Przemysław Jatkiewicz
Raport z badań:
Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności w jednostkach samorządu terytorialnego
© 05
POLSKIE TOWARZYSTWO INFORMATYCZNElot
P
o l s k i eT
o w a r z y s t w oI
n f o r m a t y c z n ePrzemysław Jatkiewicz
Wdrożenie wybranych wymagań dotyczących systemów informatycznych
oraz Krajowych Ram Interoperacyjności w jednostkach samorządu terytorialnego
Raport z badań
W A R S Z A W A 2 0 1 6
Po lsk ie To w a r z y s t w o In fo r m a t y c z n e
ISBN 978-83-60810-82-8 (druk) ISBN 978-83-60810-83-5 (e-book)
Praca ta objęta jest licencją Creative Commons Uznanie Autorstwa 3.0 Polska.
Aby zapoznać się z kopią licencji, należy odwiedzić stronę internetową http://creativecommons.Org/licenses/by/3.0/pl/legalcode lub wysłać list do Creative Commons, 543 Howard St,,5th Floor, San Francisco, California, 94105, USA,
C C b y P o ls k ie T o w a r z y s t w o In f o r m a t y c z n e 2 0 1 6
Badanie wykonał Zespół w składzie:
Przemysław Jatkiewicz (kierownik), Adam Mizerski, Krystyna Pełka-Kamińska, Anna Szczukiewicz, Janusz Żmudziński
Recenzenci:
Prof, dr hab. Zdzisław Szyjewski - Uniwersytet Szczeciński Dr inż, Adrian Kapczyński - Politechnika Śląska w Gliwicach
Korekta: zespół
Skład: Marek W. Gawron
Wydawca:
P o lskie T o w a r z y s tw o In fo rm a ty czn e 00-394 Warszawa, ul. Solec 38 lok, 103 tel.+48 22 838 47 05
e-mail: pti@pti.org.pl www.pti.org.pl
Druk i oprawa:
Elpil
08-110 Siedlce, ul. Artyleryjska 11 tel. +48 25 643 65 51
e-mail: info@elpil.com.pl
Wszystkie tabele, rysunki i wykresy, o ile nie zaznaczono inaczej, zostały wykonane przez Autora
Spis treści
Od Wydawcy 5 1. Wstęp 7 2. Metodyka 9 3. Przebieg badań 17 4. Wyniki badań 25
4.1. Stosowanie norm PN-ISO/IEC 25
4.2. Inwentaryzacja aktywów teleinformatycznych 26 4.3. Analiza ryzyka 27
4.4. Rejestr incydentów 28 4.5. Polityka bezpieczeństwa 29 4.6. Zasoby ludzkie 32
4.7. Procedury 34
4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa 36 4.9. Zgodność z WCAG 2.0 38
5. W eryfikacja hipotez 39
5.1. Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za pomocą systemów teleinformatycznych zgodnie z przepisami KRI 39
5.2. Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza
nia usługami realizowanymi za pomocą systemów teleinformatycz
nych jest zależna od wielkości podmiotu, liczby i wykształcenia osób związanych z IT 40
5.3. Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawi
dłowo systemu zarządzania bezpieczeństwem informacji 42
5.4. Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeń
stwem informacji zależy od wielkości podmiotu, liczby i wykształce
nia osób związanych z IT 43
5.5. Hipoteza 5: Większość systemów teleinformatycznych badanych pod
miotów służących do prezentacji zasobów informacji nie jest zgod
nych ze standardem WCAG 2.0 45
5.6. Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemów teleinformatycznych służących do prezentacji zasobów informacji ze standardem WCAG 2.0 45
5.7. Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak adekwat
nych kwalifikacji kadry badanych jednostek 45 . W nioski i spostrzeżenia 47
Bibliografia 51
Załącznik 1. Ankieta 55 Załącznik 2. Zażalenie 59
Załącznik 3. W spólne stanowisko Departamentu Inform atyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa inform acji 61
Załącznik 4. Wyciąg z dokumentu WCAG 2.0 dotyczącego badanych wytycznych 65
Załącznik 5. Wykaz badanych podmiotów 69
Załącznik 6. Wykaz podmiotów, którym przekazano wyniki badań 85
Szanowni Państwo,
mamy przyjemność przekazać w Państwa ręce trzecią książkę z cyklu wydawni
czego Polskiego Towarzystwa Informatycznego Biblioteczka Izby Rzeczoznaw
ców PTI.
Celem cyklu jest przedstawienie treści mogących zainteresować zarówno osoby zajmujące się zawodowo informatyką, jak i tych z Państwa, którzy w swojej pracy stykają się z zagadnieniami i problemami związanymi z informatyką.
Autorem trzeciego tomu z cyklu Biblioteczka Izby Rzeczoznawców PTI jest rze
czoznawca izby Rzeczoznawców PTI, dr inż. Przemysław Jatkiewicz. Monografia prezentuje wyniki badań przeprowadzonych w roku 2015, a dotyczących przepi
sów Rozporządzenia Rady Ministrów z 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wy
miany informacji w postaci elektronicznej oraz minimalnych wymagań dla syste
mów teleinformatycznych, związanych z zarządzaniem systemami informatycz
nymi. W trybie dostępu do informacji publicznej pozyskano dane od 339 jednostek samorządowych, które pozwoliły na weryfikację postawionych na wstępie hipotez.
Zapraszamy do lektury niniejszego oraz poprzednich i kolejnych tomów z serii Biblioteczka Izby Rzeczoznawców PTI.
Marian Noga Tomasz Szatkowski
Prezes Dyrektor Izby Rzeczoznawców
Polskiego Towarzystwa Informatycznego Polskiego Towarzystwa Informatycznego
Warszawa 1 marca 2016 roku
W stęp
30 m aja 2012 roku weszło w życie rozporządzenie R ad y M in istró w z 12 k w ie tn ia 2012 roku w spraw ie K rajo w ych Ram Interoperacyjności, m in im aln ych wym agań dla rejestrów publicznych i w ym ian y inform acji w postaci elektronicznej oraz m inim alnych w ym agań dla system ów tele
inform atycznych1, zwane w dalszej części jako K R I. Rozporządzenie zostało w ydane na podstaw ie art. 18 ustaw y z 17 lutego 2005 roku o in form atyzacji działalności podm iotów realizujących zadania publiczne2.
A rty k u ł 18 zobowiązuje Radę M in istró w do określenia w drodze rozpo
rządzenia, w ym agań m ających na uw adze zapew nienie m iędzy innym i:
• spójności d ziałania system ów teleinform atycznych,
• sprawnej i bezpiecznej w ym ian y inform acji w postaci elektro
nicznej,
• dostępu do zasobów inform acji osobom niepełnospraw nym . Z ap isy K R I zaczynają obow iązyw ać w różnych term inach. Podm ioty realizujące zadania publiczne zostały zobowiązane do dostosowania system ów teleinform atycznych do standardu W C A G 2.0 na poziom ie A A 3 w ciągu 3 lat, a w ięc do dnia 1 czerwca 2015 roku.
Sposób zarządzania usługam i realizow anym i za pom ocą system ów teleinform atycznych, w ym ian a danych pom iędzy system am i, jak i sys
tem zarządzania bezpieczeństwem inform acji, p o w in n y spełniać przepi
sy K R I p rzy w drożeniu lub w d niu ich pierw szej istotnej m odernizacji.
W obec dużego znaczenia w spom nianych przepisów dla procesu infor
m atyzacji instytucji publicznych oraz dochodzących alarm ujących sygna
1 Dz.U. 2012 poz. 526.
2 Dz.U. 2005 nr 64 poz. 565.
3 Web Content Accessibility Guidelines (WCAG) 2.0 W3C Recommendation 11 Decem
ber 2008.
