Temat: NIK o wdrażaniu systemów teleinformatycznych w miastach i...
Dla osób, które nie chcą poświęcać zbyt wiele czasu na czytanie całości NIKowskiego opracowania, zamieszczam krótkie zestawienie najważniejszych ustaleń:
1. Cel kontroli
Celem kontroli przeprowadzonej przez Najwyższą Izbę Kontroli była ocena wdrażania wybranych wymagań określonych w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Ocenie w tym zakresie poddano następujące kwestie:
- prawidłowość realizacji przez Ministra Administracji i Cyfryzacji zadań określonych w rozporządzeniu (prowadzenie repozytorium interoperacyjności);
- działania burmistrzów oraz prezydentów miast w celu realizacji wymagań wprowadzonych rozporządzeniem (dostosowanie posiadanych systemów informatycznych do współpracy z innymi systemami, ocena stopnia wdrożenia systemu zarządzania bezpieczeństwem systemów informatycznych).
Ponadto zbadane zostały działania związane z zapewnieniem dostępności informacji dla osób niepełnosprawnych.
2. Organizacja i zakres kontroli
Kontrola została przeprowadzona w 25 jednostkach, w tym w Ministerstwie Administracji i Cyfryzacji oraz w 24 wybranych urzędach (Mińsk Mazowiecki, Płock, Pruszków, Radom, Zawiercie, Dąbrowa Górnicza, Mikołów, Mysłowice, Andrychów, Chrzanów, Olkusz, Nowy Targ, Leszno, Luboń, Ostrów Wielkopolski, Śrem, Dzierżoniów, Głogów, Legnica, Świdnica, Koszalin, Stargard Szczeciński, Szczecinek, Świnoujście). Wybór jednostek został dokonany celowo, przy założeniu, że w większych jednostkach samorządowych istnieje większe prawdopodobieństwo modernizacji lub zakupu systemów informatycznych, które będą podlegały wymaganiom rozporządzenia KRI, które obowiązuje od 31 maja 2012 r.
3. Ocena kontrolowanej działalności
Najwyższa Izba Kontroli, ze względu na liczne nieprawidłowości, ogólnie negatywnie oceniła działania burmistrzów i prezydentów miast w zakresie zarządzania bezpieczeństwem informacji w urzędach, o którym mowa w § 20 rozporządzenia KRI. Nieprawidłowości zostały stwierdzone w przypadku 21 z 24 skontrolowanych urzędów. Zdaniem NIK stwierdzone nieprawidłowości mogą skutkować utratą dostępności, integralności i poufności informacji przetwarzanych w systemach informatycznych.
Nieprawidłowości wskazane przez NIK dotyczyły przede wszystkim:
- braku całościowej Polityki Bezpieczeństwa Informacji, która nie ogranicza się wyłącznie do bezpieczeństwa danych osobowych;
- niewłaściwego zarządzania uprawnieniami użytkowników w zakresie dostępu do systemów informatycznych;
- nieprzeprowadzania corocznych audytów wewnętrznych z zakresu bezpieczeństwa informacji;
- braku w umowach na zakup lub serwis sprzętu komputerowego/oprogramowania zapisów gwarantujących zabezpieczenie poufności informacji uzyskanych w związku z realizacją tych umów przez wykonawców.
Najwyższa Izba Kontroli wskazała także na nieprawidłowości, które pojawiły się pod kątem dostosowania systemów informatycznych wykorzystywanych w urzędach do wymiany informacji z innymi systemami. Stwierdzono co następuje:
- tylko w nielicznych urzędach podejmowano działania zmierzające do poznania potrzeb mieszkańców w zakresie korzystania z elektronicznych form komunikacji;
- istnieje potrzeba podjęcia szerszych działań w zakresie informowania o e-usługach i ich promowania;
- wykorzystywanie tradycyjnego systemu obiegu dokumentów, równolegle z obiegiem elektronicznym stanowi element dodatkowego niepotrzebnego obciążenia pracą urzędników. Należy podjąć działania, aby w takich przypadkach wprowadzić wyłącznie elektroniczny system zarządzania dokumentacją, co pozwoli na ograniczenie zużycia papieru oraz korzystnie wpłynie na ochronę środowiska;
- aż 94% korespondencji wpływającej i wychodzącej w urzędach stanowi dokumentacja papierowa;
- wszystkie zbadane urzędy świadczyły usługi w formie elektronicznej;
- większość z badanych systemów informatycznych współpracowało z innymi systemami informatycznymi, jednak tylko 16% z nich zapewniało współpracę na poziomie transakcyjnym (tzn. że przekazywanie danych odbywało się w sposób w pełni zautomatyzowany).
