4.1. Stosowanie norm PN-iSO/iEC
Badane urzędy zakupiły łącznie 31 norm wyszczególnionych w K R I, przy czym najmniejszym zainteresowaniem cieszyła się norm a PN-ISO /IEC 20000, dotycząca zarządzania usługam i realizow anym i przez system y teleinfor
m atyczne. Zdecydow ana większość instytucji tj. 309, co stanow i ponad 91% badanych, nie zakupiła ani jednej norm y. W zakresie stosowania odpow iednich norm PN -ISO /IEC dokonano 2 973 szkolenia przypadają
ce na pojedynczego urzędnika, co stanow i ok. 11% zatrudnionych (nie
którzy urzędnicy b y li jednak szkoleni z k ilk u norm ).
Szczegółowe dane odnośnie szkoleń zostały zaprezentowane w tabeli 7.
Tabela 7. Szkolenia w zakresie stosowania norm PN-ISO/IEC
Norma Liczba przeszkolonych Liczba urzędów realizujących szkolenia
PN-ISO/IEC 20000 106 6
PN-ISO/IEC 27001 2 564 23
PN-ISO/IEC 27005 160 11
PN-ISO/IEC 24762 143 6
Jed yn ie 7 urzędów przeprow adziło audyt na zgodność z norm ą PN- ISO /IEC 20000. A udyt dotyczący norm y PN -ISO /IEC 27001 w ykonało tro
chę więcej organizacji, tj. 24. Znacznie m niej uzyskało certyfikat - odpo
w ied n io 3 i 10 urzędów - p rzy czym oba posiadał jedynie U rząd M iasta Bydgoszczy oraz Urząd G m in y Św id w in .
25
Przemysław Jatkiewicz
4.2. Inwentaryzacja aktywów teleinformatycznych
W yko nan ie inw entaryzacji aktyw ó w teleinform atycznych zadeklarow a
ło 159 urzędów (46,9%) p rzy czym aktualną, nie starszą niż dw a lata, posiadały 103 jednostki (30,38%). Pom im o deklaracji, 46 urzędów nie potrafiło podać liczb y aktyw ów , zaś kolejnych 40 podało liczbę m niejszą od sum y aktyw n ych w ęzłów sieci i baz danych. D odatkow o 5 następ
nych określiło liczbę aktyw n ych w ęzłów sieci znacząco m niejszą niż liczba pracow ników . Szczegóły zostały przedstawione na rysunku 2.
Poniew aż niem al każdy z pracow ników urzędu w ykonuje pracę b iu row ą i dysponuje zapewne kom puterem , w ydaje się m ało praw dopo
dobne, b y liczba aktyw n ych w ęzłów sieci (kom putery, laptopy, prze
łączniki, routery, serw ery, drukarki sieciow e) stanow iła 90% lub mniej liczb y p racow ników urzędu. Reasum ując, w iaryg od n ą i aktualną in w en taryzację posiadało jedynie 3,54% badanych organizacji.
180 160 140 120 100 80 60 40 20 0
Rys. 2. Inwentaryzacje aktywów teleinformatycznych w badanych instytucjach 180
Brak Nieaktualna Niewiarygodna Aktualna i inwentaryzacji inwentaryzacja inwentaryzacja wiarygodna
inwentaryzacja
26
Wyniki badań
4.3. Analiza ryzyka
N iew iele instytucji opracow ało analizę ryzyka. Z deklaracji w yn ika, że zrob iły to 81 jednostki (23,89%). Jedna natom iast (U rząd G m in y M ińsk M azow iecki) odm ów iła odpow iedzi, pow ołując się na Po lityk ę bezpie
czeństwa inform acji. Jed yn ie 61 analiz można uznać za aktualne.
Rodzaje zastosowanych m etodyk zostały zaprezentowane na rysunku 3.
■ ilościowa ■ jakościowa mieszana * oparta o rywalizację
Rys. 3. Rodzaje zastosowanych metodyk
Znam iennym jest, że respondenci nie um ieli ustalić bądź nie znali nazw użytych metodyk. W ym ieniali następujące nazwy, których większość, ozna
czonych kolorem czerwonym , nie jest nazwam i m etodyk analizy ryzyka:
• burza m ózgów (Starostw o Pow iatow e w W adow icach),
• F M E A ,
• Prince 2 (Starostw o Pow iato w e w Siedlcach),
• arytm etyczna (Starostw o Pow iatow e w K ościerzynie),
• C M M I for Services v. 1.3,
Przemysław Jatkiewicz
• P M I (U rząd G m in y N iem ce),
• C R A M M ,
• delficka (U rząd M iasta Bydgoszcz),
• indukcyjna (U rząd M iasta i G m in y Twardogóra, U rząd G m in y
tyw ó w teleinform atycznych.