Przemysław Jatkiewicz
łó w o ich realizacji w organizacjach sam orządowych, Polskie Towarzy
stwo Informatyczne, na m ocy uch w ały Zarządu Głównego nr 027 / X II / 2015 z 24 stycznia 2015 roku, podjęło prace badaw cze związane z oceną stanu w drożenia K R I w jednostkach sam orządowych.
8
M etodyka
Celem badania b yło stw ierdzenie, czy jednostki sam orządowe spełniają przepisy K R I lub podjęły prace nad w drożeniem odpow iednich m echa
nizm ów . Przeprow adzono je w pierw szych 3 kw artałach 2015 roku. Ba
dana populacja licz yła 2 917 podm iotów , na które składały się urzędy m arszałkow skie, pow iatow e, m iejskie i gminne.
Sformułowano następujące hipotezy badaw cze:
Hipoteza 1:
W iększość badanych podm iotów nie zarządza usługam i realizow an ym i za pom ocą system ów teleinform atycznych zgodnie z przepisam i K R I.
Hipoteza 2:
Stopień w drożenia przepisów K R I dotyczących zarządzania usługam i realizow anym i za pom ocą system ów teleinform atycznych jest zależny od w ielkości podm iotu, liczby i w y kształcenia osób zw iązanych z IT.
Hipoteza 3:
W iększość badanych podm iotów nie w d rożyła p raw id ło w o system u zarządzania bezpieczeństwem inform acji.Hipoteza 4:
Stopień w drożenia system u zarządzania bezpieczeństwem inform acji zależy od w ielkości podm iotu, liczb y i w ykształcenia osób zw iązanych z IT.
Hipoteza 5:
W iększość system ów teleinform atycznych służących do prezentacji zasobów inform acji badanych podm iotów nie jest zgodnych ze standardem W C A G 2.0.
Hipoteza 6:
Jednostki wyższego szczebla bardziej dbają o zgodność sw oich system ów teleinform atycznych służących do prezentacji zasobów inform acji ze standardem W C A G 2.0.
Hipoteza 7:
G łó w n ą przeszkodą w e w drożeniu K R I jest brak adekw atnych k w alifik acji kad ry badanych jednostek.
Przemysław Jatkiewicz
W celu w eryfikacji w ym ien ion ych hipotez, jak rów nież uzyskania do
d atkow ych cennych inform acji, opracowano ankietę stanow iącą załącz
n ik nr 1.
H ipotezę nr 1 w eryfikow ano na podstaw ie odpow iedzi na pytania szczegółowe. M ożna ją uznać za p raw dziw ą, jeśli większość z badanych podm iotów spełnia przynajm niej 1 z 3 następujących w arunków :
1) Posiadanie certyfikatu zgodności z PN -ISO /IEC 200004 zgodnie z § 15. 3 K R I.
2) Przeszkolenie przynajm niej 1 pracow nika lub zakup norm y PN- 1SO/IEC 20000 w raz z przeprow adzeniem audytu na zgodność z PN -ISO /IEC 20000.
3) Posiadanie przynajm niej po 1 udokum entowanej procedurze zgodnie z § 15. 2 K R I, dotyczącej w drażania, eksploatacji, w yco fyw an ia i testow ania aktyw ó w teleinform atycznych.
H ip o tezę nr 2 w eryfiko w an o na podstaw ie ustalenia zależności po
m iędzy w ielk o ścią jednostki, określoną na podstaw ie jej szczebla zgodnie z tabelą 1, a liczbą punktów przyznaw anych w edle klucza pre
zentowanego w tabeli 2.
Tabela 1. Klasy wielkości w odniesieniu do szczebla instytucji
Rodzaj urzędu Wielkość jednostki
Urząd Marszałkowski Duża
Urząd M iejski w mieście na prawach powiatu Duża
Urząd Dzielnicy (W arszaw a) Duża
Urząd Pow iatow y Średnia
Urząd Miejski Średnia
Urząd M iasta i Gminy M ała
Urząd Gminy M ała
4 PN-ISO/IEC 20000-1: 2007 - Technika informatyczna - Zarządzanie usługami - Część 1:
Specyfikacja, PN-ISO/TEC 20000-2: 2007 - Technika informatyczna - Zarządzanie usługami - Część 2: Reguły postępowania.
10
Metodyka
Tabela 2. Punktacja cech dla hipotezy nr 2
Punktowana cecha Liczba punktów
Szkolenie przynajmniej 1 osoby z zakresu wym agań PN-ISO/IEC 20000
lub zakup norm y PN-ISO/IEC 20000 4
Audyt na zgodność z PN-ISO/IEC 20000 4
Procedura wdrażania nowych aktyw ów teleinform atycznych 1 Procedura bieżącej eksploatacji aktyw ów teleinform atycznych 1
Procedura w ycofania aktyw ów teleinform atycznych 1
Procedura testow ania system ów teleinform atycznych 1
H ipotezę nr 3 m ożna uznać za p ra w d z iw y jeśli w iększość z badanych podm iotów spełnia przynajm niej 1 z 3 następujących w arunków :
1) Posiadanie certyfikatu zgodności z PN -ISO /IEC 270015, zgodnie z § 20. 3 K R I.
2) Przeszkolenie przynajm niej jednego pracow nika oraz przepro
wadzenie audytu na zgodność z PN -ISO /IEC 27001.
3) Posiadanie i aktualizow anie:
a. inw entaryzacji aktyw ów teleinform atycznych, b. analizy ryzyka,
c. rejestru incydentów ,
d. p o lityk i bezpieczeństwa i in form acji opartych o PN- IS O /IE C 27001.
H ipotezę nr 4 w eryfikow ano na podstaw ie ustalenia zależności pom ię
dzy w ielk o ścią jednostki, określoną na podstaw ie jej w ielko ści zgodnie z tabelą 1 oraz liczbą i w ykształceniem kad ry odpow iedzialnej za zarzą
dzanie przetw arzaniem inform acji, w pow iązaniu z liczbą punktów przyznaw anych zgodnie z kluczem prezentowanym w tabeli 3.
5 PN-ISO/IEC 27001:2014, Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania.
11
Przemysław Jatkiewicz
Tabela 3. Punktacja cech dla hipotezy nr 4
Punktowana cecha Liczba
punktów Szkolenie przynajmniej 1 osoby z zakresu wym agań PN-ISO/IEC 27001 lub zakup
normy PN-ISO/IEC 27001 15
Audyt na zgodność z PN-ISO/IEC 27001 15
Szkolenie przynajmniej 1 osoby z zakresu wym agań PN-ISO/27005 lub zakup
norm y PN-ISO/IEC 270056 1
Szkolenie przynajmniej 1 osoby z zakresu wym agań PN-ISO/24762 lub zakup
norm y PN-ISO/IEC 247S27 1
W ykonanie inwentaryzacji aktyw ów teleinform atycznych 7
W ykonanie analizy ryzyka 6
Prowadzenie rejestru incydentów 6
w edług UODO 1
w edług PN-ISO/27001 2
Ustanow ienie polityki bezpieczeństwa okres przeglądu poniżej roku 1
informacji okres przeglądu powyżej roku -1
audytow anie 1
aktualizacja 1
W arunkiem przyznania punktów za w ykonanie inw entaryzacji akty
w ó w teleinform atycznych b yło podanie w ankiecie daty jej w ykonania, liczb y aktyw ów , aktyw n ych w ęzłów sieci oraz baz danych. Uznano, iż liczba ak tyw ó w teleinform atycznych oraz ak tyw n ych w ęzłów sieci znacząco m niejsza niż liczba zatru dn io n ych p racow n ików (1 0 % ) jest błędem i oznacza niepopraw ne w ykon an ie in w en taryzacji. W takiej sytuacji p u nkty nie b y ły przyznaw ane.
