Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności w jednostkach samorządu terytorialnego : raport z badań

(1)

Przemysław Jatkiewicz

Raport z badań:

Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności w jednostkach samorządu terytorialnego

© 05

POLSKIE TOWARZYSTWO INFORMATYCZNE

^lot

(2)

P

o l s k i e

T

o w a r z y s t w o

I

n f o r m a t y c z n e

Przemysław Jatkiewicz

Wdrożenie wybranych wymagań dotyczących systemów informatycznych

oraz Krajowych Ram Interoperacyjności w jednostkach samorządu terytorialnego

Raport z badań

W A R S Z A W A 2 0 1 6

(3)

Po lsk ie To w a r z y s t w o In fo r m a t y c z n e

ISBN 978-83-60810-82-8 (druk) ISBN 978-83-60810-83-5 (e-book)

Praca ta objęta jest licencją Creative Commons Uznanie Autorstwa 3.0 Polska.

Aby zapoznać się z kopią licencji, należy odwiedzić stronę internetową http://creativecommons.Org/licenses/by/3.0/pl/legalcode lub wysłać list do Creative Commons, 543 Howard St,,5th Floor, San Francisco, California, 94105, USA,

C C b y P o ls k ie T o w a r z y s t w o In f o r m a t y c z n e 2 0 1 6

Badanie wykonał Zespół w składzie:

Przemysław Jatkiewicz (kierownik), Adam Mizerski, Krystyna Pełka-Kamińska, Anna Szczukiewicz, Janusz Żmudziński

Recenzenci:

Prof, dr hab. Zdzisław Szyjewski - Uniwersytet Szczeciński Dr inż, Adrian Kapczyński - Politechnika Śląska w Gliwicach

Korekta: zespół

Skład: Marek W. Gawron

Wydawca:

P o lskie T o w a r z y s tw o In fo rm a ty czn e 00-394 Warszawa, ul. Solec 38 lok, 103 tel.+48 22 838 47 05

e-mail: pti@pti.org.pl www.pti.org.pl

Druk i oprawa:

Elpil

08-110 Siedlce, ul. Artyleryjska 11 tel. +48 25 643 65 51

e-mail: info@elpil.com.pl

Wszystkie tabele, rysunki i wykresy, o ile nie zaznaczono inaczej, zostały wykonane przez Autora

(4)

Spis treści

Od Wydawcy 5 1. Wstęp 7 2. Metodyka 9 3. Przebieg badań 17 4. Wyniki badań 25

4.1. Stosowanie norm PN-ISO/IEC 25

4.2. Inwentaryzacja aktywów teleinformatycznych 26 4.3. Analiza ryzyka 27

4.4. Rejestr incydentów 28 4.5. Polityka bezpieczeństwa 29 4.6. Zasoby ludzkie 32

4.7. Procedury 34

4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa 36 4.9. Zgodność z WCAG 2.0 38

5. W eryfikacja hipotez 39

5.1. Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za pomocą systemów teleinformatycznych zgodnie z przepisami KRI 39

5.2. Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza

nia usługami realizowanymi za pomocą systemów teleinformatycz

nych jest zależna od wielkości podmiotu, liczby i wykształcenia osób związanych z IT 40

5.3. Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawi

dłowo systemu zarządzania bezpieczeństwem informacji 42

(5)

5.4. Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeń

stwem informacji zależy od wielkości podmiotu, liczby i wykształce

nia osób związanych z IT 43

5.5. Hipoteza 5: Większość systemów teleinformatycznych badanych pod

miotów służących do prezentacji zasobów informacji nie jest zgod

nych ze standardem WCAG 2.0 45

5.6. Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swoich systemów teleinformatycznych służących do prezentacji zasobów informacji ze standardem WCAG 2.0 45

5.7. Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak adekwat

nych kwalifikacji kadry badanych jednostek 45 . W nioski i spostrzeżenia 47

Bibliografia 51

Załącznik 1. Ankieta 55 Załącznik 2. Zażalenie 59

Załącznik 3. W spólne stanowisko Departamentu Inform atyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa inform acji 61

Załącznik 4. Wyciąg z dokumentu WCAG 2.0 dotyczącego badanych wytycznych 65

Załącznik 5. Wykaz badanych podmiotów 69

Załącznik 6. Wykaz podmiotów, którym przekazano wyniki badań 85

(6)

Szanowni Państwo,

mamy przyjemność przekazać w Państwa ręce trzecią książkę z cyklu wydawni

czego Polskiego Towarzystwa Informatycznego Biblioteczka Izby Rzeczoznaw

ców PTI.

Celem cyklu jest przedstawienie treści mogących zainteresować zarówno osoby zajmujące się zawodowo informatyką, jak i tych z Państwa, którzy w swojej pracy stykają się z zagadnieniami i problemami związanymi z informatyką.

Autorem trzeciego tomu z cyklu Biblioteczka Izby Rzeczoznawców PTI ^{jest rze}

czoznawca izby Rzeczoznawców PTI, dr inż. Przemysław Jatkiewicz. Monografia prezentuje wyniki badań przeprowadzonych w roku 2015, a dotyczących przepi

sów Rozporządzenia Rady Ministrów z 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wy

miany informacji w postaci elektronicznej oraz minimalnych wymagań dla syste

mów teleinformatycznych, związanych z zarządzaniem systemami informatycz

nymi. W trybie dostępu do informacji publicznej pozyskano dane od 339 jednostek samorządowych, które pozwoliły na weryfikację postawionych na wstępie hipotez.

Zapraszamy do lektury niniejszego oraz poprzednich i kolejnych tomów z serii Biblioteczka Izby Rzeczoznawców PTI.

Marian Noga Tomasz Szatkowski

Prezes Dyrektor Izby Rzeczoznawców

Polskiego Towarzystwa Informatycznego Polskiego Towarzystwa Informatycznego

Warszawa 1 marca 2016 roku

(7)

(8)

W stęp

30 m aja 2012 roku weszło w życie rozporządzenie R ad y M in istró w z 12 k w ie tn ia 2012 roku w spraw ie K rajo w ych Ram Interoperacyjności, m in im aln ych wym agań dla rejestrów publicznych i w ym ian y inform acji w postaci elektronicznej oraz m inim alnych w ym agań dla system ów tele

inform atycznych1, zwane w dalszej części jako K R I. Rozporządzenie zostało w ydane na podstaw ie art. 18 ustaw y z 17 lutego 2005 roku o in form atyzacji działalności podm iotów realizujących zadania publiczne2.

A rty k u ł 18 zobowiązuje Radę M in istró w do określenia w drodze rozpo

rządzenia, w ym agań m ających na uw adze zapew nienie m iędzy innym i:

• spójności d ziałania system ów teleinform atycznych,

• sprawnej i bezpiecznej w ym ian y inform acji w postaci elektro

nicznej,

• dostępu do zasobów inform acji osobom niepełnospraw nym . Z ap isy K R I zaczynają obow iązyw ać w różnych term inach. Podm ioty realizujące zadania publiczne zostały zobowiązane do dostosowania system ów teleinform atycznych do standardu W C A G 2.0 na poziom ie A A 3 w ciągu 3 lat, a w ięc do dnia 1 czerwca 2015 roku.

Sposób zarządzania usługam i realizow anym i za pom ocą system ów teleinform atycznych, w ym ian a danych pom iędzy system am i, jak i sys

tem zarządzania bezpieczeństwem inform acji, p o w in n y spełniać przepi

sy K R I p rzy w drożeniu lub w d niu ich pierw szej istotnej m odernizacji.

W obec dużego znaczenia w spom nianych przepisów dla procesu infor

m atyzacji instytucji publicznych oraz dochodzących alarm ujących sygna

1 Dz.U. 2012 poz. 526.

2 Dz.U. 2005 nr 64 poz. 565.

3 Web Content Accessibility Guidelines (WCAG) 2.0 W3C Recommendation 11 Decem

ber 2008.

