Do przeprowadzania corocznego audytu KRI zobowiązane są podmioty realizujące zadania publiczne w zakresie określonym w par. 20 ust 1 i 2 rozporządzenia KRI.
Z przepisów ustawy z 15 kwietnia 2011 r. o działalności leczniczej wynika, że podmiot leczniczy realizuje zadania publiczne związane z ochroną zdrowia, tj. udziela świadczeń opieki zdrowotnej. Bardzo często również pokrywa koszty udzielanych świadczeń zdrowotnych ze środków publicznych (kontrakty z NFZ). W związku z tym podmioty lecznicze należą do kategorii podmiotów zobowiązanych do przeprowadzania audytów KRI.
Biorąc pod uwagę przytoczone przepisy należy przyjąć, że to charakter udzielanych świadczeń i źródło ich finansowania decydują o tym, czy w konkretnym przypadku mamy do czynienia z wykonywaniem zadań publicznych. Obowiązek ten dotyczy także podmiotów prywatnych bowiem decydujący jest fakt, iż realizuje on część swoich zadań z wykorzystaniem środków publicznych.
Definicje
Interoperacyjność to zdolność różnych podmiotów oraz używanych przez nie systemów teleinformatycznych i rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów, z uwzględnieniem współdzielenia informacji i wiedzy przez wspierane przez nie procesy biznesowe realizowane za pomocą wymiany danych za pośrednictwem wykorzystywanych przez te podmioty systemów teleinformatycznych.
KRI czyli Krajowe Ramy Interoperacyjności określają m.in. sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych dla zapewnienia bezpieczeństwa danych i informacji.
Zgodnie z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: rozporządzenie KRI) interoperacyjność osiąga się przez:
- ujednolicenie – rozumiane jako zastosowanie tych samych norm, standardów i procedur przez różne podmioty realizujące zadania publiczne,
- wymienność – rozumianą jako możliwość zastąpienia produktu, procesu lub usługi bez jednoczesnego zakłócenia wymiany informacji pomiędzy podmiotami realizującymi zadania publiczne lub pomiędzy tymi podmiotami a ich klientami, przy jednoczesnym spełnieniu wszystkich wymagań funkcjonalnych i poza funkcjonalnych współpracujących systemów,
- zgodność – rozumianą jako przydatność produktów, procesów lub usług przeznaczonych do wspólnego użytkowania, pod specyficznymi warunkami zapewniającymi spełnienie istotnych wymagań i przy braku niepożądanych oddziaływań.
Audyt bezpieczeństwa informacji KRI
Na podstawie §20 ust. 1 rozporządzenia KRI podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji (SZBI). Ponadto system ten musi zapewniać poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
Jak widać, samo wdrożenie systemu zarządzania bezpieczeństwem informacji nie gwarantuje spełnienia obowiązku ustawowego. Oznacza dopiero początek drogi. Następnie konieczna jest ciągła praca z systemem, monitorowanie jego działania i udoskonalanie.
Zgodnie z powyższym wymagania opisane w KRI obejmują nie tylko podmioty publiczne ale i te, które realizują zadania publiczne.
Ponadto ustawodawca, nie określił sztywno warunków, których spełnienie gwarantuje poprawność zarządzania bezpieczeństwem informacji. W §20 ust. 2 rozporządzenia KRI wskazał tylko te elementy, które w szczególności uznaje za zasadne i celowe do realizacji. Jednym z tych elementów jest zapewnienie okresowych, czyli powtarzających się audytów wewnętrznych, realizowanych nie rzadziej niż raz na rok.
Czego dotyczy i kto wykona audyt KRI?
Przez audyt wewnętrzny rozumie się audyt realizowany przez jednostkę na wewnętrzne potrzeby, niekoniecznie przez osoby z wewnątrz organizacji.
