Bezpieczne dane. MC: pomagamy JST zapewnić cyberbezpieczeństwo

Brak świadomości i problemy finansowe – to zdaniem Marka Zagórskiego główne przyczyny problemów samorządów z zapewnieniem bezpieczeństwa danych. Minister cyfryzacji zapowiedział wsparcie JST, w tym szkolenia urzędników z cyberbezpieczeństwa oraz dystrybucję gotowych narzędzi (tzw. toolboxów). 

W odpowiedzi na poselską interpelację w sprawie bezpieczeństwa baz i systemów komputerowych JST minister cyfryzacji przyznał, że głównymi przyczynami problemów samorządów z zapewnieniem bezpieczeństwa informacji jest brak świadomości wagi tego problemu oraz ograniczenia finansowe.

Zagórski zapewnił jednak, że resort stara się wspierać administrację podejmując aktywne działania informacyjne i promocyjne, które docelowo mają wpłynąć na podniesienie poziomu bezpieczeństwa teleinformatycznego i cyberbezpieczeństwa. 

Minister podkreślił, że jego resort planuje też zaangażowanie JST w ćwiczenia ogólnokrajowe dotyczące cyberbezpieczeństwa, dystrybucję gotowych narzędzi (tzw. toolboxy) przygotowanych przez specjalistów z NASK-PIB oraz  akcje informacyjne dla kierowników jednostek o obowiązkach wynikających z przepisów prawa wraz z poradami jak je realizować przy pomocy dostępnych środków. 

„W dalszej perspektywie, w miarę możliwości organizacyjnych i finansowych, planowane są dalsze działania, w tym wdrożenie systemu szkoleń dla osób zajmujących kierownicze stanowiska w JST, w szczególności w okresie po wyborach samorządowych, gdy następują zmiany na tych stanowiskach; przygotowanie scenariuszy szkoleniowych podnoszących świadomość wśród szeregowych pracowników (tzw. cyberhigieną)” – wymienił minister.

Wśród planowanych przez MC działań jest także wsparcie w zakresie budowy systemów zarządzania bezpieczeństwem, w tym standaryzacja dokumentacji normatywnej SZBI, metodyk zarządzania ryzykiem, planowania ciągłości działania, procedur operacyjnych, a także agregacja nadzoru nad cyberbezpieczeństwem w JST w postaci regionalnych centrów operacyjnych. 

Zagórski wyjaśnił też, że w ministerstwie cyfryzacji prowadzone są prace nad doskonaleniem i aktualizacją Polityk Bezpieczeństwa Informacji (PBI) dla rejestrów i systemów państwowych, m.in. Systemu Rejestrów Państwowych (dalej: SRP) oraz ePUAP. „Widząc potrzebę wsparcia JST i urzędów wojewódzkich w zakresie bezpieczeństwa teleinformatycznego, w oparciu o przygotowaną dokumentację, przygotowana zostanie wzorcowa PBI SRP. Urzędy wojewódzkie i JST bazując na powyżej dokumentacji, po uwzględnieniu swoich uwarunkowań wewnętrznych i zewnętrznych, będą mogły opracować własne PBI SRP dostosowane do ich struktury organizacyjnych i realizowanych zadań” – wskazał minister.

Jednym z elementów promowania bezpieczeństwa informacji i ochrony danych jest też działalność MC w obszarze kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych. W tym celu w MC opracowano „Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych”. Udostępnione na stronach BIP MC wytyczne stanowią dla służb informatycznych administracji publicznej źródło wiedzy o wymaganiach bezpieczeństwa. 

Wśród działań wzmacniających bezpieczeństwo teleinformatyczne administracji Zagórski wymienił także rozpoczęcie realizacji Programu WIIP – Wspólnej Infrastruktury Informatycznej Państwa.

Jak zaznaczył, podstawowymi celami programu to jest zapewnienie bezpieczeństwa danych przetwarzanych w systemach teleinformatycznych podmiotów administracji publicznej oraz optymalizacji kosztów utrzymania tych systemów, a także wprowadzenie jednolitych wysokich standardów ochrony systemów informatycznych i wspieranie podmiotów administracji publicznej w utrzymaniu tych systemów oraz uzyskiwaniu usług niezbędnych do ich budowy.

W ramach programu zostaną zrealizowane projekty: Usługi Rządowej Chmury Obliczeniowej (prywatna chmura obliczeniowa administracji publicznej) oraz System Zapewnienia Usług Chmurowych (dedykowane rozwiązanie informatyczne i organizacyjne realizujące proces zamawiania usług chmurowych oferowanych przez dostawców komercyjnych - wzorowane na brytyjskim G-Cloud). 

Zagórski poinformował, że „inicjalne uruchomienie katalogu usług prywatnej Rządowej Chmury Obliczeniowej planuje się jeszcze w 2019 r.” 

Minister dodał też, że do końca roku planuje się również uruchomienie pierwszych postępowań przetargowych na usługi IT, które będą dostępne online dla jednostek administracji publicznej, w tym jednostek samorządu terytorialnego. Usługi te będą realizowane w modelu chmury obliczeniowej, zaś ich dostawcy będą spełniać wymagania w zakresie bezpieczeństwa określone w KRI. 

Ponadto w 2020 r. MC planuje ukończenie wdrażania Rządowego Klastra Bezpieczeństwa, wydzielonej infrastruktury sieciowej oraz dedykowanego centrum bezpieczeństwa SOC/NOC. Wraz z oddaniem do użytku nowej infrastruktury i rozwiązań organizacyjnych zaplanowano również wdrożenie nowego, wewnętrznego standardu bezpieczeństwa dla centrów przetwarzania danych, które będą przyłączane do RKB. 

Na początku maja br. NIK przedstawiła raport na temat zarządzania bezpieczeństwem informacji przez samorządy. Wynika z niego, że systemy informatyczne i dane gromadzone przez urzędy JST są słabo chronione i podatne na ataki hakerskie. Izba zaapelowała m.in. do wojewodów o więcej kontroli w urzędach gmin i starostw w zakresie zapewnienia bezpieczeństwa informacji dla systemów teleinformatycznych oraz rejestrów publicznych. Pisaliśmy o tym: NIK: samorządowe systemy informatyczne i gromadzone dane podatne na ataki hakerów

mp/


Opublikowano: 2019-06-14 10:09

Uwaga! Artykuł pochodzi z portalu internetowego Serwis Samorządowy PAP.