(9)

Przemysław Jatkiewicz

łó w o ich realizacji w organizacjach sam orządowych, Polskie Towarzy

stwo Informatyczne, na m ocy uch w ały Zarządu Głównego nr 027 / X II / 2015 z 24 stycznia 2015 roku, podjęło prace badaw cze związane z oceną stanu w drożenia K R I w jednostkach sam orządowych.

8

(10)

M etodyka

Celem badania b yło stw ierdzenie, czy jednostki sam orządowe spełniają przepisy K R I lub podjęły prace nad w drożeniem odpow iednich m echa

nizm ów . Przeprow adzono je w pierw szych 3 kw artałach 2015 roku. Ba

dana populacja licz yła 2 917 podm iotów , na które składały się urzędy m arszałkow skie, pow iatow e, m iejskie i gminne.

Sformułowano następujące hipotezy badaw cze:

Hipoteza 1:

W iększość badanych podm iotów nie zarządza usługam i rea

lizow an ym i za pom ocą system ów teleinform atycznych zgodnie z przepisam i K R I.

Hipoteza 2:

Stopień w drożenia przepisów K R I dotyczących zarządzania usługam i realizow anym i za pom ocą system ów teleinform a

tycznych jest zależny od w ielkości podm iotu, liczby i w y kształcenia osób zw iązanych z IT.

Hipoteza 3:

W iększość badanych podm iotów nie w d rożyła p raw id ło w o system u zarządzania bezpieczeństwem inform acji.

Hipoteza 4:

Stopień w drożenia system u zarządzania bezpieczeństwem inform acji zależy od w ielkości podm iotu, liczb y i w ykształ

cenia osób zw iązanych z IT.

Hipoteza 5:

W iększość system ów teleinform atycznych służących do pre

zentacji zasobów inform acji badanych podm iotów nie jest zgodnych ze standardem W C A G 2.0.

Hipoteza 6:

Jednostki wyższego szczebla bardziej dbają o zgodność sw o

ich system ów teleinform atycznych służących do prezentacji zasobów inform acji ze standardem W C A G 2.0.

Hipoteza 7:

G łó w n ą przeszkodą w e w drożeniu K R I jest brak adekw at

nych k w alifik acji kad ry badanych jednostek.

(11)

W celu w eryfikacji w ym ien ion ych hipotez, jak rów nież uzyskania do

d atkow ych cennych inform acji, opracowano ankietę stanow iącą załącz

n ik nr 1.

H ipotezę nr 1 w eryfikow ano na podstaw ie odpow iedzi na pytania szczegółowe. M ożna ją uznać za p raw dziw ą, jeśli większość z badanych podm iotów spełnia przynajm niej 1 z 3 następujących w arunków :

1) Posiadanie certyfikatu zgodności z PN -ISO /IEC 200004 zgodnie z § 15. 3 K R I.

2) Przeszkolenie przynajm niej 1 pracow nika lub zakup norm y PN- 1SO/IEC 20000 w raz z przeprow adzeniem audytu na zgodność z PN -ISO /IEC 20000.

3) Posiadanie przynajm niej po 1 udokum entowanej procedurze zgodnie z § 15. 2 K R I, dotyczącej w drażania, eksploatacji, w yco fyw an ia i testow ania aktyw ó w teleinform atycznych.

H ip o tezę nr 2 w eryfiko w an o na podstaw ie ustalenia zależności po

m iędzy w ielk o ścią jednostki, określoną na podstaw ie jej szczebla zgodnie z tabelą 1, a liczbą punktów przyznaw anych w edle klucza pre

zentowanego w tabeli 2.

Tabela 1. Klasy wielkości w odniesieniu do szczebla instytucji

Rodzaj urzędu Wielkość jednostki

Urząd Marszałkowski Duża

Urząd M iejski w mieście na prawach powiatu Duża

Urząd Dzielnicy (W arszaw a) Duża

Urząd Pow iatow y Średnia

Urząd Miejski Średnia

Urząd M iasta i Gminy M ała

Urząd Gminy M ała

4 PN-ISO/IEC 20000-1: 2007 - Technika informatyczna - Zarządzanie usługami - Część 1:

Specyfikacja, PN-ISO/TEC 20000-2: 2007 - Technika informatyczna - Zarządzanie usługami - Część 2: Reguły postępowania.

10

(12)

Metodyka

Tabela 2. Punktacja cech dla hipotezy nr 2

Punktowana cecha Liczba punktów

Szkolenie przynajmniej 1 osoby z zakresu wym agań PN-ISO/IEC 20000

lub zakup norm y PN-ISO/IEC 20000 4

Audyt na zgodność z PN-ISO/IEC 20000 4

Procedura wdrażania nowych aktyw ów teleinform atycznych 1 Procedura bieżącej eksploatacji aktyw ów teleinform atycznych 1

Procedura w ycofania aktyw ów teleinform atycznych 1

Procedura testow ania system ów teleinform atycznych 1

H ipotezę nr 3 m ożna uznać za p ra w d z iw y jeśli w iększość z badanych podm iotów spełnia przynajm niej 1 z 3 następujących w arunków :

1) Posiadanie certyfikatu zgodności z PN -ISO /IEC 270015, zgodnie z § 20. 3 K R I.

2) Przeszkolenie przynajm niej jednego pracow nika oraz przepro

wadzenie audytu na zgodność z PN -ISO /IEC 27001.

3) Posiadanie i aktualizow anie:

a. inw entaryzacji aktyw ów teleinform atycznych, b. analizy ryzyka,

c. rejestru incydentów ,

d. p o lityk i bezpieczeństwa i in form acji opartych o PN- IS O /IE C 27001.

H ipotezę nr 4 w eryfikow ano na podstaw ie ustalenia zależności pom ię

dzy w ielk o ścią jednostki, określoną na podstaw ie jej w ielko ści zgodnie z tabelą 1 oraz liczbą i w ykształceniem kad ry odpow iedzialnej za zarzą

dzanie przetw arzaniem inform acji, w pow iązaniu z liczbą punktów przyznaw anych zgodnie z kluczem prezentowanym w tabeli 3.

5 PN-ISO/IEC 27001:2014, Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania.

11

(13)

Tabela 3. Punktacja cech dla hipotezy nr 4

Punktowana cecha Liczba

punktów Szkolenie przynajmniej 1 osoby z zakresu wym agań PN-ISO/IEC 27001 lub zakup

normy PN-ISO/IEC 27001 15

Audyt na zgodność z PN-ISO/IEC 27001 15

Szkolenie przynajmniej 1 osoby z zakresu wym agań PN-ISO/27005 lub zakup

norm y PN-ISO/IEC 270056 1

Szkolenie przynajmniej 1 osoby z zakresu wym agań PN-ISO/24762 lub zakup

norm y PN-ISO/IEC 247S27 1

W ykonanie inwentaryzacji aktyw ów teleinform atycznych 7

W ykonanie analizy ryzyka 6

Prowadzenie rejestru incydentów 6

w edług UODO 1

w edług PN-ISO/27001 2

Ustanow ienie polityki bezpieczeństwa okres przeglądu poniżej roku 1

informacji okres przeglądu powyżej roku -1

audytow anie 1

aktualizacja 1

W arunkiem przyznania punktów za w ykonanie inw entaryzacji akty

w ó w teleinform atycznych b yło podanie w ankiecie daty jej w ykonania, liczb y aktyw ów , aktyw n ych w ęzłów sieci oraz baz danych. Uznano, iż liczba ak tyw ó w teleinform atycznych oraz ak tyw n ych w ęzłów sieci znacząco m niejsza niż liczba zatru dn io n ych p racow n ików (1 0 % ) jest błędem i oznacza niepopraw ne w ykon an ie in w en taryzacji. W takiej sytuacji p u nkty nie b y ły przyznaw ane.

