KRI pozwala na polepszenie bezpieczeństwa informacji
Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej KRI) jak sama nazwa wskazuje odnosi się do instytucji publicznych. Wspominaliśmy już we wcześniejszym artykule KRI – „nie taki diabeł straszny jak go malują”, że wymagania stawiane tym rozporządzeniem bardziej wspierają organizację niż powodują zagrożenie. Przymus nakładany przez KRI w zakresie audytów jest dobry, bo instytucje przeprowadzające audyt co rok, potwierdzają tylko zwiększenie swojej odporności. Samo rozporządzenie określa cele wdrożenia tych działań jako zwiększenie efektywności usług świadczonych przez administrację publiczną. Innym celem jest „zapewnienie obywatelom i przedsiębiorcom zmniejszenia obciążeń związanych z realizacją uprawnień i obowiązków przewidzianych w przepisach odrębnych”. Krótko mówiąc chodzi o standaryzację działania administracji publicznej przez odpowiednie przygotowanie systemów IT.
Analiza Kontrolna Krajowych Ram Operacyjnych w jednostkach publicznych
Każda szkoła publiczna czy też samorządowe przedszkole są zobowiązane do przeprowadzania analizy kontrolnej Krajowych Ram Operacyjnych. Zgodnie z rozporządzeniem podmiot realizujący zadania publiczne, a takim jest szkoła publiczna czy przedszkole powinien:
- opracować i ustanowić;
- wdrożyć i eksploatować;
- monitorować i przeglądać;
- utrzymywać i doskonalić,
system zarządzania bezpieczeństwem informacji. System ten powinien:
- zapewniać poufność;
- dostępność;
- integralność,
informacji z uwzględnieniem takich atrybutów, jak:
- autentyczność;
- rozliczalność;
- niezaprzeczalność;
- niezawodność.
Dobry system zarządzania bezpieczeństwem informacji można osiągnąć dzięki przeprowadzeniu dogłębnej analizy swoich zasobów np. przeprowadzając
Audyt zgodności wymogów KRI, który wskaże każdej instytucji na jakim znajduje się poziomie.
Zapewnianie bezpieczeństwa informacji jest jednym z najważniejszych obszarów działania
Punktem wyjścia do rozważań o systemie zarządzania bezpieczeństwem informacji powinno być zrozumienie czym w ogóle informacja jest. Krótko mówiąc informacje to aktywa, które w odróżnieniu od innych ważnych aktywów biznesowych, są niezbędne dla organizacji biznesu. W konsekwencji, wymagają one odpowiedniej ochrony. Należy pamiętać, że bezpieczeństwo informacji to nie tylko wymóg działalności biznesowej, który usprawnia organizację poprzez korzyści wynikające ze stosowania opracowanych zasad przetwarzania informacji, ale również jest to obowiązek wynikający z przepisów prawa. Takich obowiązków jak wspomniane Rozporządzenie KRI obejmujące publiczne szkoły. Zapewnienie zgodności z KRI poprzez instytucje publiczne pomoże również w wypełnieniu obowiązków wynikających z ochrony danych osobowych. Te systemy (SZBI i RODO) przenikają się na wielu płaszczyznach, dzięki czemu łatwiej je wdrożyć i spełnić wymagania obu. Jeżeli wdrożymy SZBI zgodnie z normą ISO 27001 to jest ona uznawana za najlepsze rozwiązanie zapewniające zachowanie poufności, integralności i dostępności informacji, których ochrona jest obecnie naturalnym wymogiem naszych czasów. Takie rozwiązanie gwarantuje spełnienie wielu wymagań prawnych.
Dobrze realizowane zarządzanie bezpieczeństwem informacji szkoły pomaga jej uniknąć zagrożeń
Właściwa organizacja zarządzania bezpieczeństwem informacji jak już wskazaliśmy wyżej wspiera szkołę również na gruncie ochrony danych osobowych. Jakby na to nie patrzeć dane osobowe są informacjami, a te z grupy szczególnie chronionych są informacjami wrażliwymi. O takie informacje trzeba dbać. Pamiętajmy, że również szkoły są narażone na zagrożenia. Dociekliwi rodzice dzieci do nich uczęszczających na pewno nerwowo zareagują, kiedy okaże się, że te informacje nie są właściwie chronione. Rozporządzenie KRI, czy wspomniana
norma ISO 27001 na szczęście dostarczają wskazówek co zrobić, aby było dobrze. Na pewno trzeba pamiętać o stałej aktualizacji i to zarówno systemów przetwarzających informacje jak i dokumentacji. Okresowego (również na gruncie RODO trzeba to robić) przeprowadzania analizy ryzyka utraty integralności, dostępności lub poufności informacji. Niezbędnymi działaniami są też działania minimalizujące te ryzyka, stosownie do wyników przeprowadzonej analizy. Na pewno warto zajrzeć do norm i wytycznych, aby uchronić szkołę przed negatywnymi konsekwencjami niewłaściwego zarządzania bezpieczeństwa informacjami.
Outsourcing może stanowić rozwiązanie problemu
Podsumowując, warto podejść do tematu poważnie, każda samorządowa instytucja musi część wdrożeń przeprowadzać zgodnie z wymaganiami prawnymi. Elementem zwiększającym bezpieczeństwo tego typu instytucji jest na pewno wdrożenie systemu bezpieczeństwa informacji i właściwe zarządzanie nim. Na gruncie przepisów o ochronie danych musimy pamiętać, tak jak przy KRI, że osoby zaangażowane w proces przetwarzania informacji muszą posiadać stosowne uprawnienia. Jak widać na przykładach, właściwe wdrożenie bezpieczeństwa informacji pomoże w KRI, RODO czy KSC. Jeżeli szkoła nie posiada fachowca w tej dziedzinie, co może być niemożliwe ze względu na ograniczenia budżetowe, warto, aby rozejrzała się za specjalistami. Firm outsourcingowych na rynku jest wiele jak np. BCO Poland, Inspektorzy ODO, Gobio System czy Zabezpieczenie Danych.