6 PN-ISO/IEC 27005:2014, PN-ISO/IEC 27001:2007, Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania.
7 PN-ISO/IEC 24762:2010, Technika informatyczna - Techniki bezpieczeństwa - W y
tyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie.
12
Metodyka
Pu n k ty za w ykonanie analizy ryzyka b y ły przyznaw ane, jeśli podana została m etodyka oraz data aktualizacji, a czas jaki u p ły n ą ł od jej w y k o nania nie b ył dłuższy niż 1 rok.
Uznano, iż badany podm iot prow adzi rejestr incydentów , jeśli zade
klarow ano w ankiecie jego prow adzenie i określono datę rejestracji ostatniego incydentu.
W eryfikacja hipotezy nr 5 polegała na kontroli zgodności w bada
nych podm iotach system ów teleinform atycznych służących do prezen
tacji zasobów inform acji ze standardem W C A G 2.0.
Pełn y audyt w szystkich system ów jest zadaniem daleko w ykraczają
cym poza m ożliw ości zespołu realizującego badania. Badania przepro
wadzono jedynie wobec startowych stron B IP w zakresie zgodności z w y tycznym i zamieszczonymi w tabeli 4.
Tabela 4. Kontrolowane wytyczne WCAG 2.0
Zasada Wytyczna Kontrolowana cecha
Zasada nr 1:
Postrzegalność
W ytyczna 1.1 A lternatyw a w postaci tekstu
1.1.1 Treść nietekstowa: wszelkie treści nietekstowe przedstawione użytkownikowi posiadają swoją tek
stową alternatyw ę, która pełni tę samą funkcję W ytyczna 1.4
M ożliwość rozróż
nienia
1.4.3 Kontrast (m inim alny): wizualne przedstawienie tekstu lub obrazu tekstu posiada kontrast wynoszący przynajmniej 4,5:1
Zasada nr 4:
Solidność
W ytyczna 4.1 Kom patybilność
4.1.1 Parsowanie: w treści w prowadzonej przy uży
ciu języka znaczników, elem enty posiadają pełne znaczniki początkowe i końcowe, elem enty są za
gnieżdżane w edług swoich specyfikacji, elem enty nie posiadają zduplikowanych atrybutów oraz wszystkie ID są unikalne, za w yjątkiem przypadków, kiedy specyfikacja zezwala na wyżej w ym ienione cechy
Do kontroli zgodności w yszczególnionych cech z poszczególnym i w y tycznym i, użyto W 3C M arkup V alid atio n Service oraz przeglądarkę Mo-
Przemysław Jatkiewicz
z illa Firefox z zainstalow anym i dodatkam i W A V E Toolbar i W C A G Con
trast checker.
H ipotezę nr 6 w eryfiko w an o na podstaw ie liczby system ów spełnia
jących kontrolow ane cechy eksploatow anych przez poszczególne klasy i w ielkości instytucji przedstaw ione w tabeli 1.
Praw d ziw o ść h ip o tezy nr 7 spraw dzono na podstaw ie odpow iedzi na pytanie nr 7 ankiety, w którym respondenci przyznają p unkty 0*5 dla czynników , które stan ow iły problem przy ustanow ieniu i w drożeniu P o lityk i bezpieczeństwa.
Pom im o, że badana populacja nie jest zbyt duża, zdecydow ano się na reprezentacyjną m etodę badań. Przyjęto, iż cechy m ają rozkład hiper- geom etryczny, który przybliżono rozkładem norm alnym i zastosowano następujący w zór na m in im aln ą w ielkość próby8:
p ( l - p ) u2
n = g2 | p ( i - p ) u zn ' 2 v ( l)>
N gdzie:
n - liczebność próby N - liczebność populacji S 2- błąd
p - w ielkość frakcji
u - 1.96, k w an tyl rozkładu norm alnego dla testu dwustronnego p rzy poziom ie ufności 95%.
Prz y liczebności próby wynoszącej 2 917, błędzie 5 % oraz przyjętej w ie l
kości frakcji 0,5 m inim alna liczebność próby to 339.
W celu w yboru obiektów wykonano losowanie bez zwracania, w ar
stwowe, przy pom ocy generatora liczb pseudolosowych. O ddzielnie loso
wano podm ioty należące do każdego rodzaju wyszczególnionego w tabe
li 1, z uw zględnieniem częstości jego w ystępow ania w populacji. Liczb y w ylosow anych podm iotów przedstaw iono w tabeli 5.
8 J. Steczkowski, M etoda reprezentacyjna w badaniach zjawisk ekonomiczno-społecznych, W y
dawnictwo Naukowe PWN, Warszawa 1995, s. 190.
14
Metodyka
Tabela 5. Liczba wylosowanych podmiotów
Rodzaj urzędu Liczba wylosowanych podmiotów
Urząd Marszałkowski 2
Urząd M iejski w mieście na prawach powiatu 8
Urząd Dzielnicy (W arszaw a) 2
Urząd Pow iatow y 36
Urząd Miejski 38
Urząd M iasta i Gminy 70
Urząd Gminy 183
Razem 339
Przebieg badań
Do wszystkich wylosowanych podm iotów wysłano pocztą ankiety w formie wniosku o udostępnienie informacji publicznej. Przyjęta forma m iała zagwa
rantow ać szybki i 100% zwrot ankiet, gdyż w m yśl art. 4 ust. 1 p. 4 ustaw y z 6 września 2001 roku o dostępie do inform acji publicznej9, organy adm i
nistracji sam orządowej zobowiązane są do jej udostępnienia a term in ud zielenia odpow iedzi w yn osi 14 dni.
Generalnie term in 14 dni nie b ył dotrzym ywany. A nkiety systematycznie spływ ały przez okres 1,5 miesiąca, w trakcie którego odbierano liczne tele
fony z prośbą o dodatkow e inform acje lub przedłużenie term inu odpo
w iedzi. U rzęd n icy zw racali się z pytaniam i o znaczenie term inów : ak
tyw a inform acyjne i aktyw ne w ęz ły sieci. N ie rozum ieli też, co oznacza m etodyka w ykon an ia analizy ryzyka.
N ielicz n i respondenci u p ierali się, iż nie m ogą ud zielić odpow iedzi ze w zględu na p olitykę ochrony inform acji. Problem d otyczył zwłaszcza p y tania nr 2 w zakresie liczby aktyw ów , w ęzłów i baz danych oraz pytania n r 3 w zakresie rejestracji incydentów .
Zdaniem autora zastrzeżenia te są bezpodstawne, gdyż zgodnie z ustaw ą o dostępie do inform acji publicznej: „Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informa
cji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych". A n kieta nie zaw ierała p ytań o dane osobowe, a traktow anie odpow iedzi jako tajem nicy przedsiębiorstw a w ydaje się nadinterpretacją. W iększość inform acji, które pozyskiw ane b y ły podczas badań, zostało niem alże
9 Dz.U. 2001 nr 112 poz, 1198.
Przemysław Jatkiewicz
w prost w ym ien ion ych w art. 6 u staw y o dostępie do inform acji publicz
nej, co zostało zaprezentowane w tabeli 6.
Tabela 6. Odniesienie pytań ankiety do rodzajów informacji publicznej wyszczególnionych w ustawie o dostępie do informacji publicznej
Nr py
tania Treść Odnie
sienie Rodzaj informacji publicznej
1. Zakupione
normy
Art.
6.1 2f M ajątek podm iotów realizujących zadania publiczne
1. Przeszkolone osoby
Art.
6.1 2d
Kom petencje osób pełniących funkcje w podm iotach re
alizujących zadania publiczne
1. Audyty
i certyfikacje
Art.