6 PN-ISO/IEC 27005:2014, PN-ISO/IEC 27001:2007, Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania.

7 PN-ISO/IEC 24762:2010, Technika informatyczna - Techniki bezpieczeństwa - W y

tyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie.

12

(14)

Metodyka

Pu n k ty za w ykonanie analizy ryzyka b y ły przyznaw ane, jeśli podana została m etodyka oraz data aktualizacji, a czas jaki u p ły n ą ł od jej w y k o nania nie b ył dłuższy niż 1 rok.

Uznano, iż badany podm iot prow adzi rejestr incydentów , jeśli zade

klarow ano w ankiecie jego prow adzenie i określono datę rejestracji ostatniego incydentu.

W eryfikacja hipotezy nr 5 polegała na kontroli zgodności w bada

nych podm iotach system ów teleinform atycznych służących do prezen

tacji zasobów inform acji ze standardem W C A G 2.0.

Pełn y audyt w szystkich system ów jest zadaniem daleko w ykraczają

cym poza m ożliw ości zespołu realizującego badania. Badania przepro

wadzono jedynie wobec startowych stron B IP w zakresie zgodności z w y tycznym i zamieszczonymi w tabeli 4.

Tabela 4. Kontrolowane wytyczne WCAG 2.0

Zasada Wytyczna Kontrolowana cecha

Zasada nr 1:

Postrzegalność

W ytyczna 1.1 A lternatyw a w postaci tekstu

1.1.1 Treść nietekstowa: wszelkie treści nietekstowe przedstawione użytkownikowi posiadają swoją tek

stową alternatyw ę, która pełni tę samą funkcję W ytyczna 1.4

M ożliwość rozróż

nienia

1.4.3 Kontrast (m inim alny): wizualne przedstawienie tekstu lub obrazu tekstu posiada kontrast wynoszący przynajmniej 4,5:1

Zasada nr 4:

Solidność

W ytyczna 4.1 Kom patybilność

4.1.1 Parsowanie: w treści w prowadzonej przy uży

ciu języka znaczników, elem enty posiadają pełne znaczniki początkowe i końcowe, elem enty są za

gnieżdżane w edług swoich specyfikacji, elem enty nie posiadają zduplikowanych atrybutów oraz wszystkie ID są unikalne, za w yjątkiem przypadków, kiedy specyfikacja zezwala na wyżej w ym ienione cechy

Do kontroli zgodności w yszczególnionych cech z poszczególnym i w y tycznym i, użyto W 3C M arkup V alid atio n Service oraz przeglądarkę Mo-

(15)

z illa Firefox z zainstalow anym i dodatkam i W A V E Toolbar i W C A G Con

trast checker.

H ipotezę nr 6 w eryfiko w an o na podstaw ie liczby system ów spełnia

jących kontrolow ane cechy eksploatow anych przez poszczególne klasy i w ielkości instytucji przedstaw ione w tabeli 1.

Praw d ziw o ść h ip o tezy nr 7 spraw dzono na podstaw ie odpow iedzi na pytanie nr 7 ankiety, w którym respondenci przyznają p unkty 0*5 dla czynników , które stan ow iły problem przy ustanow ieniu i w drożeniu P o lityk i bezpieczeństwa.

Pom im o, że badana populacja nie jest zbyt duża, zdecydow ano się na reprezentacyjną m etodę badań. Przyjęto, iż cechy m ają rozkład hiper- geom etryczny, który przybliżono rozkładem norm alnym i zastosowano następujący w zór na m in im aln ą w ielkość próby8:

p ( l - p ) u2

n = _{g2 |}p ( i - p ) u zn ' 2 v ( l)>

N gdzie:

n - liczebność próby N - liczebność populacji S 2- błąd

p - w ielkość frakcji

u - 1.96, k w an tyl rozkładu norm alnego dla testu dwustronnego p rzy poziom ie ufności 95%.

Prz y liczebności próby wynoszącej 2 917, błędzie 5 % oraz przyjętej w ie l

kości frakcji 0,5 m inim alna liczebność próby to 339.

W celu w yboru obiektów wykonano losowanie bez zwracania, w ar

stwowe, przy pom ocy generatora liczb pseudolosowych. O ddzielnie loso

wano podm ioty należące do każdego rodzaju wyszczególnionego w tabe

li 1, z uw zględnieniem częstości jego w ystępow ania w populacji. Liczb y w ylosow anych podm iotów przedstaw iono w tabeli 5.

8 J. Steczkowski, M etoda reprezentacyjna w badaniach zjawisk ekonomiczno-społecznych, W y

dawnictwo Naukowe PWN, Warszawa 1995, s. 190.

14

(16)

Metodyka

Tabela 5. Liczba wylosowanych podmiotów

Rodzaj urzędu Liczba wylosowanych podmiotów

Urząd Marszałkowski 2

Urząd M iejski w mieście na prawach powiatu 8

Urząd Dzielnicy (W arszaw a) 2

Urząd Pow iatow y 36

Urząd Miejski 38

Urząd M iasta i Gminy 70

Urząd Gminy 183

Razem 339

(17)

(18)

Przebieg badań

Do wszystkich wylosowanych podm iotów wysłano pocztą ankiety w formie wniosku o udostępnienie informacji publicznej. Przyjęta forma m iała zagwa

rantow ać szybki i 100% zwrot ankiet, gdyż w m yśl art. 4 ust. 1 p. 4 ustaw y z 6 września 2001 roku o dostępie do inform acji publicznej9, organy adm i

nistracji sam orządowej zobowiązane są do jej udostępnienia a term in ud zielenia odpow iedzi w yn osi 14 dni.

Generalnie term in 14 dni nie b ył dotrzym ywany. A nkiety systematycznie spływ ały przez okres 1,5 miesiąca, w trakcie którego odbierano liczne tele

fony z prośbą o dodatkow e inform acje lub przedłużenie term inu odpo

w iedzi. U rzęd n icy zw racali się z pytaniam i o znaczenie term inów : ak

tyw a inform acyjne i aktyw ne w ęz ły sieci. N ie rozum ieli też, co oznacza m etodyka w ykon an ia analizy ryzyka.

N ielicz n i respondenci u p ierali się, iż nie m ogą ud zielić odpow iedzi ze w zględu na p olitykę ochrony inform acji. Problem d otyczył zwłaszcza p y tania nr 2 w zakresie liczby aktyw ów , w ęzłów i baz danych oraz pytania n r 3 w zakresie rejestracji incydentów .

Zdaniem autora zastrzeżenia te są bezpodstawne, gdyż zgodnie z ustaw ą o dostępie do inform acji publicznej: „Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informa

cji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych". A n kieta nie zaw ierała p ytań o dane osobowe, a traktow anie odpow iedzi jako tajem nicy przedsiębiorstw a w ydaje się nadinterpretacją. W iększość inform acji, które pozyskiw ane b y ły podczas badań, zostało niem alże

9 Dz.U. 2001 nr 112 poz, 1198.

(19)

w prost w ym ien ion ych w art. 6 u staw y o dostępie do inform acji publicz

nej, co zostało zaprezentowane w tabeli 6.

Tabela 6. Odniesienie pytań ankiety do rodzajów informacji publicznej wyszczególnionych w ustawie o dostępie do informacji publicznej

Nr py

tania Treść Odnie

sienie Rodzaj informacji publicznej

1. Zakupione

normy

Art.

6.1 2f M ajątek podm iotów realizujących zadania publiczne

1. Przeszkolone osoby

Art.