4.4. Rejestr incydentów
Ponad połow a (53,69%) respondentów zadeklarow ała prow adzenie reje
stru incydentów , jednakże 134 pozostają puste, gdyż nie zarejestrowano w nim żadnego incydentu. U rząd G m in y N o w y Targ u zn ał natom iast, iż udzielenie inform acji dotyczących prow adzenia rejestru incydentów stanow i zagrożenie inform acji
Szczegółowe inform acje zostały zaprezentowane na rysunku 4 na na
stępnej stronie.
W roku 2014 zarejestrowano łącznie 11 375 incydentów . M ediana in cydentów (zarejestrow anych w prow adzonych, niepustych rejestrach) w yn osi zaś 4. Taka niska wartość m ediany w stosunku do dużej liczby incyd entów w y n ik a ze sposobu rejestracji prow adzonej przez U rząd M arszałko w ski W ojew ó d ztw a Podkarpackiego, k tó ry rejestruje zda
rzenia z system ów an tyw iru so w ych czy ID S/IPS (Intrusion Detection Sys
tem / Intrusion Prevention System). Instytucja ta w roku 2014 zarejestrow a
ła 11 000 incydentów . Cześć z incydentów b yło na tyle pow ażnych, iż 13 urzędów zgłosiło je do Rządow ego Zespołu Reagow ania na In cyd en ty Kom puterow e C ER T , A gencji Bezpieczeństw a W ew nętrznego lub proku
ratury.
28
Wyniki badań
W arto zauw ażyć, że 3 u rzęd y (m iasta Jaw orzno, m iasta M a rk i i gm i
n y Ł u k ó w ) dokonały takich zgłoszeń, lecz nie prow ad zą rejestru in cy dentów .
0,29%
■ Brak rejestru
■ Rejestr pusty lub nieaktualizowany Rejest aktualny
■ Odmowa odpowiedzi
Rys. 4. Rejestry prowadzone przez badane instytucje
4.5. Polityka bezpieczeństwa
O koło 12% urzędów (40 jednostek) nie posiada P o lity k i bezpieczeństwa inform acji. U rząd G m in y N arew ka - w przesłanym piśm ie - uważa, że nie m a potrzeby jej opracowania. Pozostałe u sta n o w iły ją w bardzo różnym czasie, co zostało pokazane na rysu n ku 5. Spośród w spom nia
nych 40 in stytu cji, 33 posiada zarejestrow ane zb iory danych osobo
w ych w rejestrze prow adzonym przez Generalnego Inspektora O chrony D anych O sobow ych (G IO D O ).
Przemysław Jatkiewicz
Rys, 5. Liczba ustanowień Polityk bezpieczeństwa w latach 1997-2015
O statnie zm iany w ustaw ie z 29 sierpnia 1997 roku o ochronie danych osobowych16, wniesione ustaw ą z 7 listopada 2014 roku o u łatw ien iu w y konyw ania działalności gospodarczej, obowiązują od 1 stycznia 2015 ro
ku. Dlatego też należy uznać, iż w szystkie p o lityk i w ydan e przed ro
kiem 2014 i nieaktualizow ane w latach 2014-2015 są już nieaktualne.
Biorąc pow yższe pod uw agę m ożna stw ierdzić, że liczba aktualnych p olityk w yn osi 114 sztuk. N a rysunku 6 przedstaw iono liczbę ostatnich aktualizacji P o lityk bezpieczeństwa badanych jednostek w latach 1997- 2015. Zauw ażono także, iż część respondentów (28) podało tą sam ą datę ustanow ienia i aktualizacji. P rz y form ułow aniu w niosków traktow ano takie przypad ki jako nieaktualizow ane. Pom im o że 205 ankietow anych deklarow ało roczny lub krótszy okres aktualizacji, to ponad 39% z nich aktualizow ało swoje P o lity k i po co najm niej d w uletnim okresie czasu.