6.1 4a
Dokumentacja przebiegów i efektów kontroli oraz w y stąpienia, stanowiska, wnioski i opinie podm iotów ją przeprowadzających
2. Inwentaryzacja Art.
6.1 4a
Dokumentacja przebiegów i efektów kontroli oraz w y stąpienia, stanowiska, wnioski
i opinie podm iotów ją przeprowadzających
2. Analiza ryzyka Art.
6.1 4a
Dokumentacja przebiegów i efektów kontroli oraz w y stąpienia, stanowiska, wnioski i opinie podm iotów ją przeprowadzających
3. Rejestr
Incydentów Brak odniesienia
4. Polityka bez
pieczeństwa
Art.
6.1 4a
Treść i postać dokum entów urzędowych
Dokumentacja przebiegów i efektów kontroli oraz w y stąpienia, stanowiska, wnioski i opinie podm iotów ją przeprowadzających
5.
Liczba
i kom petencje pracowników
Art.
6.1 2a i 2d
Organizacja podm iotów realizujących zadania publiczne Kom petencje osób pełniących funkcje w podm iotach re
alizujących zadania publiczne
6, Procedury Art.
6.1 3
Zasady działania podm iotów realizujących zadania pu
bliczne
Respondenci trzykrotnie zauw ażyli, iż pytanie nr 3 odnosi się do opinii, nie zaś inform acji publicznej. Zarzu t ten jest - niestety - słuszny.
D w ukrotnie w p łyn ęło w ezw anie do uzupełnienia braków form alnych i złożenia w niosku zgodnego ze w zorem określonym w rozporządzeniu
18
Przebieg badań
M inistra Adm inistracji i Cyfryzacji z 17 stycznia 2012 roku w sprawie w zoru w niosku o ponowne w ykorzystanie inform acji publicznej10.
W ed łu g urzędników , z treści złożonego w niosku (ankieta), w yn ik a że jest on zgodnie z treścią art. 23a ust. 1 u staw y o dostępie do inform acji publicznej, w nioskiem o udostępnienie inform acji publicznej w celu jej ponownego w ykorzystania. Treść przytoczonego przepisu jest następu
jąca: „W ykorzystyw anie przez osoby fizyczn e, osoby praw ne i jedn ostki orga
nizacyjne nieposiadające osobow ości praw nej inform acji publicznej lub każdej jej części, będącej w posiadaniu podm iotów, o których mowa w ust. 2 i 3, nie
zależnie od sposobu jej utrwalenia (w postaci papierow ej, elektronicznej, dźw ię
kowej, w izualnej lub audiow izualnej), w celach kom ercyjnych lub niekom ercyj
nych, innych niż jej pierw otny publiczny cel w ykorzystyw ania, dla którego inform acja została wytw orzona, stanow i ponow ne w ykorzystyw anie inform acji publicznej i odbywa się na zasadach określonych w niniejszym rozdziale". Po niew aż interpretacja w ydaje się jak najbardziej p raw id ło w a, ponow iono w niosek przy u życiu odpow iedniego form ularza zgodnego ze wzorem .
D efinityw nie nie można się jednak zgodzić z żądaniem uzasadnienia wniosku. Przedstawiciel Urzędu G m iny Jedlnia Letnisko uzależnił udziele
nie odpowiedzi od w ykazania powodów, dotyczących każdego z 7 punktów wniosku, dla których spełnienie jego żądania będzie szczególnie istotne dla interesu publicznego. Za podstawę swojego stanow iska p rzyjął przepisy art. 3.1 ust. 1 ustaw y o dostępie do inform acji publicznej o brzm ieniu
„Prawo do inform acji publicznej obejm uje uprawnienia do uzyskania inform a
cji publicznej, w tym uzyskania inform acji przetw orzonej w takim zakresie, w jakim jest to szczególnie istotne dla interesu publicznego".
Po p arł je fragm entem uzasadnienia w yro ku W ojew ódzkiego Sądu A d m i
nistracyjnego w Poznaniu z 23 stycznia 2014 roku: „Inform acją przetw o
rzoną będzie zatem taka inform acja, co do której podm iot zobow iązany do jej udzielenia nie dysponuje taką »gotową« inform acją na dzień złożenia wniosku, ale jej udostępnienie wym aga podjęcia dodatkow ych czynności. R easum ując in
form acja będzie m iała charakter inform acji przetw orzonej w sytuacji gdy jej udostępnienie co do zasady wym aga dokonania stosow nych analiz, obliczeń,
10 Dz.U. 2012 poz. 94.
Przemysław Jatkiewicz
zestaw ień statystycznych itp. połączonych z zaangażow aniem w ich pozyskanie określonych środków osobow ych i fin an sow ych"11.
Pom inął jednak znaczący fragment m ów iący o tym iż: „Nie stanow i zaś przesłanki dla uznania inform acji publicznej za inform ację przetw orzoną oko
liczność, iż wym aga ona poszukiw ania w zasobach archiw alnych podm iotu z o bow iązanego. W dalszym ciągu chodzi bowiem o inform ację, której udostępnie
nie nie wym aga jakichkolw iek analiz, obliczeń, zestaw ień statystycznych itp., a jedyn ie prostego odnalezienia jej w zbiorze dokum entów ". Po dkreślić n a
leży, że odp ow iedzi na p ytan ia zaw arte w ankiecie nie w ym ag ały doko
n yw an ia żadnych analiz, zestaw ień czy obliczeń.
W tym samym piśm ie pow ołano się rów nież na w yro k Naczelnego Sądu A dm inistracyjnego z 5 kw ietn ia 2013 rok u 12, który stwierdza:
inform acją przetw orzoną jest inform acja publiczna opracow ana przez podm iot zobow iązany przy użyciu dodatkow ych sił i środków, na podstaw ie posiadanych przez niego danych, w związku z żądaniem w nioskodaw cy i na podstaw ie kry
teriów przez niego w skazanych, czyli innym i słow y inform acja, która zostanie przygotow ana »specjalnie« dla w nioskodaw cy wedle w skazanych przez niego kryteriów . Inform acja przetw orzona to taka inform acja, której w ytw orzenie wym aga intelektualnego zaangażow ania podm iotu zobow iązanego".
Sprawdzenie danych w prowadzonych przez urząd rejestrach lub oficjal
nych dokum entach czy procedurach w ym aga w y siłk u intelektualnego znacznie m niej intensyw nego niż w łożony w przygotow anie takiej odpo
w iedzi.
W konkluzji przytoczono także w yro k W ojew ódzkiego Sądu A d m in i
stracyjnego w Poznaniu z 7 m arca 2013 roku13: „ W sytuacji, w której nieu
dzielanie inform acji publicznej przetw orzonej następuje z powodu niewykaza- nia, że jest to szczególnie istotne dla interesu publicznego, należy wydać decyzję o odm ow ie udzielenia inform acji. »Odmowa« pozytyw nego załatw ienia wniosku nie m oże następow ać poprzez decyzję um arzającą postępow anie. (...) w przypadku ustalenia, że nie zachodzą przesłanki określone w art. 3 ust. 1 pkt
» II SAB/Po 123/13.
I OSK 89/13.
13II SA/Po 1060/12.
20
Przebieg badań
1 u.d.i.p., organ pow inien wydać decyzję o odm ow ie udzielania inform acji pu blicznej".
Dane, o które w nioskow ano w toku badań, zdecydow anie nie można uznać za informację przetworzoną, gdyż w ynikają wprost z odpow iednich dokum entów , które nie m ają naw et charakteru archiwalnego. W tej sytu
acji należy stosować przepis art. 2.2 u staw y o dostępie do inform acji pu
blicznej - „Od osoby w ykonującej prawo do inform acji publicznej nie wolno żądać wykazania interesu praw nego lub fakty czn eg o" .
O peracji przeniesienia inform acji na papier i przesłania do wnioskującego nie m ożna traktow ać jako przetw orzenia lecz jako przekształcenie14.