6.1 2d

Kom petencje osób pełniących funkcje w podm iotach re

alizujących zadania publiczne

1. Audyty

i certyfikacje

Art.

6.1 4a

Dokumentacja przebiegów i efektów kontroli oraz w y stąpienia, stanowiska, wnioski i opinie podm iotów ją przeprowadzających

2. Inwentaryzacja Art.

6.1 4a

Dokumentacja przebiegów i efektów kontroli oraz w y stąpienia, stanowiska, wnioski

i opinie podm iotów ją przeprowadzających

2. Analiza ryzyka Art.

6.1 4a

3. Rejestr

Incydentów Brak odniesienia

4. Polityka bez

pieczeństwa

Art.

6.1 4a

Treść i postać dokum entów urzędowych

5.

Liczba

i kom petencje pracowników

Art.

6.1 2a i 2d

Organizacja podm iotów realizujących zadania publiczne Kom petencje osób pełniących funkcje w podm iotach re

alizujących zadania publiczne

6, Procedury Art.

6.1 3

Zasady działania podm iotów realizujących zadania pu

bliczne

Respondenci trzykrotnie zauw ażyli, iż pytanie nr 3 odnosi się do opinii, nie zaś inform acji publicznej. Zarzu t ten jest - niestety - słuszny.

D w ukrotnie w p łyn ęło w ezw anie do uzupełnienia braków form alnych i złożenia w niosku zgodnego ze w zorem określonym w rozporządzeniu

18

(20)

Przebieg badań

M inistra Adm inistracji i Cyfryzacji z 17 stycznia 2012 roku w sprawie w zoru w niosku o ponowne w ykorzystanie inform acji publicznej10.

W ed łu g urzędników , z treści złożonego w niosku (ankieta), w yn ik a że jest on zgodnie z treścią art. 23a ust. 1 u staw y o dostępie do inform acji publicznej, w nioskiem o udostępnienie inform acji publicznej w celu jej ponownego w ykorzystania. Treść przytoczonego przepisu jest następu

jąca: „W ykorzystyw anie przez osoby fizyczn e, osoby praw ne i jedn ostki orga

nizacyjne nieposiadające osobow ości praw nej inform acji publicznej lub każdej jej części, będącej w posiadaniu podm iotów, o których mowa w ust. 2 i 3, nie

zależnie od sposobu jej utrwalenia (w postaci papierow ej, elektronicznej, dźw ię

kowej, w izualnej lub audiow izualnej), w celach kom ercyjnych lub niekom ercyj

nych, innych niż jej pierw otny publiczny cel w ykorzystyw ania, dla którego inform acja została wytw orzona, stanow i ponow ne w ykorzystyw anie inform acji publicznej i odbywa się na zasadach określonych w niniejszym rozdziale". Po niew aż interpretacja w ydaje się jak najbardziej p raw id ło w a, ponow iono w niosek przy u życiu odpow iedniego form ularza zgodnego ze wzorem .

D efinityw nie nie można się jednak zgodzić z żądaniem uzasadnienia wniosku. Przedstawiciel Urzędu G m iny Jedlnia Letnisko uzależnił udziele

nie odpowiedzi od w ykazania powodów, dotyczących każdego z 7 punktów wniosku, dla których spełnienie jego żądania będzie szczególnie istotne dla interesu publicznego. Za podstawę swojego stanow iska p rzyjął przepisy art. 3.1 ust. 1 ustaw y o dostępie do inform acji publicznej o brzm ieniu

„Prawo do inform acji publicznej obejm uje uprawnienia do uzyskania inform a

cji publicznej, w tym uzyskania inform acji przetw orzonej w takim zakresie, w jakim jest to szczególnie istotne dla interesu publicznego".

Po p arł je fragm entem uzasadnienia w yro ku W ojew ódzkiego Sądu A d m i

nistracyjnego w Poznaniu z 23 stycznia 2014 roku: „Inform acją przetw o

rzoną będzie zatem taka inform acja, co do której podm iot zobow iązany do jej udzielenia nie dysponuje taką »gotową« inform acją na dzień złożenia wniosku, ale jej udostępnienie wym aga podjęcia dodatkow ych czynności. R easum ując in

form acja będzie m iała charakter inform acji przetw orzonej w sytuacji gdy jej udostępnienie co do zasady wym aga dokonania stosow nych analiz, obliczeń,

10 Dz.U. 2012 poz. 94.

(21)

zestaw ień statystycznych itp. połączonych z zaangażow aniem w ich pozyskanie określonych środków osobow ych i fin an sow ych"11.

Pom inął jednak znaczący fragment m ów iący o tym iż: „Nie stanow i zaś przesłanki dla uznania inform acji publicznej za inform ację przetw orzoną oko

liczność, iż wym aga ona poszukiw ania w zasobach archiw alnych podm iotu z o  bow iązanego. W dalszym ciągu chodzi bowiem o inform ację, której udostępnie

nie nie wym aga jakichkolw iek analiz, obliczeń, zestaw ień statystycznych itp., a jedyn ie prostego odnalezienia jej w zbiorze dokum entów ". Po dkreślić n a

leży, że odp ow iedzi na p ytan ia zaw arte w ankiecie nie w ym ag ały doko

n yw an ia żadnych analiz, zestaw ień czy obliczeń.

W tym samym piśm ie pow ołano się rów nież na w yro k Naczelnego Sądu A dm inistracyjnego z 5 kw ietn ia 2013 rok u 12, który stwierdza:

inform acją przetw orzoną jest inform acja publiczna opracow ana przez podm iot zobow iązany przy użyciu dodatkow ych sił i środków, na podstaw ie posiadanych przez niego danych, w związku z żądaniem w nioskodaw cy i na podstaw ie kry

teriów przez niego w skazanych, czyli innym i słow y inform acja, która zostanie przygotow ana »specjalnie« dla w nioskodaw cy wedle w skazanych przez niego kryteriów . Inform acja przetw orzona to taka inform acja, której w ytw orzenie wym aga intelektualnego zaangażow ania podm iotu zobow iązanego".

Sprawdzenie danych w prowadzonych przez urząd rejestrach lub oficjal

nych dokum entach czy procedurach w ym aga w y siłk u intelektualnego znacznie m niej intensyw nego niż w łożony w przygotow anie takiej odpo

w iedzi.

W konkluzji przytoczono także w yro k W ojew ódzkiego Sądu A d m in i

stracyjnego w Poznaniu z 7 m arca 2013 roku13: „ W sytuacji, w której nieu

dzielanie inform acji publicznej przetw orzonej następuje z powodu niewykaza- nia, że jest to szczególnie istotne dla interesu publicznego, należy wydać decyzję o odm ow ie udzielenia inform acji. »Odmowa« pozytyw nego załatw ienia wniosku nie m oże następow ać poprzez decyzję um arzającą postępow anie. (...) w przypadku ustalenia, że nie zachodzą przesłanki określone w art. 3 ust. 1 pkt

» II SAB/Po 123/13.

I OSK 89/13.

13II SA/Po 1060/12.

20

(22)

Przebieg badań

1 u.d.i.p., organ pow inien wydać decyzję o odm ow ie udzielania inform acji pu  blicznej".

Dane, o które w nioskow ano w toku badań, zdecydow anie nie można uznać za informację przetworzoną, gdyż w ynikają wprost z odpow iednich dokum entów , które nie m ają naw et charakteru archiwalnego. W tej sytu

acji należy stosować przepis art. 2.2 u staw y o dostępie do inform acji pu

blicznej - „Od osoby w ykonującej prawo do inform acji publicznej nie wolno żądać wykazania interesu praw nego lub fakty czn eg o" .

O peracji przeniesienia inform acji na papier i przesłania do wnioskującego nie m ożna traktow ać jako przetw orzenia lecz jako przekształcenie14.

