W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa
—czytamy w raporcie.
Jak podaje NIK w instytucjach nie było wyznaczonych osób odpowiedzialnych za zapewnienie bezpieczeństwa danych co skutkowało rozmyciem odpowiedzialności.
W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych
—podaje raport.
We wszystkich kontrolowanych jednostkach prowadzono audyty bezpieczeństwa. Ich wyniki nie robiły jednak większego wrażenia na kierownictwu.
Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia. Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań.
—informuje raport Najwyższej Izby Kontroli.
Z całym raportem można się zapoznać na stronie Najwyższej Izby Kontroli.
kk/nik.gov.pl
CZY WSTRZĄSAJĄCE FAKTY UJAWNIONE W RAPORCIE O RZĄDACH KOALICJI PO-PSL DOPROWADZĄ JEJ POLITYKÓW NA ŁAWĘ OSKARŻONYCH? Przeczytaj najnowszy numer „wSieci” w sprzedaży od 16 maja, także w formie e - wydania. Szczegóły na: http://www.wsieci.pl/e-wydanie.html.
Drukujesz tylko jedną stronę artykułu. Aby wydrukować wszystkie strony, kliknij w przycisk "Drukuj" znajdujący się na początku artykułu.
W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa
—czytamy w raporcie.
Jak podaje NIK w instytucjach nie było wyznaczonych osób odpowiedzialnych za zapewnienie bezpieczeństwa danych co skutkowało rozmyciem odpowiedzialności.
W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne. Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych
—podaje raport.
We wszystkich kontrolowanych jednostkach prowadzono audyty bezpieczeństwa. Ich wyniki nie robiły jednak większego wrażenia na kierownictwu.
Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia. Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań.
—informuje raport Najwyższej Izby Kontroli.
Z całym raportem można się zapoznać na stronie Najwyższej Izby Kontroli.
kk/nik.gov.pl
CZY WSTRZĄSAJĄCE FAKTY UJAWNIONE W RAPORCIE O RZĄDACH KOALICJI PO-PSL DOPROWADZĄ JEJ POLITYKÓW NA ŁAWĘ OSKARŻONYCH? Przeczytaj najnowszy numer „wSieci” w sprzedaży od 16 maja, także w formie e - wydania. Szczegóły na: http://www.wsieci.pl/e-wydanie.html.
Strona 2 z 2
Publikacja dostępna na stronie: https://wpolityce.pl/gospodarka/293095-chaos-opieszalosc-lekcewazenie-niebezpieczenstwa-kolejny-miazdzacy-raport-nik-obnazajacy-rzady-po-psl-cyberprzestrzen-nie-byla-chroniona?strona=2
Dziękujemy za przeczytanie artykułu!
Najważniejsze teksty publicystyczne i analityczne w jednym miejscu! Dołącz do Premium+. Pamiętaj, możesz oglądać naszą telewizję na wPolsce24. Buduj z nami niezależne media na wesprzyj.wpolsce24.