Brak m ożliw ości odpowiedzi na pytania ankietowe urzędnicy tłum a
czyli rów nież rozpoczynającym się w łaśnie procesem w drożenia P o lityk i bezpieczeństwa i trw ającą inw entaryzacją na potrzeby opracowywanej analizy ryzyka (Starostw o Pow iatow e w Augustow ie). W badaniach cho
dziło jednak o ustalenie stanu faktycznego na dzień złożenia wniosku, nie zaś o efekty, jakie w przyszłości być może zostaną osiągnięte.
Jeden z urzędników uznał, że nie musi udzielić odpowiedzi, powołując się na przepisy § 23: „System y teleinform atyczne podmiotózo realizujących zada
nia pu bliczn e fu n kcjon u jące w dniu w ejścia w życie rozporządzenia na p od staw ie dotychczas obow iązujących przepisów należy dostosow ać do wym agań, o których m owa w rozdziale IV rozporządzenia, nie późn iej niż w dniu ich pierw szej istotn ej m odernizacji przypadającej po zoejściu w życie rozporzą
d zen ia" .
U rząd, który reprezentow ał, od dnia w ejścia w życie K R I do dnia złożenia wniosku nie dokonał żadnej istotnej modernizacji. Pom ylony został w tym przypadku w ym óg dostosowania systemów inform atycznych do przepisów K R I z obowiązkiem udzielenia inform acji publicznej. Badania, a tym sa
m ym p ytan ia zaw arte w ankiecie, m iały na celu m iędzy in n ym i odpo
w iedź na pytanie o stopień przygotow ania urzędu.
14 Ustawa o dostępie do informacji publicznej: komentarz, Wydawnictwo Uniwersytetu W ro
cławskiego, Wrocław 2002, s. 32.
Przemysław Jatkiewicz
W rezultacie w szystkich zastrzeżeń i odm ów, z 339 respondentów od
pow iedzi u d zieliło jedynie 254. Zdecydow ano się w ięc na w niesienie za
żalenia na niezałatw ienie sp raw y w term inie - na podstaw ie art. 37 K o
deksu postępowania adm inistracyjnego15 - do Sam orządowych Kolegiów O dw oław czych, odpowiednich dla poszczególnych urzędów. Treść zażale
n ia stanow i załącznik nr 2. Zażalenia, podpisane przez D yrektor Gene
raln ą Zarządu G łów nego Polskiego Tow arzystw a Inform atycznego, skła
dane b y ły za pośrednictw em urzędów , których dotyczyły.
Spora liczba respondentów zareagow ała niem al natychm iast, dzw o
niąc i prosząc o w ycofan ie pism a, obiecując jednocześnie niezw łoczne załatw ien ie spraw y. Rozw iązanie takie b yło efektem oczekiw anym przez p row adzących badania i p ozw oliło na uzyskanie kolejnych 44 od
pow iedzi. Pozostali respondenci rozp atryw ali spraw y we w łasnym za
kresie lub p raw id ło w o przekazyw ali je do Sam orządow ych K olegiów O d w oław czych. K olegia te w z y w a ły Polskie Tow arzystw o Inform atyczne do przedstaw ienia upow ażnienia D yrektor do reprezentow ania T ow arzy
stwa oraz okazania dow odu nadania pism a, z u w ag i na ośw iadczenia urzędów o braku przedm iotow ej korespondencji. W sk azyw ały też na W o jew ódzkie Sąd y A dm inistracyjne jako jednostki w łaściw e do rozpatryw a
n ia dalszych zażaleń, w tym na bezczynność urzędów .
Poniew aż celem było ukończenie badań, nie zaś w ikłan ie się w spory praw ne mogące je w sposób znaczący opóźnić, podjęto decyzję o dopusz
czeniu do um orzenia spraw i w ykonaniu dodatkowego losow ania uzu
pełniającego pulę respondentów.
N a rysunku 1 pokazano procentow y rozkład udzielenia odpowiedzi w efekcie podjętych działań.
15 Dz.U. 1960 nr 30 poz, 168.
22
Przebieg badań
■ Ankiety w odpowiedzi na wniosek
M Ankiety w odpowiedzi na zażalenie
Brak odpowiedzi
Rys. 1. Procentowy rozktad udzielenia odpowiedzi
4 W yniki badań
4.1. Stosowanie norm PN-iSO/iEC
Badane urzędy zakupiły łącznie 31 norm wyszczególnionych w K R I, przy czym najmniejszym zainteresowaniem cieszyła się norm a PN-ISO /IEC 20000, dotycząca zarządzania usługam i realizow anym i przez system y teleinfor
m atyczne. Zdecydow ana większość instytucji tj. 309, co stanow i ponad 91% badanych, nie zakupiła ani jednej norm y. W zakresie stosowania odpow iednich norm PN -ISO /IEC dokonano 2 973 szkolenia przypadają
ce na pojedynczego urzędnika, co stanow i ok. 11% zatrudnionych (nie
którzy urzędnicy b y li jednak szkoleni z k ilk u norm ).
Szczegółowe dane odnośnie szkoleń zostały zaprezentowane w tabeli 7.
Tabela 7. Szkolenia w zakresie stosowania norm PN-ISO/IEC
Norma Liczba przeszkolonych Liczba urzędów realizujących szkolenia
PN-ISO/IEC 20000 106 6
PN-ISO/IEC 27001 2 564 23
PN-ISO/IEC 27005 160 11
PN-ISO/IEC 24762 143 6
Jed yn ie 7 urzędów przeprow adziło audyt na zgodność z norm ą PN- ISO /IEC 20000. A udyt dotyczący norm y PN -ISO /IEC 27001 w ykonało tro
chę więcej organizacji, tj. 24. Znacznie m niej uzyskało certyfikat - odpo
w ied n io 3 i 10 urzędów - p rzy czym oba posiadał jedynie U rząd M iasta Bydgoszczy oraz Urząd G m in y Św id w in .
25
Przemysław Jatkiewicz
4.2. Inwentaryzacja aktywów teleinformatycznych
W yko nan ie inw entaryzacji aktyw ó w teleinform atycznych zadeklarow a
ło 159 urzędów (46,9%) p rzy czym aktualną, nie starszą niż dw a lata, posiadały 103 jednostki (30,38%). Pom im o deklaracji, 46 urzędów nie potrafiło podać liczb y aktyw ów , zaś kolejnych 40 podało liczbę m niejszą od sum y aktyw n ych w ęzłów sieci i baz danych. D odatkow o 5 następ
nych określiło liczbę aktyw n ych w ęzłów sieci znacząco m niejszą niż liczba pracow ników . Szczegóły zostały przedstawione na rysunku 2.
Poniew aż niem al każdy z pracow ników urzędu w ykonuje pracę b iu row ą i dysponuje zapewne kom puterem , w ydaje się m ało praw dopo
dobne, b y liczba aktyw n ych w ęzłów sieci (kom putery, laptopy, prze
łączniki, routery, serw ery, drukarki sieciow e) stanow iła 90% lub mniej liczb y p racow ników urzędu. Reasum ując, w iaryg od n ą i aktualną in w en taryzację posiadało jedynie 3,54% badanych organizacji.
180 160 140 120 100 80 60 40 20 0
Rys. 2. Inwentaryzacje aktywów teleinformatycznych w badanych instytucjach 180
Brak Nieaktualna Niewiarygodna Aktualna i inwentaryzacji inwentaryzacja inwentaryzacja wiarygodna
inwentaryzacja
26
Wyniki badań
4.3. Analiza ryzyka
N iew iele instytucji opracow ało analizę ryzyka. Z deklaracji w yn ika, że zrob iły to 81 jednostki (23,89%). Jedna natom iast (U rząd G m in y M ińsk M azow iecki) odm ów iła odpow iedzi, pow ołując się na Po lityk ę bezpie
czeństwa inform acji. Jed yn ie 61 analiz można uznać za aktualne.