Brak m ożliw ości odpowiedzi na pytania ankietowe urzędnicy tłum a

czyli rów nież rozpoczynającym się w łaśnie procesem w drożenia P o lityk i bezpieczeństwa i trw ającą inw entaryzacją na potrzeby opracowywanej analizy ryzyka (Starostw o Pow iatow e w Augustow ie). W badaniach cho

dziło jednak o ustalenie stanu faktycznego na dzień złożenia wniosku, nie zaś o efekty, jakie w przyszłości być może zostaną osiągnięte.

Jeden z urzędników uznał, że nie musi udzielić odpowiedzi, powołując się na przepisy § 23: „System y teleinform atyczne podmiotózo realizujących zada

nia pu bliczn e fu n kcjon u jące w dniu w ejścia w życie rozporządzenia na p od  staw ie dotychczas obow iązujących przepisów należy dostosow ać do wym agań, o których m owa w rozdziale IV rozporządzenia, nie późn iej niż w dniu ich pierw szej istotn ej m odernizacji przypadającej po zoejściu w życie rozporzą

d zen ia" .

U rząd, który reprezentow ał, od dnia w ejścia w życie K R I do dnia złożenia wniosku nie dokonał żadnej istotnej modernizacji. Pom ylony został w tym przypadku w ym óg dostosowania systemów inform atycznych do przepisów K R I z obowiązkiem udzielenia inform acji publicznej. Badania, a tym sa

m ym p ytan ia zaw arte w ankiecie, m iały na celu m iędzy in n ym i odpo

w iedź na pytanie o stopień przygotow ania urzędu.

14 Ustawa o dostępie do informacji publicznej: komentarz, Wydawnictwo Uniwersytetu W ro

cławskiego, Wrocław 2002, s. 32.

(23)

W rezultacie w szystkich zastrzeżeń i odm ów, z 339 respondentów od

pow iedzi u d zieliło jedynie 254. Zdecydow ano się w ięc na w niesienie za

żalenia na niezałatw ienie sp raw y w term inie - na podstaw ie art. 37 K o

deksu postępowania adm inistracyjnego15 - do Sam orządowych Kolegiów O dw oław czych, odpowiednich dla poszczególnych urzędów. Treść zażale

n ia stanow i załącznik nr 2. Zażalenia, podpisane przez D yrektor Gene

raln ą Zarządu G łów nego Polskiego Tow arzystw a Inform atycznego, skła

dane b y ły za pośrednictw em urzędów , których dotyczyły.

Spora liczba respondentów zareagow ała niem al natychm iast, dzw o

niąc i prosząc o w ycofan ie pism a, obiecując jednocześnie niezw łoczne załatw ien ie spraw y. Rozw iązanie takie b yło efektem oczekiw anym przez p row adzących badania i p ozw oliło na uzyskanie kolejnych 44 od

pow iedzi. Pozostali respondenci rozp atryw ali spraw y we w łasnym za

kresie lub p raw id ło w o przekazyw ali je do Sam orządow ych K olegiów O d w oław czych. K olegia te w z y w a ły Polskie Tow arzystw o Inform atyczne do przedstaw ienia upow ażnienia D yrektor do reprezentow ania T ow arzy

stwa oraz okazania dow odu nadania pism a, z u w ag i na ośw iadczenia urzędów o braku przedm iotow ej korespondencji. W sk azyw ały też na W o jew ódzkie Sąd y A dm inistracyjne jako jednostki w łaściw e do rozpatryw a

n ia dalszych zażaleń, w tym na bezczynność urzędów .

Poniew aż celem było ukończenie badań, nie zaś w ikłan ie się w spory praw ne mogące je w sposób znaczący opóźnić, podjęto decyzję o dopusz

czeniu do um orzenia spraw i w ykonaniu dodatkowego losow ania uzu

pełniającego pulę respondentów.

N a rysunku 1 pokazano procentow y rozkład udzielenia odpowiedzi w efekcie podjętych działań.

15 Dz.U. 1960 nr 30 poz, 168.

22

(24)

Przebieg badań

■ Ankiety w odpowiedzi na wniosek

M Ankiety w odpowiedzi na zażalenie

Brak odpowiedzi

Rys. 1. Procentowy rozktad udzielenia odpowiedzi

(25)

(26)

4 W yniki badań

4.1. Stosowanie norm PN-iSO/iEC

Badane urzędy zakupiły łącznie 31 norm wyszczególnionych w K R I, przy czym najmniejszym zainteresowaniem cieszyła się norm a PN-ISO /IEC 20000, dotycząca zarządzania usługam i realizow anym i przez system y teleinfor

m atyczne. Zdecydow ana większość instytucji tj. 309, co stanow i ponad 91% badanych, nie zakupiła ani jednej norm y. W zakresie stosowania odpow iednich norm PN -ISO /IEC dokonano 2 973 szkolenia przypadają

ce na pojedynczego urzędnika, co stanow i ok. 11% zatrudnionych (nie

którzy urzędnicy b y li jednak szkoleni z k ilk u norm ).

Szczegółowe dane odnośnie szkoleń zostały zaprezentowane w tabeli 7.

Tabela 7. Szkolenia w zakresie stosowania norm PN-ISO/IEC

Norma Liczba przeszkolonych Liczba urzędów realizujących szkolenia

PN-ISO/IEC 20000 106 6

PN-ISO/IEC 27001 2 564 23

PN-ISO/IEC 27005 160 11

PN-ISO/IEC 24762 143 6

Jed yn ie 7 urzędów przeprow adziło audyt na zgodność z norm ą PN- ISO /IEC 20000. A udyt dotyczący norm y PN -ISO /IEC 27001 w ykonało tro

chę więcej organizacji, tj. 24. Znacznie m niej uzyskało certyfikat - odpo

w ied n io 3 i 10 urzędów - p rzy czym oba posiadał jedynie U rząd M iasta Bydgoszczy oraz Urząd G m in y Św id w in .

25

(27)

4.2. Inwentaryzacja aktywów teleinformatycznych

W yko nan ie inw entaryzacji aktyw ó w teleinform atycznych zadeklarow a

ło 159 urzędów (46,9%) p rzy czym aktualną, nie starszą niż dw a lata, posiadały 103 jednostki (30,38%). Pom im o deklaracji, 46 urzędów nie potrafiło podać liczb y aktyw ów , zaś kolejnych 40 podało liczbę m niejszą od sum y aktyw n ych w ęzłów sieci i baz danych. D odatkow o 5 następ

nych określiło liczbę aktyw n ych w ęzłów sieci znacząco m niejszą niż liczba pracow ników . Szczegóły zostały przedstawione na rysunku 2.

Poniew aż niem al każdy z pracow ników urzędu w ykonuje pracę b iu row ą i dysponuje zapewne kom puterem , w ydaje się m ało praw dopo

dobne, b y liczba aktyw n ych w ęzłów sieci (kom putery, laptopy, prze

łączniki, routery, serw ery, drukarki sieciow e) stanow iła 90% lub mniej liczb y p racow ników urzędu. Reasum ując, w iaryg od n ą i aktualną in w en taryzację posiadało jedynie 3,54% badanych organizacji.

180 160 140 120 100 80 60 40 20 0

Rys. 2. Inwentaryzacje aktywów teleinformatycznych w badanych instytucjach 180

Brak Nieaktualna Niewiarygodna Aktualna i inwentaryzacji inwentaryzacja inwentaryzacja wiarygodna

inwentaryzacja

26

(28)

Wyniki badań

4.3. Analiza ryzyka

N iew iele instytucji opracow ało analizę ryzyka. Z deklaracji w yn ika, że zrob iły to 81 jednostki (23,89%). Jedna natom iast (U rząd G m in y M ińsk M azow iecki) odm ów iła odpow iedzi, pow ołując się na Po lityk ę bezpie

czeństwa inform acji. Jed yn ie 61 analiz można uznać za aktualne.