Najwyższa Izba Kontroli odniosła się także do zarządzania bezpieczeństwem systemów informatycznych w urzędach, wskazując, że:
- w 15 urzędach nie opracowano i nie wdrożono Polityki Bezpieczeństwa Informacji, będącej elementem systemu zarządzania bezpieczeństwem informacji. Wdrożone procedury w tych urzędach dotyczyły wyłącznie zarządzania bezpieczeństwem danych osobowych i nie odnosiły się do innych informacji przetwarzanych w tych urzędach;
- w urzędach przeprowadzone były okresowe analizy ryzyka utraty integralności, poufności i dostępności informacji, w ramach których najczęściej definiowane było ryzyko braku ciągłości działania;
- w urzędach nie prowadzono inwentaryzacji zasobów informatycznych, w sposób określony w rozporządzeniu KRI. Dane sprzętu komputerowego były ujmowane wyłącznie w formie kart informacyjnych lub książek inwentarzowych, wyłącznie dla potrzeb rachunkowości. Utrwalone informacje nie zawierały jednak szczegółowych danych o konfiguracji technicznej urządzeń oraz o zainstalowanym oprogramowaniu;
- w urzędach nie opracowano pisemnych procedur zarządzania uprawnieniami użytkowników do pracy w systemach informatycznych, lub stwierdzono nieprawidłowości w tym zakresie, poprzez nieaktualizowanie uprawnień (uprawnienia nieadekwatne do wykonywanych zadań), nieusuwanie użytkowników (byłych pracowników), brak blokady nałożonej przez administratora, co pozwoliło na instalowanie dowolnego oprogramowania;
- w urzędach zapewniono szkolenia dla pracowników w zakresie bezpieczeństwa informacji;
- tylko w połowie urzędów określono zasady bezpiecznej pracy przy wykorzystaniu komputerów przenośnych (laptopy, smartfony);
- w umowach zawieranych na serwis sprzętu komputerowego lub oprogramowania nie zawierano zapisów, które gwarantują bezpieczeństwo informacji, do których wykonawca ma lub może mieć dostęp w związku z realizacją przedmiotu umowy;
- w 9 urzędach objętych kontrolą nie dokonano audytu wewnętrznego w zakresie bezpieczeństwa informacji;
- niewłaściwie tworzono, przechowywano oraz testowano kopie zapasowe danych.
Ostatnim z elementów podlegających kontroli Najwyższej Izby Kontroli było dostosowanie sposobu prezentacji informacji przez systemy informatyczne dla potrzeb osób niepełnosprawnych. Kontrolerzy wskazali, że strony internetowe oraz strony Biuletynów Informacji Publicznej w skontrolowanych urzędach w różnym stopniu zostały dostosowane do odbioru ich treści przez osoby niepełnosprawne. Wśród stosowanych dotychczas rozwiązań wskazywano na możliwość powiększenia czcionki, obrazu, zmianę kontrastu oraz odsłuchanie wyświetlanej treści. We wszystkich stronach występowały jednak błędy związane z prezentowaniem treści dla osób niepełnosprawnych. W tym obszarze NIK wskazuje konieczność podejmowania dalszych działań w celu wyeliminowania ujawnionych błędów i poprawy funkcjonalności stron internetowych i BIP w odbiorze przez osoby niepełnosprawne.
пропозиції роботи