Rodzaje zastosowanych m etodyk zostały zaprezentowane na rysunku 3.
■ ilościowa ■ jakościowa mieszana * oparta o rywalizację
Rys. 3. Rodzaje zastosowanych metodyk
Znam iennym jest, że respondenci nie um ieli ustalić bądź nie znali nazw użytych metodyk. W ym ieniali następujące nazwy, których większość, ozna
czonych kolorem czerwonym , nie jest nazwam i m etodyk analizy ryzyka:
• burza m ózgów (Starostw o Pow iatow e w W adow icach),
• F M E A ,
• Prince 2 (Starostw o Pow iato w e w Siedlcach),
• arytm etyczna (Starostw o Pow iatow e w K ościerzynie),
• C M M I for Services v. 1.3,
Przemysław Jatkiewicz
• P M I (U rząd G m in y N iem ce),
• C R A M M ,
• delficka (U rząd M iasta Bydgoszcz),
• indukcyjna (U rząd M iasta i G m in y Twardogóra, U rząd G m in y w Liskow ie),
• M E H A R I,
• ręczna (U rząd M iejski w Łom ży).
W iększość z nich m a bardzo luźny zw iązek z m etodykam i w ykonania analiz ryzyka i dotyczy raczej zarządzania projektam i lub m etod ba
daw czych. Pom im o ew identnego braku w ied zy, tylko 11 badanych jed
nostek skorzystało z pom ocy firm zewnętrznych. Zauw ażono także, iż co najm niej 7 analiz ryzyka nie b yło poprzedzonych inw entaryzacją ak
tyw ó w teleinform atycznych.
4.4. Rejestr incydentów
Ponad połow a (53,69%) respondentów zadeklarow ała prow adzenie reje
stru incydentów , jednakże 134 pozostają puste, gdyż nie zarejestrowano w nim żadnego incydentu. U rząd G m in y N o w y Targ u zn ał natom iast, iż udzielenie inform acji dotyczących prow adzenia rejestru incydentów stanow i zagrożenie inform acji
Szczegółowe inform acje zostały zaprezentowane na rysunku 4 na na
stępnej stronie.
W roku 2014 zarejestrowano łącznie 11 375 incydentów . M ediana in cydentów (zarejestrow anych w prow adzonych, niepustych rejestrach) w yn osi zaś 4. Taka niska wartość m ediany w stosunku do dużej liczby incyd entów w y n ik a ze sposobu rejestracji prow adzonej przez U rząd M arszałko w ski W ojew ó d ztw a Podkarpackiego, k tó ry rejestruje zda
rzenia z system ów an tyw iru so w ych czy ID S/IPS (Intrusion Detection Sys
tem / Intrusion Prevention System). Instytucja ta w roku 2014 zarejestrow a
ła 11 000 incydentów . Cześć z incydentów b yło na tyle pow ażnych, iż 13 urzędów zgłosiło je do Rządow ego Zespołu Reagow ania na In cyd en ty Kom puterow e C ER T , A gencji Bezpieczeństw a W ew nętrznego lub proku
ratury.
28
Wyniki badań
W arto zauw ażyć, że 3 u rzęd y (m iasta Jaw orzno, m iasta M a rk i i gm i
n y Ł u k ó w ) dokonały takich zgłoszeń, lecz nie prow ad zą rejestru in cy dentów .
0,29%
■ Brak rejestru
■ Rejestr pusty lub nieaktualizowany Rejest aktualny
■ Odmowa odpowiedzi
Rys. 4. Rejestry prowadzone przez badane instytucje
4.5. Polityka bezpieczeństwa
O koło 12% urzędów (40 jednostek) nie posiada P o lity k i bezpieczeństwa inform acji. U rząd G m in y N arew ka - w przesłanym piśm ie - uważa, że nie m a potrzeby jej opracowania. Pozostałe u sta n o w iły ją w bardzo różnym czasie, co zostało pokazane na rysu n ku 5. Spośród w spom nia
nych 40 in stytu cji, 33 posiada zarejestrow ane zb iory danych osobo
w ych w rejestrze prow adzonym przez Generalnego Inspektora O chrony D anych O sobow ych (G IO D O ).
Przemysław Jatkiewicz
Rys, 5. Liczba ustanowień Polityk bezpieczeństwa w latach 1997-2015
O statnie zm iany w ustaw ie z 29 sierpnia 1997 roku o ochronie danych osobowych16, wniesione ustaw ą z 7 listopada 2014 roku o u łatw ien iu w y konyw ania działalności gospodarczej, obowiązują od 1 stycznia 2015 ro
ku. Dlatego też należy uznać, iż w szystkie p o lityk i w ydan e przed ro
kiem 2014 i nieaktualizow ane w latach 2014-2015 są już nieaktualne.
Biorąc pow yższe pod uw agę m ożna stw ierdzić, że liczba aktualnych p olityk w yn osi 114 sztuk. N a rysunku 6 przedstaw iono liczbę ostatnich aktualizacji P o lityk bezpieczeństwa badanych jednostek w latach 1997- 2015. Zauw ażono także, iż część respondentów (28) podało tą sam ą datę ustanow ienia i aktualizacji. P rz y form ułow aniu w niosków traktow ano takie przypad ki jako nieaktualizow ane. Pom im o że 205 ankietow anych deklarow ało roczny lub krótszy okres aktualizacji, to ponad 39% z nich aktualizow ało swoje P o lity k i po co najm niej d w uletnim okresie czasu.
16 Dz. U. 2014 r. poz. 1182.
30
Wyniki badań
69
2000 2001 2003 2004 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Rys. 6. Liczba aktualizacji Polityk bezpieczeństwa w latach 1997-2015
Z przeprowadzonych badań w ynika, że praw ie połowa urzędów (48,08%) przeprow adziła audyt swojej P o lityk i bezpieczeństwa. W iększość z nich (86), w ykon ała go w łasn ym i siłam i, zaś 77 posiłkow ało się firm am i ze
w nętrznym i.
Jak w idać na rysunku 7, now elizacja ustaw y o ochronie danych oso
bow ych z roku 2014 stym ulow ała przeprow adzenie audytów . Znam ien
nym jest, iż 5 organizacji przeprow adziło audyt, lecz nie posiada Po lityk i bezpieczeństwa. W szystkie zam ieściły informację o trwających pracach nad jej ustanow ieniem , choć w przypadku U rzędu M iasta i G m in y w Z d u nach, biorąc pod uw agę datę audytu, prace te trw ają już około 6 lat.
Przemysław Jatkiewicz
2005 2005 2007 2008 2009 2010 2011 2012 2013 2014 2015
■ wykonawca wewnętrzny ■ wykonawca wewnętrzny
Rys. 7. Przeprowadzone w latach 2005-2015 audyty Polityki bezpieczeństwa informacji
4.6. Zasoby ludzkie
W iększość urzędów (93,81%) zatrudnia inform atyków , jednakże nie w szyscy z nich posiadają w ykształcenie techniczne.
Dane odnośnie w ykształcenia technicznego służb IT przedstaw iono w tabeli 8.
Tabela 8. Kadra IT badanych jednostek
Wykształcenie Liczba informatyków Liczba urzędów
Brak służb IT 0 21
Wyższe techniczne 406 241
Inne 190 77
Razem (wykształcenie techniczne i inne) 596 318
32
Wyniki badań
Nieznacznie mniej (88,79%) jednostek posiada adm inistratora bezpie
czeństwa inform acji. Znacznie m niejsza liczba u rzędów (50,74%) za
trudnia audytorów wewnętrznych. Strukturę wykształcenia osób pełniących om awiane funkcje przedstaw ia rysunek 8. Brak oznacza nieobsadzone stanowisko. Nieznajom ość w ykształcenia adm inistratora bezpieczeń
stwa czy audytora w ew nętrznego św iadczy zapewne o tym , że czynno
ści przypisane tym funkcjom w ykon u ją w ynajęte osoby.