Audyt polega na weryfikacji, czy systemy IT są odpowiednio zabezpieczone pod kątem fizycznym (infrastruktura) i cyfrowym (oprogramowanie). Analizuje się błędy oraz wskazuje metody ich naprawienia. Dzięki audytowi KRI zyskuje się rekomendacje, co zrobić, aby zwiększyć poziom bezpieczeństwa i usprawnić działanie podmiotu w zakresie bezpieczeństwa informacji.
Audyt KRI ma na celu weryfikację poprawności stosowanych zabezpieczeń w odniesieniu do założonych wymagań. System zarządzania bezpieczeństwem informacji uznaje się za zgodny z rozporządzeniem KRI wówczas, gdy został wdrożony zgodnie z normą ISO 27001. W związku z tym audyt KRI można przeprowadzić sprawdzając wymagania Rozporządzenia KRI w oparciu o wymagania normy ISO/IEC 27001.
Audyt bezpieczeństwa informacji można zlecić podmiotom zewnętrznym lub osobie z wewnątrz organizacji wytypowanej przez kierownictwo. Należy jednak pamiętać, że osoba przeprowadzająca audyt powinna posiadać:
- niezbędną wiedzę i kwalifikacje,
- odpowiednie cechy personalne,
- znajomość metodyki audytu w zakresie bezpieczeństwa informacji
- materiały do wykonania rzetelnej oceny stanu faktycznego,
- niezależność od obszaru audytowanego.
W związku z tym preferowani do wykonywania zadań audytowych są specjaliści legitymujący się certyfikatami audytora wiodącego ISO 27001.
Podczas audytu powinien być obecny kierownik podmiotu, jako osoba mająca dostęp do wszystkich zasobów. Mamy tu na myśli wszelkie polityki, zarządzenia i pozostałe regulacje wewnętrzne. Wskazana jest także obecność osoby, której wiedza techniczna pozwala na odniesienie się do pytań z zakresu stosowanych zabezpieczeń (np. informatyka).
W roli audytora wewnętrznego z zakresu bezpieczeństwa informacji doskonale sprawdzą się:
- informatycy,
- administratorzy systemów informatycznych,
- inspektorzy ochrony danych,
- pracownicy działu audytu i kontroli.
Sprawozdanie z audytu
Efektem końcowym przeprowadzonego audytu jest sprawozdanie. Sprawozdanie zgodności KRI to raport podsumowujący stan zabezpieczeń systemu teleinformatycznego. Częścią sprawozdania są zalecenia: jak można usprawnić system oraz jak ulepszyć procesy związane z przetwarzaniem danych. Bardziej szczegółowo, sprawozdanie z audytu zawiera:
- określenie co wpływa na spełnienie wymogu,
- określenie stanu faktycznego,
- ocenę czy spełnione są określone wymogi w danym obszarze,
- zalecenia poaudytowe.
Oceny dokonuje się w skali 3-stopniowej: wymóg spełniony, wymóg spełniony częściowo, wymóg niespełniony.
Podsumowanie
Audyt KRI w swoim założeniu ma zwiększać bezpieczeństwo systemów poprzez m.in. analizowanie błędów i ich niwelowanie. Bez niego podmiot naraża się na utratę poufności, dostępności i integralności informacji. W praktyce może to przynieść negatywne skutki dla podmiotu w postaci:
- naruszenia bezpieczeństwa informacji,
- naruszenia ochrony danych osobowych,
- utraty wizerunku i zaufania społeczeństwa,
- utraty ciągłości działania podmiotu,
- odpowiedzialności karnej.
Warte zapamiętania jest, że wymagania wymienione w art. 20 ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: ISO/IEC 27002, ISO/IEC 27005 oraz ISO/IEC 24762.
Wynika z niego, że wdrożenie w organizacji systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001 i uzupełnionego o elementy ochrony danych osobowych wymaganych przez RODO zapewnia zgodność z przepisami prawa dotyczącymi bezpieczeństwa informacji.