W poniedziałek NIK opublikował raport „Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych”. Jego celem było sprawdzenie, czy w kontrolowanych jednostkach zapewnione jest bezpieczeństwo danych gromadzonych w systemach przeznaczonych do realizacji istotnych zadań publicznych
Kontrolą objęto sześć wybranych instytucji: Ministerstwo Skarbu Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Komendę Główną Straży Granicznej, Narodowy Fundusz Zdrowia oraz Kasę Rolniczego Ubezpieczenia Rolniczego. Kontrolą objęto okres od 1 stycznia 2014 r. do 1 października 2015 r.
Izba wskazuje, że KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. Jednak również w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK niektóre z nich były poważne i mogły mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS.
Izba stwierdziła nieprawidłowości dotyczące m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. Przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu, m.in. w zakresie systemów służących realizacji podstawowych zadań ustawowych, nie została poprzedzona stosownymi analizami – np. nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej. (PAP)
krm/ akw/