250 200
150 100
50
0
Rys. 8. Wykształcenie osób pełniących funkcje administratora bezpieczeństwa infor
macji i audytora wewnętrznego
Brak audytora w ew nętrznego z w ykształceniem średnim zw iązan y jest z w ym aganiam i u staw y z 27 sierpnia 2009 roku o finansach publicz
nych:
„Art. 286. 1. Audytorem wew nętrznym m oże być osoba, która:
1) ma obyw atelstw o państw a członkow skiego Unii Europejskiej lub in
nego państwa, którego obyw atelom , na podstaw ie umów m iędzyna
Przemysław Jatkiewicz
rodow ych lub przepisów prawa w spólnotow ego, przysługuje prawo podjęcia zatrudnienia na terytorium R zeczypospolitej Polskiej;
2) ma pełną zdolność do czynności praw nych oraz korzysta z pełni praw publicznych;
3) nie była karana za um yślne przestępstw o lub um yślne przestępstw o skarbowe;
4) posiada wyższe w ykształcenie;
5) posiada następujące kw alifikacje do przeprow adzania audytu we
w nętrznego:
a) jeden z certyfikatózo: C ertified Internai A uditor (CIA), Certified Gov
ernm ent Auditing Professional (CGAP), Certified Inform ation Sys
tems A uditor (CISA), A ssociation o f Chartered Certified A ccount- ants (ACCA), Certified Fraud Exam iner (CFE), C ertification in Control S elf A ssessm ent (CCSA), Certified Financial Services A udi
tor (CFSA) lub Chartered Financial A nalyst (CFA), lub
b) złożyła, w latach 2003-2006, z wynikiem pozytyw nym egzam in na audytora w ew nętrznego przed Kom isją Egzam inacyjną pow ołaną przez M inistra Finansów, lub
c) upraw nienia biegłego rewidenta, lub
d) dw uletnią praktykę w zakresie audytu w ew nętrznego i legitym uje się dyplom em ukończenia studiów podyplom ow ych w zakresie audytu wewnętrznego, wydanym przez jednostkę organizacyjną, która w dniu w ydania dyplom u była uprawniona, zgodnie z odrębnym i ustawami, do nadawania stopnia naukowego doktora nauk ekonom icznych lub praw nych"17.
4.7. Procedury
N ajw ięcej procedur opracow anych i w drożonych w urzędach dotyczy eksploatacji. Znacznie m niejsza liczba zw iązana jest z w drożeniem no
w ych aktyw ów , w ycofaniem aktyw ów ' z eksploatacji oraz testowaniem .
17 Dz.U. 2009 nr 157 poz. 1240.
34
Wyniki badań
Szczegółow e inform acje zostały zaprezentow ane w tabeli 9. W y n ik a z niej, że w badanej grupie istn ieją instytucje, które nie m ają ani jednej z co najm niej kilk u w yszczególnionych grup procedur. O dpow iednie dane zostały przedstaw ione na rysunku 9. Ukazuje on procent urzędów , które m ają przynajm niej po jednej procedurze w każdej z grup.
Tabela 9. Procedury wdrożone w badanych urzędach
Procedury W drażanie akty
wów
Eksploatacja aktyw ów
Testowanie aktyw ów
W ycofanie aktyw ów
Liczba 157 68 113 139
Średnia liczba przypadająca na pojedynczy urząd
0,46 2,03 0,33 0,41
Maksymalna
liczba 20 83 16 19
Liczba organi
zacji bez w d ro żonej procedu
ry
249 205 278 246
Jak w id ać na rysunku 9, ponad połow a (56%) instytucji nie posiada żad
nej procedury, natom iast przynajm niej jedną w każdej grupie posiada tylko 12%.
N ajw iększa liczba procedur opracow anych przez urzędy, dotyczyła eksploatacji aktyw ów . Najm niejsza liczba zw iązana b yła z testowaniem aktyw ów . Szczegółowe liczby zostały zaprezentowane na rysunku 10.
Przemysław Jatkiewicz
■ O procedur 1 grupa procedur
■ 2 grupy procedur
■ 3 grupy procedur
■ 4 grupy procedur
Rys. 9. Grupy procedur w badanych instytucjach
689
700
600
500
400
300
200
100
0
W drażanie Eksploatacja W ycofanie Testowanie
nowych aktywów aktywów aktywów aktywów
Rys. 10. Liczba procedur opracowanych przez badane instytucje
36
Wyniki badań
4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa
Sum aryczna ocena, dokonana przez respondentów i umieszczona w tabeli 10, jest zbliżona co do wartości dla każdego z przedstawionych w pytaniu nr 7 ankiety problemów.
Tabela 10. Sumaryczna ocena problemów związanych z ustanowieniem i wdrożeniem Polityki bezpieczeństwa
Problem Punktacja
W iedza, doświadczenie 827
Finanse 920
Opór czynnika ludzkiego 855
Respondenci najczęściej p rzyzn aw ali m aksym alną liczbę punktów pro
blem om finansow ym , co zostało pokazane w tabeli 11. O graniczone środki finansow e w p ływ ają na niedostateczną liczbę szkoleń oraz dzia
łań, m ających na celu nie tylko pozyskanie w ied zy i kom petencji, lecz także podniesienie św iadom ości znaczenia ochrony inform acji i w ystę
pujących zagrożeń.
Tabela 11. Liczba instytucji przyznających maksymalną punktację dla poszczególnych pro
blemów
Problem Liczba instytucji
W iedza, doświadczenie 36
Finanse 82
Opór czynnika ludzkiego 52
U rzęd n icy dodatkow o w ym ie n ili następujące, nieskategoryzow ane pro
blem y:
• sporządzanie audytów bezpieczeństwa,
• brak czasu,
37
Przemysław Jatkiewicz
• problem y sprzętowe,
• pracochłonność,
• braki kadrowe,
• sposób p rzep ływ u danych pom iędzy system am i,
• nieprecyzyjne, niejasne, niespójne przepisy oraz ich interpretacja,
• nadm iar obow iązków ,
• duża liczba zadań,
• brak zainteresow ania pracow ników .
4.9. Zgodność z WCAG 2.0
M ożna uznać, iż nie więcej niż 48 portali B IP badanych jednostek (14,16%) spełniało w ym agania zgodności z W C A G 2.0. Praw ie w szystkie posiadały wręcz ascetyczną formę. Do w yjątk ó w należy portal G m in y Kornow ac, którego stronę głów ną pokazuje rysunek 11.
C łt ń Icoinowac.bipęmira.pl
ikacj* £J Smaiia |1 Dyihjsja B Pan . ■ ¿czyimi ulicy... |'; Implanty Wasz.. | Cc
- 0 0 S ' □ Inn» zakładki
Gmina Kornowac
lnformec|i Publicznej
łnstynicp kulcuiy pomoc spoieana
DANETELEADRESOWE
Gmina Kornowac
NIP 6391979757
Lokafizacja woj. sąske pr/w. raciborski gm-ICornwac
Telefon 032 430 10 37
Adres
■1-2SS KOiflOWSC
Telefon 032 4301038
Faks 032430 1 333
e-mail e-mai!
ur-adökomowacpl -,ekrerartaaSkQmow
Rys. 11. Biuletyn informacji Publicznej Gminy Kornowac
38
5 W eryfikacja hipotez
5.1. Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za pomocą systemów teleinformatycznych zgodnie z przepisami KRI
H ipoteza nr 1 znalazła swoje potw ierdzenie w w yn ikach badań. N aw et pojedyncze kryteria w eryfikacji nie zostały spełnione przez większość organizacji, co zostało uw idocznione w tabeli 12.
