwem w JST w postaci regionalnych centrów operacyjnych.

Ponadto w Ministerstwie Cyfryzacji prowadzone są prace nad doskonaleniem i aktualizacją Polityk Bezpieczeństwa Informacji (PBI) dla rejestrów i systemów państwowych, m.in. Systemu Rejestrów Państwowych (dalej: SRP) oraz ePUAP. Widząc potrzebę wsparcia JST i urzędów wojewódzkich w zakresie bezpieczeństwa teleinformatycznego, w oparciu o przygotowaną dokumentację, przygotowana zostanie wzorcowa PBI SRP. Urzędy wojewódzkie i JST bazując na powyżej dokumentacji, po uwzględnieniu swoich uwarunkowań wewnętrznych i zewnętrznych, będą mogły opracować własne PBI SRP dostosowane do ich struktury organizacyjnych i realizowanych zadań – napisał Minister.

Ważnym elementem promowania bezpieczeństwa informacji i ochrony danych jest także działalność MC prowadzona w obszarze kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych. W celu zapewnienie wsparcia kontroli bezpieczeństwa teleinformatycznego na wszystkich szczeblach administracji państwowej w MC opracowano Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych – czytamy w odpowiedzi Ministra Zagórskiego. Ponadto przeprowadzono cykl szkoleń dla pracowników urzędów centralnych (ministerstw) i urzędów wojewódzkich z Wytycznych dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych

Minister poinformował, również, że pracownicy MC wzięli aktywny udział w pracach prowadzonych w Kancelarii Prezesa Rady Ministrów mających na celu opracowanie Ramowego programu kontroli w zakresie wykorzystywania systemów teleinformatycznych do realizacji zadań publicznych. Celem tego dokumentu jest wsparcie działalności kontrolnej w przygotowaniu indywidualnych programów kontroli w zakresie realizacji obowiązków określonych w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne. Ramowy program może być wykorzystany w dowolnym zakresie, adekwatnie do celów kontroli i charakteru jednostki.

Ministerstwo Cyfryzacji rozpoczęło również realizację Programu WIIP – Wspólna Infrastruktura Informatyczna Państwa. Podstawowe cele programu to:

  • zapewnienie bezpieczeństwa danych przetwarzanych w systemach teleinformatycznych podmiotów administracji publicznej oraz optymalizacji kosztów utrzymania tych systemów;
  • wprowadzenie jednolitych wysokich standardów ochrony systemów informatycznych i wspieranie podmiotów administracji publicznej w utrzymaniu tych systemów oraz uzyskiwaniu usług niezbędnych do ich budowy;
  • zapewnienie wysokiego poziomu usług świadczonych społeczeństwu przez administrację publiczną.

W roku 2020 planuje się ukończenie wdrażania Rządowego Klastra Bezpieczeństwa, wydzielonej infrastruktury sieciowej oraz dedykowanego centrum bezpieczeństwa SOC/NOC. Wraz z oddaniem do użytku nowej infrastruktury i rozwiązań organizacyjnych zaplanowano również wdrożenie nowego, wewnętrznego standardu bezpieczeństwa dla centrów przetwarzania danych, które będą przyłączane do RKB – podkreślił Minister.

Reklama
Reklama

Komentarze