16 Dz. U. 2014 r. poz. 1182.
30
Wyniki badań
69
2000 2001 2003 2004 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Rys. 6. Liczba aktualizacji Polityk bezpieczeństwa w latach 1997-2015
Z przeprowadzonych badań w ynika, że praw ie połowa urzędów (48,08%) przeprow adziła audyt swojej P o lityk i bezpieczeństwa. W iększość z nich (86), w ykon ała go w łasn ym i siłam i, zaś 77 posiłkow ało się firm am i ze
w nętrznym i.
Jak w idać na rysunku 7, now elizacja ustaw y o ochronie danych oso
bow ych z roku 2014 stym ulow ała przeprow adzenie audytów . Znam ien
nym jest, iż 5 organizacji przeprow adziło audyt, lecz nie posiada Po lityk i bezpieczeństwa. W szystkie zam ieściły informację o trwających pracach nad jej ustanow ieniem , choć w przypadku U rzędu M iasta i G m in y w Z d u nach, biorąc pod uw agę datę audytu, prace te trw ają już około 6 lat.
Przemysław Jatkiewicz
2005 2005 2007 2008 2009 2010 2011 2012 2013 2014 2015
■ wykonawca wewnętrzny ■ wykonawca wewnętrzny
Rys. 7. Przeprowadzone w latach 2005-2015 audyty Polityki bezpieczeństwa informacji
4.6. Zasoby ludzkie
W iększość urzędów (93,81%) zatrudnia inform atyków , jednakże nie w szyscy z nich posiadają w ykształcenie techniczne.
Dane odnośnie w ykształcenia technicznego służb IT przedstaw iono w tabeli 8.
Tabela 8. Kadra IT badanych jednostek
Wykształcenie Liczba informatyków Liczba urzędów
Brak służb IT 0 21
Wyższe techniczne 406 241
Inne 190 77
Razem (wykształcenie techniczne i inne) 596 318
32
Wyniki badań
Nieznacznie mniej (88,79%) jednostek posiada adm inistratora bezpie
czeństwa inform acji. Znacznie m niejsza liczba u rzędów (50,74%) za
trudnia audytorów wewnętrznych. Strukturę wykształcenia osób pełniących om awiane funkcje przedstaw ia rysunek 8. Brak oznacza nieobsadzone stanowisko. Nieznajom ość w ykształcenia adm inistratora bezpieczeń
stwa czy audytora w ew nętrznego św iadczy zapewne o tym , że czynno
ści przypisane tym funkcjom w ykon u ją w ynajęte osoby.
250 200
150 100
50
0
Rys. 8. Wykształcenie osób pełniących funkcje administratora bezpieczeństwa infor
macji i audytora wewnętrznego
Brak audytora w ew nętrznego z w ykształceniem średnim zw iązan y jest z w ym aganiam i u staw y z 27 sierpnia 2009 roku o finansach publicz
nych:
„Art. 286. 1. Audytorem wew nętrznym m oże być osoba, która:
1) ma obyw atelstw o państw a członkow skiego Unii Europejskiej lub in
nego państwa, którego obyw atelom , na podstaw ie umów m iędzyna
Przemysław Jatkiewicz
rodow ych lub przepisów prawa w spólnotow ego, przysługuje prawo podjęcia zatrudnienia na terytorium R zeczypospolitej Polskiej;
2) ma pełną zdolność do czynności praw nych oraz korzysta z pełni praw publicznych;
3) nie była karana za um yślne przestępstw o lub um yślne przestępstw o skarbowe;
4) posiada wyższe w ykształcenie;
5) posiada następujące kw alifikacje do przeprow adzania audytu we
w nętrznego:
a) jeden z certyfikatózo: C ertified Internai A uditor (CIA), Certified Gov
ernm ent Auditing Professional (CGAP), Certified Inform ation Sys
tems A uditor (CISA), A ssociation o f Chartered Certified A ccount- ants (ACCA), Certified Fraud Exam iner (CFE), C ertification in Control S elf A ssessm ent (CCSA), Certified Financial Services A udi
tor (CFSA) lub Chartered Financial A nalyst (CFA), lub
b) złożyła, w latach 2003-2006, z wynikiem pozytyw nym egzam in na audytora w ew nętrznego przed Kom isją Egzam inacyjną pow ołaną przez M inistra Finansów, lub
c) upraw nienia biegłego rewidenta, lub
d) dw uletnią praktykę w zakresie audytu w ew nętrznego i legitym uje się dyplom em ukończenia studiów podyplom ow ych w zakresie audytu wewnętrznego, wydanym przez jednostkę organizacyjną, która w dniu w ydania dyplom u była uprawniona, zgodnie z odrębnym i ustawami, do nadawania stopnia naukowego doktora nauk ekonom icznych lub praw nych"17.