Rodzaje zastosowanych m etodyk zostały zaprezentowane na rysunku 3.

■ ilościowa ■ jakościowa mieszana * oparta o rywalizację

Rys. 3. Rodzaje zastosowanych metodyk

Znam iennym jest, że respondenci nie um ieli ustalić bądź nie znali nazw użytych metodyk. W ym ieniali następujące nazwy, których większość, ozna

czonych kolorem czerwonym , nie jest nazwam i m etodyk analizy ryzyka:

• burza m ózgów (Starostw o Pow iatow e w W adow icach),

• F M E A ,

• Prince 2 (Starostw o Pow iato w e w Siedlcach),

• arytm etyczna (Starostw o Pow iatow e w K ościerzynie),

• C M M I for Services v. 1.3,

(29)

• P M I (U rząd G m in y N iem ce),

• C R A M M ,

• delficka (U rząd M iasta Bydgoszcz),

• indukcyjna (U rząd M iasta i G m in y Twardogóra, U rząd G m in y w Liskow ie),

• M E H A R I,

• ręczna (U rząd M iejski w Łom ży).

W iększość z nich m a bardzo luźny zw iązek z m etodykam i w ykonania analiz ryzyka i dotyczy raczej zarządzania projektam i lub m etod ba

daw czych. Pom im o ew identnego braku w ied zy, tylko 11 badanych jed

nostek skorzystało z pom ocy firm zewnętrznych. Zauw ażono także, iż co najm niej 7 analiz ryzyka nie b yło poprzedzonych inw entaryzacją ak

tyw ó w teleinform atycznych.

4.4. Rejestr incydentów

Ponad połow a (53,69%) respondentów zadeklarow ała prow adzenie reje

stru incydentów , jednakże 134 pozostają puste, gdyż nie zarejestrowano w nim żadnego incydentu. U rząd G m in y N o w y Targ u zn ał natom iast, iż udzielenie inform acji dotyczących prow adzenia rejestru incydentów stanow i zagrożenie inform acji

Szczegółowe inform acje zostały zaprezentowane na rysunku 4 na na

stępnej stronie.

W roku 2014 zarejestrowano łącznie 11 375 incydentów . M ediana in cydentów (zarejestrow anych w prow adzonych, niepustych rejestrach) w yn osi zaś 4. Taka niska wartość m ediany w stosunku do dużej liczby incyd entów w y n ik a ze sposobu rejestracji prow adzonej przez U rząd M arszałko w ski W ojew ó d ztw a Podkarpackiego, k tó ry rejestruje zda

rzenia z system ów an tyw iru so w ych czy ID S/IPS (Intrusion Detection Sys

tem^/Intrusion Prevention System). Instytucja ta w roku 2014 zarejestrow a

ła 11 000 incydentów . Cześć z incydentów b yło na tyle pow ażnych, iż 13 urzędów zgłosiło je do Rządow ego Zespołu Reagow ania na In cyd en ty Kom puterow e C ER T , A gencji Bezpieczeństw a W ew nętrznego lub proku

ratury.

28

(30)

Wyniki badań

W arto zauw ażyć, że 3 u rzęd y (m iasta Jaw orzno, m iasta M a rk i i gm i

n y Ł u k ó w ) dokonały takich zgłoszeń, lecz nie prow ad zą rejestru in cy dentów .

0,29%

■ Brak rejestru

■ Rejestr pusty lub nieaktualizowany Rejest aktualny

■ Odmowa odpowiedzi

Rys. 4. Rejestry prowadzone przez badane instytucje

4.5. Polityka bezpieczeństwa

O koło 12% urzędów (40 jednostek) nie posiada P o lity k i bezpieczeństwa inform acji. U rząd G m in y N arew ka - w przesłanym piśm ie - uważa, że nie m a potrzeby jej opracowania. Pozostałe u sta n o w iły ją w bardzo różnym czasie, co zostało pokazane na rysu n ku 5. Spośród w spom nia

nych 40 in stytu cji, 33 posiada zarejestrow ane zb iory danych osobo

w ych w rejestrze prow adzonym przez Generalnego Inspektora O chrony D anych O sobow ych (G IO D O ).

(31)

Rys, 5. Liczba ustanowień Polityk bezpieczeństwa w latach 1997-2015

O statnie zm iany w ustaw ie z 29 sierpnia 1997 roku o ochronie danych osobowych16, wniesione ustaw ą z 7 listopada 2014 roku o u łatw ien iu w y konyw ania działalności gospodarczej, obowiązują od 1 stycznia 2015 ro

ku. Dlatego też należy uznać, iż w szystkie p o lityk i w ydan e przed ro

kiem 2014 i nieaktualizow ane w latach 2014-2015 są już nieaktualne.

Biorąc pow yższe pod uw agę m ożna stw ierdzić, że liczba aktualnych p olityk w yn osi 114 sztuk. N a rysunku 6 przedstaw iono liczbę ostatnich aktualizacji P o lityk bezpieczeństwa badanych jednostek w latach 1997- 2015. Zauw ażono także, iż część respondentów (28) podało tą sam ą datę ustanow ienia i aktualizacji. P rz y form ułow aniu w niosków traktow ano takie przypad ki jako nieaktualizow ane. Pom im o że 205 ankietow anych deklarow ało roczny lub krótszy okres aktualizacji, to ponad 39% z nich aktualizow ało swoje P o lity k i po co najm niej d w uletnim okresie czasu.

16 Dz. U. 2014 r. poz. 1182.

30

(32)

Wyniki badań

69

2000 2001 2003 2004 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Rys. 6. Liczba aktualizacji Polityk bezpieczeństwa w latach 1997-2015

Z przeprowadzonych badań w ynika, że praw ie połowa urzędów (48,08%) przeprow adziła audyt swojej P o lityk i bezpieczeństwa. W iększość z nich (86), w ykon ała go w łasn ym i siłam i, zaś 77 posiłkow ało się firm am i ze

w nętrznym i.

Jak w idać na rysunku 7, now elizacja ustaw y o ochronie danych oso

bow ych z roku 2014 stym ulow ała przeprow adzenie audytów . Znam ien

nym jest, iż 5 organizacji przeprow adziło audyt, lecz nie posiada Po lityk i bezpieczeństwa. W szystkie zam ieściły informację o trwających pracach nad jej ustanow ieniem , choć w przypadku U rzędu M iasta i G m in y w Z d u nach, biorąc pod uw agę datę audytu, prace te trw ają już około 6 lat.

(33)

2005 2005 2007 2008 2009 2010 2011 2012 2013 2014 2015

■ wykonawca wewnętrzny ■ wykonawca wewnętrzny

Rys. 7. Przeprowadzone w latach 2005-2015 audyty Polityki bezpieczeństwa informacji

4.6. Zasoby ludzkie

W iększość urzędów (93,81%) zatrudnia inform atyków , jednakże nie w szyscy z nich posiadają w ykształcenie techniczne.

Dane odnośnie w ykształcenia technicznego służb IT przedstaw iono w tabeli 8.

Tabela 8. Kadra IT badanych jednostek

Wykształcenie Liczba informatyków Liczba urzędów

Brak służb IT 0 21

Wyższe techniczne 406 241

Inne 190 77

Razem (wykształcenie techniczne i inne) 596 318

32

(34)

Wyniki badań

Nieznacznie mniej (88,79%) jednostek posiada adm inistratora bezpie

czeństwa inform acji. Znacznie m niejsza liczba u rzędów (50,74%) za

trudnia audytorów wewnętrznych. Strukturę wykształcenia osób pełniących om awiane funkcje przedstaw ia rysunek 8. Brak oznacza nieobsadzone stanowisko. Nieznajom ość w ykształcenia adm inistratora bezpieczeń

stwa czy audytora w ew nętrznego św iadczy zapewne o tym , że czynno

ści przypisane tym funkcjom w ykon u ją w ynajęte osoby.