Tabela 12. Zestawienie ilościowe i procentowe jednostek spełniających pojedyncze kryteria weryfikacji hipotezy nr 1
L.p. Kryterium Liczba jednostek % badanej próby
1. Certyfikat zgodności z PN-ISO/IEC 20000 3 0,88
2. Przeszkolenie przynajmniej 1 pracownika
w zakresie wym agań PN-ISO/IEC 20000 6 1,77
3. Zakup przynajmniej 1 norm y PN-ISO/iEC
20000 8 2,36
4. Audyt na zgodność z PN-ISO/IEC 20000 7 2,06
5. Przynajm niej 1 udokum entowana procedura
dotycząca wdrażania aktyw ów 90 26,55
6. Przynajm niej 1 udokum entowana procedura
dotycząca eksploatacji aktyw ów 134 39,53
7. Przynajm niej 1 udokum entowana procedura
dotycząca w ycofania aktyw ów 93 27,43
8. Przynajm niej 1 udokum entowana procedura
dotycząca testow ania aktyw ów 61 17,99
Przemysław Jatkiewicz
N ajw ięcej jednostek (39,53%) posiada przynajm niej 1 udokum entow aną procedurę dotyczącą eksploatacji aktyw ó w teleinform atycznych. Je d nakże kom plet procedur funkcjonuje zaledw ie w 42 urzędach.
Tabela 13 przedstaw ia zestaw ienie ilościow e i procentowe jednostek spełniających łączne k ryteria w eryfikacji hipotezy nr 1.
Tabela 13. Zestawienie ilościowe i procentowe jednostek spełniających łączne kryteria weryfikacji hipotezy nr 1
L.p. Kryterium Liczba jednostek % badanej próby
1. Certyfikat zgodności z PN-ISO/IEC 20000 3 0,88
2.
Przeszkolenie przynajmniej 1 pracownika w zakresie stosowania norm y PN-ISO/IEC 20000 lub zakup norm y PN-ISO/IEC 20000 oraz prze
prowadzenie audytu na zgodność z PN-ISO/IEC 20000
5 1,47
3.
Posiadanie przynajmniej po 1 udokum ento
wanej procedurze dotyczącej wdrażania, eks
ploatacji, w ycofyw ania i testow ania aktyw ów teleinform atycznych
42 12,39
5.2. Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządzania usłu
gami realizowanymi za pomocą systemów teleinformatycznych jest zależna od wielkości podmiotu, liczby i wykształcenia osób związanych z IT
H ipoteza nr 2 rów nież znalazła swoje potw ierdzenie. Im w iększa orga
nizacja, tym w iększy stopień wdrożenia przepisów K R I związanych z za
rządzaniem usługam i realizow anym i za pom ocą system ów teleinform a
tycznych, co zostało pokazane w tabeli 14.
N ależy jednak zauw ażyć, że naw et w przypadku dużych instytucji, jakim i są U rzęd y M arszałkow skie, U rzęd y M iejskie w m iastach na pra
w ach pow iatu oraz U rzęd y D zieln icy (W arszaw a), średnia liczba punk
tów stanow i jedynie 36,83% w szystkich m o żliw ych do przyznania.
40
W eryfikacja hipotez
Tabela 14. Średni stopień wdrożenia przepisów KRI związanych z zarządzaniem usługami realizowanymi za pomocą systemów teleinformatycznych
Wielkość instytucji Liczba instytucji Liczba punktów Średnia liczba punktów
Małe 253 246 0,97
Średnie 74 151 2,04
Duże 12 53 4,42
Liczba p racow ników d ziału IT m a bezpośrednie przełożenie na stopień w drożenia przepisów K R I zw iązanych z zarządzaniem usługam i re ali
zow anym i za pom ocą system ów teleinform atycznych.
N a rysunku 12 zaznaczono kropkam i liczbę punktów przyznanych w ed łu g zasad przedstaw ionych w tabeli 2 oraz niebieską lin ię trendu.
Te same oznaczenia użyto na rysunku 13, odnoszącym się do liczby p racow ników zw iązanych z IT z w ykształceniem w yższym , technicz-
0 2 4 6 8 10 12 14 16 18
Liczba pracowników IT
Rys. 12. Zależność stopnia wdrożenia przepisów KRI dotyczących zarządzania usługami realizowanymi za pomocą systemów teleinformatycznych od liczby pracowników IT
Przemysław Jatkiewicz
-o■ł-»
C3 O.(0
-Q
’E ro
■o(Ui-
-<S)
0 2 4 6 8 10 12 14 16 18
Liczba pracowników IT z wykształceniem technicznym
Rys. 13. Zależność stopnia wdrożenia przepisów KRI dotyczących zarządzania usługami realizowanymi za pomocą systemów teleinformatycznych od liczby pracowników IT z wykształceniem wyższym technicznym
5.3. Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemu zarządzania bezpieczeństwem informacji
H ipoteza nr 3, jak w yn ik a z danych zam ieszczonych w tabeli 15, jest p raw dziw a. W iększość badanych podm iotów nie w d ro żyła p raw id ło w o system u zarządzania bezpieczeństwem inform acji.
Tabela 15. Zestawienie jednostek spełniających kryteria weryfikacji hipotezy nr 3
L.p. Kryterium Liczba jednostek % badanej próby
1 Certyfikat zgodności z ISO 27001 11 3,24
2 Przeszkolenie przynajmniej 1 pracownika lub zakup norm y ISO 27001 oraz przeprowadzenie audytu na zgodność z ISO 27001
19 5,60
3.1 Aktualna inwentaryzację aktyw ów teleinfor
matycznych
12 3,54
3.2 Aktualna analiza ryzyka 61 17,99
3.3 Aktualny rejestr incydentów 48 14,16
3.4 Aktualna Polityka bezpieczeństwa informacji oparta o ISO 27001
5 1,47
____
o
42
W eryfikacja hipotez
5.4. Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależy od wielkości podmiotu, liczby i wykształcenia osób związanych z IT
H ipotezę nr 4 także należy uznać za potw ierdzoną. Jak w yn ik a z danych zaprezentow anych w tabeli 16, w iększe jednostki w podw yższonym stopniu w d ro ż y ły system zarządzania bezpieczeństwem inform acji.
N aw et średni stopień w drożenia dla jednostek dużych nie b y ł b liski m aksym alnej m ożliw ej do przyznania liczbie punktów , wynoszącej 57.
Ponad 14% przebadanych jednostek posiadało stopień w drożenia o w a r
tości 0, a naw et niższej.
Tabela 16. Średni stopień wdrożenia systemu zarządzania bezpieczeństwem informacji
Wielkość instytucji Liczba instytucji Liczba punktów Średnia Liczba punktów
M ałe 253 1300 5,14
Średnie 74 1136 15,35
Duże 12 394 32,83
Zarów no liczba, jak i w ykształcenie pracow ników zw iązanych z IT, m a bezpośrednie przełożenie na stopień w drożenia system u zarządzania bezpieczeństwem inform acji, co zostało pokazane na rysunkach 14 i 15.
Z a pom ocą kropek oznaczono średni stopień w drożenia dla określo
nych liczebności pracow ników , zaś niebieska, ciągła lin ia jest lin ią tren
du. W arto zauważyć, iż zerow a liczba p racow ników IT zw iązana za
pew ne z outsourcingiem nie zapew nia bezpieczeństwa systemu.
Przemysław Jatkiewicz
O 5 10 15 20 25 30 35
Liczba pracowników IT
Rys. 14. Zależność stopnia wdrożenia systemu zarządzania bezpieczeństwem informacji od liczby pracowników IT
Liczba pracowników IT z wykształceniem technicznym
Rys. 15. Zależność stopnia wdrożenia systemu zarządzania bezpieczeństwem informacji od liczby pracowników IT z wykształceniem technicznym
44