4.7. Procedury
N ajw ięcej procedur opracow anych i w drożonych w urzędach dotyczy eksploatacji. Znacznie m niejsza liczba zw iązana jest z w drożeniem no
w ych aktyw ów , w ycofaniem aktyw ów ' z eksploatacji oraz testowaniem .
17 Dz.U. 2009 nr 157 poz. 1240.
34
Wyniki badań
Szczegółow e inform acje zostały zaprezentow ane w tabeli 9. W y n ik a z niej, że w badanej grupie istn ieją instytucje, które nie m ają ani jednej z co najm niej kilk u w yszczególnionych grup procedur. O dpow iednie dane zostały przedstaw ione na rysunku 9. Ukazuje on procent urzędów , które m ają przynajm niej po jednej procedurze w każdej z grup.
Tabela 9. Procedury wdrożone w badanych urzędach
Procedury
N ajw iększa liczba procedur opracow anych przez urzędy, dotyczyła eksploatacji aktyw ów . Najm niejsza liczba zw iązana b yła z testowaniem aktyw ów . Szczegółowe liczby zostały zaprezentowane na rysunku 10.
Przemysław Jatkiewicz
■ O procedur 1 grupa procedur
■ 2 grupy procedur
■ 3 grupy procedur
■ 4 grupy procedur
Rys. 9. Grupy procedur w badanych instytucjach
689
700
600
500
400
300
200
100
0
W drażanie Eksploatacja W ycofanie Testowanie
nowych aktywów aktywów aktywów aktywów
Rys. 10. Liczba procedur opracowanych przez badane instytucje
36
Wyniki badań
4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa
Sum aryczna ocena, dokonana przez respondentów i umieszczona w tabeli 10, jest zbliżona co do wartości dla każdego z przedstawionych w pytaniu nr 7 ankiety problemów.
Tabela 10. Sumaryczna ocena problemów związanych z ustanowieniem i wdrożeniem Polityki bezpieczeństwa
Problem Punktacja
W iedza, doświadczenie 827
Finanse 920
Opór czynnika ludzkiego 855
Respondenci najczęściej p rzyzn aw ali m aksym alną liczbę punktów pro
blem om finansow ym , co zostało pokazane w tabeli 11. O graniczone środki finansow e w p ływ ają na niedostateczną liczbę szkoleń oraz dzia
łań, m ających na celu nie tylko pozyskanie w ied zy i kom petencji, lecz także podniesienie św iadom ości znaczenia ochrony inform acji i w ystę
pujących zagrożeń.
Tabela 11. Liczba instytucji przyznających maksymalną punktację dla poszczególnych pro
blemów
Problem Liczba instytucji
W iedza, doświadczenie 36
Finanse 82
Opór czynnika ludzkiego 52
U rzęd n icy dodatkow o w ym ie n ili następujące, nieskategoryzow ane pro
blem y:
• sporządzanie audytów bezpieczeństwa,
• brak czasu,
37
Przemysław Jatkiewicz
• problem y sprzętowe,
• pracochłonność,
• braki kadrowe,
• sposób p rzep ływ u danych pom iędzy system am i,
• nieprecyzyjne, niejasne, niespójne przepisy oraz ich interpretacja,
• nadm iar obow iązków ,
• duża liczba zadań,
• brak zainteresow ania pracow ników .
4.9. Zgodność z WCAG 2.0
M ożna uznać, iż nie więcej niż 48 portali B IP badanych jednostek (14,16%) spełniało w ym agania zgodności z W C A G 2.0. Praw ie w szystkie posiadały wręcz ascetyczną formę. Do w yjątk ó w należy portal G m in y Kornow ac, którego stronę głów ną pokazuje rysunek 11.
C łt ń Icoinowac.bipęmira.pl
Rys. 11. Biuletyn informacji Publicznej Gminy Kornowac
38