250 200

150 100

50

0

Rys. 8. Wykształcenie osób pełniących funkcje administratora bezpieczeństwa infor

macji i audytora wewnętrznego

Brak audytora w ew nętrznego z w ykształceniem średnim zw iązan y jest z w ym aganiam i u staw y z 27 sierpnia 2009 roku o finansach publicz

nych:

„Art. 286. 1. Audytorem wew nętrznym m oże być osoba, która:

1) ma obyw atelstw o państw a członkow skiego Unii Europejskiej lub in

nego państwa, którego obyw atelom , na podstaw ie umów m iędzyna

(35)

rodow ych lub przepisów prawa w spólnotow ego, przysługuje prawo podjęcia zatrudnienia na terytorium R zeczypospolitej Polskiej;

2) ma pełną zdolność do czynności praw nych oraz korzysta z pełni praw publicznych;

3) nie była karana za um yślne przestępstw o lub um yślne przestępstw o skarbowe;

4) posiada wyższe w ykształcenie;

5) posiada następujące kw alifikacje do przeprow adzania audytu we

w nętrznego:

a) jeden z certyfikatózo: C ertified Internai A uditor (CIA), Certified Gov

ernm ent Auditing Professional (CGAP), Certified Inform ation Sys

tems A uditor (CISA), A ssociation o f Chartered Certified A ccount- ants (ACCA), Certified Fraud Exam iner (CFE), C ertification in Control S elf A ssessm ent (CCSA), Certified Financial Services A udi

tor (CFSA) lub Chartered Financial A nalyst (CFA), lub

b) złożyła, w latach 2003-2006, z wynikiem pozytyw nym egzam in na audytora w ew nętrznego przed Kom isją Egzam inacyjną pow ołaną przez M inistra Finansów, lub

c) upraw nienia biegłego rewidenta, lub

d) dw uletnią praktykę w zakresie audytu w ew nętrznego i legitym uje się dyplom em ukończenia studiów podyplom ow ych w zakresie audytu wewnętrznego, wydanym przez jednostkę organizacyjną, która w dniu w ydania dyplom u była uprawniona, zgodnie z odrębnym i ustawami, do nadawania stopnia naukowego doktora nauk ekonom icznych lub praw nych"17.

4.7. Procedury

N ajw ięcej procedur opracow anych i w drożonych w urzędach dotyczy eksploatacji. Znacznie m niejsza liczba zw iązana jest z w drożeniem no

w ych aktyw ów , w ycofaniem aktyw ów ' z eksploatacji oraz testowaniem .

17 Dz.U. 2009 nr 157 poz. 1240.

34

(36)

Wyniki badań

Szczegółow e inform acje zostały zaprezentow ane w tabeli 9. W y n ik a z niej, że w badanej grupie istn ieją instytucje, które nie m ają ani jednej z co najm niej kilk u w yszczególnionych grup procedur. O dpow iednie dane zostały przedstaw ione na rysunku 9. Ukazuje on procent urzędów , które m ają przynajm niej po jednej procedurze w każdej z grup.

Tabela 9. Procedury wdrożone w badanych urzędach

Procedury W drażanie akty

wów

Eksploatacja aktyw ów

Testowanie aktyw ów

W ycofanie aktyw ów

Liczba 157 68 113 139

Średnia liczba przypadająca na pojedynczy urząd

0,46 2,03 0,33 0,41

Maksymalna

liczba 20 83 16 19

Liczba organi

zacji bez w d ro żonej procedu

ry

249 205 278 246

Jak w id ać na rysunku 9, ponad połow a (56%) instytucji nie posiada żad

nej procedury, natom iast przynajm niej jedną w każdej grupie posiada tylko 12%.

N ajw iększa liczba procedur opracow anych przez urzędy, dotyczyła eksploatacji aktyw ów . Najm niejsza liczba zw iązana b yła z testowaniem aktyw ów . Szczegółowe liczby zostały zaprezentowane na rysunku 10.

(37)

■ O procedur 1 grupa procedur

■ 2 grupy procedur

Rys. 9. Grupy procedur w badanych instytucjach

689

700

600

500

400

300

200

100

0

W drażanie Eksploatacja W ycofanie Testowanie

nowych aktywów aktywów aktywów aktywów

Rys. 10. Liczba procedur opracowanych przez badane instytucje

36

(38)

Wyniki badań

4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa

Sum aryczna ocena, dokonana przez respondentów i umieszczona w tabeli 10, jest zbliżona co do wartości dla każdego z przedstawionych w pytaniu nr 7 ankiety problemów.

Tabela 10. Sumaryczna ocena problemów związanych z ustanowieniem i wdrożeniem Polityki bezpieczeństwa

Problem Punktacja

W iedza, doświadczenie 827

Finanse 920

Opór czynnika ludzkiego 855

Respondenci najczęściej p rzyzn aw ali m aksym alną liczbę punktów pro

blem om finansow ym , co zostało pokazane w tabeli 11. O graniczone środki finansow e w p ływ ają na niedostateczną liczbę szkoleń oraz dzia

łań, m ających na celu nie tylko pozyskanie w ied zy i kom petencji, lecz także podniesienie św iadom ości znaczenia ochrony inform acji i w ystę

pujących zagrożeń.

Tabela 11. Liczba instytucji przyznających maksymalną punktację dla poszczególnych pro

blemów

Problem Liczba instytucji

W iedza, doświadczenie 36

Finanse 82

Opór czynnika ludzkiego 52

U rzęd n icy dodatkow o w ym ie n ili następujące, nieskategoryzow ane pro

blem y:

• sporządzanie audytów bezpieczeństwa,

• brak czasu,

37

(39)

• problem y sprzętowe,

• pracochłonność,

• braki kadrowe,

• sposób p rzep ływ u danych pom iędzy system am i,

• nieprecyzyjne, niejasne, niespójne przepisy oraz ich interpretacja,

• nadm iar obow iązków ,

• duża liczba zadań,

• brak zainteresow ania pracow ników .

4.9. Zgodność z WCAG 2.0

M ożna uznać, iż nie więcej niż 48 portali B IP badanych jednostek (14,16%) spełniało w ym agania zgodności z W C A G 2.0. Praw ie w szystkie posiadały wręcz ascetyczną formę. Do w yjątk ó w należy portal G m in y Kornow ac, którego stronę głów ną pokazuje rysunek 11.

C łt ń Icoinowac.bipęmira.pl

ikacj* £J Smaiia |1 Dyihjsja B Pan . ■ ¿czyimi ulicy... |'; Implanty Wasz.. | Cc

- 0 0 S ' □ Inn» zakładki

Gmina Kornowac

lnformec|i Publicznej

łnstynicp kulcuiy pomoc spoieana

DANETELEADRESOWE

Gmina Kornowac

NIP 6391979757

Lokafizacja woj. sąske pr/w. raciborski gm-ICornwac

Telefon 032 430 10 37

Adres

■1-2SS KOiflOWSC

Telefon 032 4301038

Faks 032430 1 333

e-mail e-mai!

ur-adökomowacpl -,ekrerartaaSkQmow

Rys. 11. Biuletyn informacji Publicznej Gminy Kornowac

38

(40)

5 W eryfikacja hipotez

5.1. Hipoteza 1: Większość badanych podmiotów nie zarządza usługami realizowanymi za pomocą systemów teleinformatycznych zgodnie z przepisami KRI

H ipoteza nr 1 znalazła swoje potw ierdzenie w w yn ikach badań. N aw et pojedyncze kryteria w eryfikacji nie zostały spełnione przez większość organizacji, co zostało uw idocznione w tabeli 12.

Tabela 12. Zestawienie ilościowe i procentowe jednostek spełniających pojedyncze kryteria weryfikacji hipotezy nr 1

L.p. Kryterium Liczba jednostek % badanej próby

1. Certyfikat zgodności z PN-ISO/IEC 20000 3 0,88

2. Przeszkolenie przynajmniej 1 pracownika

w zakresie wym agań PN-ISO/IEC 20000 6 1,77

3. Zakup przynajmniej 1 norm y PN-ISO/iEC

20000 8 2,36

4. Audyt na zgodność z PN-ISO/IEC 20000 7 2,06

5. Przynajm niej 1 udokum entowana procedura

dotycząca wdrażania aktyw ów 90 26,55

dotycząca eksploatacji aktyw ów 134 39,53

dotycząca w ycofania aktyw ów 93 27,43

dotycząca testow ania aktyw ów 61 17,99

(41)

N ajw ięcej jednostek (39,53%) posiada przynajm niej 1 udokum entow aną procedurę dotyczącą eksploatacji aktyw ó w teleinform atycznych. Je d nakże kom plet procedur funkcjonuje zaledw ie w 42 urzędach.

Tabela 13 przedstaw ia zestaw ienie ilościow e i procentowe jednostek spełniających łączne k ryteria w eryfikacji hipotezy nr 1.

Tabela 13. Zestawienie ilościowe i procentowe jednostek spełniających łączne kryteria weryfikacji hipotezy nr 1

1. Certyfikat zgodności z PN-ISO/IEC 20000 3 0,88

2.

Przeszkolenie przynajmniej 1 pracownika w zakresie stosowania norm y PN-ISO/IEC 20000 lub zakup norm y PN-ISO/IEC 20000 oraz prze

prowadzenie audytu na zgodność z PN-ISO/IEC 20000

5 ^1,47

3.

Posiadanie przynajmniej po 1 udokum ento

wanej procedurze dotyczącej wdrażania, eks

ploatacji, w ycofyw ania i testow ania aktyw ów teleinform atycznych

42 12,39

5.2. Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządzania usłu

gami realizowanymi za pomocą systemów teleinformatycznych jest zależna od wielkości podmiotu, liczby i wykształcenia osób związanych z IT

H ipoteza nr 2 rów nież znalazła swoje potw ierdzenie. Im w iększa orga

nizacja, tym w iększy stopień wdrożenia przepisów K R I związanych z za

rządzaniem usługam i realizow anym i za pom ocą system ów teleinform a

tycznych, co zostało pokazane w tabeli 14.

N ależy jednak zauw ażyć, że naw et w przypadku dużych instytucji, jakim i są U rzęd y M arszałkow skie, U rzęd y M iejskie w m iastach na pra

w ach pow iatu oraz U rzęd y D zieln icy (W arszaw a), średnia liczba punk

tów stanow i jedynie 36,83% w szystkich m o żliw ych do przyznania.

40

(42)

W eryfikacja hipotez

Tabela 14. Średni stopień wdrożenia przepisów KRI związanych z zarządzaniem usługami realizowanymi za pomocą systemów teleinformatycznych

Wielkość instytucji Liczba instytucji Liczba punktów Średnia liczba punktów

Małe 253 246 0,97

Średnie 74 151 2,04

Duże 12 53 4,42

Liczba p racow ników d ziału IT m a bezpośrednie przełożenie na stopień w drożenia przepisów K R I zw iązanych z zarządzaniem usługam i re ali

zow anym i za pom ocą system ów teleinform atycznych.

N a rysunku 12 zaznaczono kropkam i liczbę punktów przyznanych w ed łu g zasad przedstaw ionych w tabeli 2 oraz niebieską lin ię trendu.

Te same oznaczenia użyto na rysunku 13, odnoszącym się do liczby p racow ników zw iązanych z IT z w ykształceniem w yższym , technicz-

0 2 4 6 8 10 12 14 16 18

Liczba pracowników IT

Rys. 12. Zależność stopnia wdrożenia przepisów KRI dotyczących zarządzania usługami realizowanymi za pomocą systemów teleinformatycznych od liczby pracowników IT

(43)

-o_■ł-»

C3 O.(0

-Q

’E ro

■o(U_i-

-<S)

0 2 4 6 8 10 12 14 16 18

Liczba pracowników IT z wykształceniem technicznym

Rys. 13. Zależność stopnia wdrożenia przepisów KRI dotyczących zarządzania usługami realizowanymi za pomocą systemów teleinformatycznych od liczby pracowników IT z wykształceniem wyższym technicznym

5.3. Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo systemu zarządzania bezpieczeństwem informacji

H ipoteza nr 3, jak w yn ik a z danych zam ieszczonych w tabeli 15, jest p raw dziw a. W iększość badanych podm iotów nie w d ro żyła p raw id ło w o system u zarządzania bezpieczeństwem inform acji.

Tabela 15. Zestawienie jednostek spełniających kryteria weryfikacji hipotezy nr 3

1 Certyfikat zgodności z ISO 27001 11 3,24

2 Przeszkolenie przynajmniej 1 pracownika lub zakup norm y ISO 27001 oraz przeprowadzenie audytu na zgodność z ISO 27001

19 5,60

3.1 Aktualna inwentaryzację aktyw ów teleinfor

matycznych

12 3,54

3.2 Aktualna analiza ryzyka 61 17,99

3.3 Aktualny rejestr incydentów 48 14,16

3.4 Aktualna Polityka bezpieczeństwa informacji oparta o ISO 27001

5 1,47

____

o

42

(44)

W eryfikacja hipotez

5.4. Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem informacji zależy od wielkości podmiotu, liczby i wykształcenia osób związanych z IT

H ipotezę nr 4 także należy uznać za potw ierdzoną. Jak w yn ik a z danych zaprezentow anych w tabeli 16, w iększe jednostki w podw yższonym stopniu w d ro ż y ły system zarządzania bezpieczeństwem inform acji.

N aw et średni stopień w drożenia dla jednostek dużych nie b y ł b liski m aksym alnej m ożliw ej do przyznania liczbie punktów , wynoszącej 57.

Ponad 14% przebadanych jednostek posiadało stopień w drożenia o w a r

tości 0, a naw et niższej.

Tabela 16. Średni stopień wdrożenia systemu zarządzania bezpieczeństwem informacji

Wielkość instytucji Liczba instytucji Liczba punktów Średnia Liczba punktów

M ałe 253 1300 5,14

Średnie 74 1136 15,35

Duże 12 394 32,83

Zarów no liczba, jak i w ykształcenie pracow ników zw iązanych z IT, m a bezpośrednie przełożenie na stopień w drożenia system u zarządzania bezpieczeństwem inform acji, co zostało pokazane na rysunkach 14 i 15.

Z a pom ocą kropek oznaczono średni stopień w drożenia dla określo

nych liczebności pracow ników , zaś niebieska, ciągła lin ia jest lin ią tren

du. W arto zauważyć, iż zerow a liczba p racow ników IT zw iązana za

pew ne z outsourcingiem nie zapew nia bezpieczeństwa systemu.

(45)

O 5 10 15 20 25 30 35

Liczba pracowników IT

Rys. 14. Zależność stopnia wdrożenia systemu zarządzania bezpieczeństwem informacji od liczby pracowników IT

Liczba pracowników IT z wykształceniem technicznym

Rys. 15. Zależność stopnia wdrożenia systemu zarządzania bezpieczeństwem informacji od liczby pracowników IT z wykształceniem technicznym

44